有人知道 ASP.NET 2.0+ 中提供的 SQL 和 Active Directory 成员身份提供程序是否符合 HIPAA 吗?
澄清:
我知道 HIPAA 要求保护患者信息,并采取某些政策来确保对该信息的访问安全。 Microsoft 的 SQL 和 AD Membership Providers 是否可用于处理访问此信息的用户的身份验证? 我希望能够建立一些策略,如密码长度和复杂性,但它们存储信息的方式是否有任何固有的缺陷使其无法用于授权目的? 有什么需要注意的问题吗?
3个回答
2
取决于您想用它们做什么,但简单来说是可以的。HIPAA是关于保护数据安全的标准; 只要您有一种提供安全性的方式,这些标准并不特别严格。在这方面,它很像ISO 9001;只要您定义了一个安全策略并坚持执行,就没问题了。所提到的提供商实际上是工具。
话虽如此,您可能需要对数据进行一些额外的处理,以确保它仅从您的应用程序中清晰地访问;某种程度的预加密可能是适当的。只要您始终保持应用它的一致性,它可能不需要很高强度的加密。
话虽如此,您可能需要对数据进行一些额外的处理,以确保它仅从您的应用程序中清晰地访问;某种程度的预加密可能是适当的。只要您始终保持应用它的一致性,它可能不需要很高强度的加密。
- Paul Sonier
1
HIPAA更多关注的是如何保护和安全你的数据,而不是你使用什么来实现它。只要数据受到保护,并且只能被允许访问它的人访问,那么你就没问题了。 - Brettski
1
我希望它是;) 我们目前在我工作的医疗保险公司使用2.0会员提供程序和ADAM LDAP。HIPAA和PHI是这里的关键词,这个设置已经通过了我们的法律部门。
- vonfeldj
0
我认为它不能符合HIPAA标准。
要确定是否符合标准,您可以创建一个新的Web应用程序,只包含一个默认的.aspx文件和一个登录页面。然后单击“解决方案资源管理器”工具栏中的“ASP.NET配置”工具,启动配置应用程序(如果您的站点托管在IIS上,也可以从那里执行此操作)。设置默认值,选择使用AspNetSqlProvider来进行所有功能的设置。
这将在您的App_Data文件夹中创建一个ASPNETDB.MDF。右键单击它并选择“打开”。这将在服务器资源管理器中打开它,您可以查看创建的所有表。
您会发现密码是以散列形式存储在aspnet_Membership 表中,而不是以明文形式。这是一件好事。但是,电子邮件地址也是以明文形式存储的。如果我记得我的HIPAA培训(四年前)的话,这是PII,并且至少应该假装很特别。实际上,任何有数据库访问权限的人都能找到任何成员的电子邮件地址。
根据更新进行编辑:
如果你只是想要用它们进行身份验证和授权,那么我认为你没问题。你需要忽略电子邮件地址。
- John Saunders
1
您可以使用自定义提供程序来解决电子邮件地址问题。 - rboarman
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接