我们的基础架构托管在 Google Cloud 上,并通过 Cloud SQL 使用 postgresql 实例 我需要配置日志记录以符合 HIPAA 规定。我已阅读 Google 文档中的 2 篇文章: https://cloud.google.com/logging/docs/audit/configure-data-access#config-console https://cloud.google.com/sql/docs/postgres/pg-audit#overview 第一个是关于在 IAM 中启用审计日志,在这里我可以选择 Cloud SQ...
我们有一个客户(药房)希望在他们的网站上提交一个表单,该表单提交给一个符合 hipaa 规范的 api 服务。我们不存储任何数据,只发送数据。我们的服务器/系统是否需要符合 hipaa 规范? ...
我刚刚开始使用 Google Kubernetes Engine (GKE),我很喜欢它。 我花了一些时间内部负载均衡器正常工作,因此我的应用程序具有 10.128.0.0/16 IP。 现在我想知道,我可以从集群中删除外部 IP 吗? 我发现 Google 需要集群上的外部 IP,并且无法删除。有人有这方面的经验吗? 我正在处理健康数据,我犹豫着是否要将生产应用程序部署到具有外部 IP 的集群中。我认为我项目的防火墙提供了足够的保护,但如果我打算将个人健康数据放入其中,那么拥有具有外部 IP 的系统就不合适了。如果您不知道“我可以从集群中删除外部...
我目前正在与医疗保健行业的一位客户合作。部分工作将涉及接触敏感的患者健康信息 (PHI)。客户使用 AWS 并将其敏感数据保存在虚拟私有云中。 我需要连接到 VPN 服务器才能访问他们的 AWS 服务。他们使用 OpenVPN 客户端。 但是他们配置了 VPN,因此当我连接到它时,我的所有互联网流量都会通过 VPN 服务器进行传输,而不仅仅是发往他们网络资源的流量。这使我的互联网连接速度降低到大约 1.5 Mbps,这并不理想。 我向他们提出了这个问题,他们说“安全规则禁止除 VPN 端点之外的任何 IP 地址的任何人获取有关我们实例的任何信息。”但除...
我有一个新的医疗 IT 客户需求。他们的文件服务器是虚拟 2012 R2,运行在带有 2012 R2 Hyper-V 的 Dell PE 上。带有 2012 R2 Hyper-V 的 Dell PE 服务器有两个分区。第一个分区用于 2012 R2 操作系统,第二个分区是 Windows 2012 R2 托管虚拟机的位置。在虚拟机所在的第二个分区上启用 Bitlocker 是个好主意吗?有什么优缺点?还有其他解决方案吗? 需要在 6 月中旬之前加密他们的数据。谢谢。 ...
我有一位客户,他需要让电子邮件收件人在打开包含敏感材料的电子邮件之前验证其身份。例如,如果我向[电子邮件保护]我需要弹出一些提示,询问“您的 SSN 的最后四位数字是什么”,或者类似这样的问题,然后才允许他们打开电子邮件。换句话说,我需要验证 jsmith 是 John Smith 而不是 Joe Smith。这可以用 Exchange 或 Office 365 来完成吗?我知道有第三方服务,但我希望将其保留在 Exchange 或 Office365 上。 提前致谢! ...
我正在考虑在 Azure VM 上托管符合 HIPAA 要求的 Web 应用程序。对于数据库,目前我倾向于使用带有 SQL 2014 标准版的 VM。 由于标准版不提供 TDE,我将使用 BitLocker 加密整个驱动器。但是,根据我所读到的内容,如果不使用某种第三方服务(例如云联)。 本文但是,MSDN 暗示可以使用 BitLocker 加密数据驱动器。因此,我想我的问题是双重的: 1)是否可以在 Azure VM 上使用 BitLocker 加密数据驱动器? 2) 如果我获得具有 SQL Standard 的 Azure VM,是否需要加密操作...
我不断收到 Godaddy 关于遵守 HIPAA 的询问。 有人对这个问题有研究答案吗?我们有专用的 5505 和专用服务器,我想知道是否有可能使此设置符合 HIPAA/HITECH 标准。 我有点犹豫,因为当我问他们与他们签订的业务伙伴协议是什么时,他们回答说“那是什么?” ...
%20SQL%20Server%20%E6%A0%87%E5%87%86%E6%95%B0%E6%8D%AE%E5%92%8C%E6%97%A5%E5%BF%97%E6%96%87%E4%BB%B6.png)
我正在处理受保护的电子健康信息 (ePHI 或 PHI),并且 HIPAA 法规要求只有授权用户才能访问 ePHI。列级加密可能对某些数据有价值,但我需要能够对某些 PHI 字段(例如姓名)进行搜索。 透明数据加密 (TDE) 是 SQL Server 2008 的一项功能,用于加密数据库和日志文件。据我了解,这可以防止获得 MDF、LDF 或备份文件访问权限的人对文件进行任何操作,因为它们已加密。TDE 仅适用于 SQL Server 的企业版和开发人员版,而企业版对于我的特定场景来说成本过高。如何在 SQL Server Standard 上获得类似的...
在一家小型办公室,我客户的人力资源部门需要与一些供应商就 HIPAA 涵盖的材料进行沟通。大多数公司如何处理有关 HIPAA 的安全电子邮件发送。我更愿意加密电子邮件本身,而不是要求供应商登录安全的消息服务器,但我不知道这是否很常见 ...
在内部电子邮件服务器与外部收件人通信期间使用 STARTTLS 是否足以满足 HIPAA 准则?如果是,是否需要强制使用 TLS? ...
我正在计划对几个团体诊所进行系统升级。 我向他们询问有关他们的 RTO(恢复时间目标)和 RPO(恢复点目标)的问题,以便我可以平衡他们的预算和这些目标。 我想要从 ServerFault 了解的是,HIPAA 是否有有关患者医疗数据的 RPO 和 RTO 的规定? 我理解,如果一家诊所接受审计,并向患者收取了手术费用,但医疗记录丢失,那么该诊所可能会被处以每位患者高达 10,000 美元的罚款。我不知道这是否是真正的罚款,但它确实让我在计算中包括了潜在罚款,而不仅仅是典型企业可能遭受的收入损失。 谢谢你, 基思 ...