有人知道 ASP.NET 2.0+ 中提供的 SQL 和 Active Directory 成员身份提供程序是否符合 HIPAA 吗?
澄清:
我知道 HIPAA 要求保护患者信息,并采取某些政策来确保对该信息的访问安全。 Microsoft 的 SQL 和 AD Membership Providers 是否可用于处理访问此信息的用户的身份验证? 我希望能够建立一些策略,如密码长度和复杂性,但它们存储信息的方式是否有任何固有的缺陷使其无法用于授权目的? 有什么需要注意的问题吗?
有人知道 ASP.NET 2.0+ 中提供的 SQL 和 Active Directory 成员身份提供程序是否符合 HIPAA 吗?
澄清:
我知道 HIPAA 要求保护患者信息,并采取某些政策来确保对该信息的访问安全。 Microsoft 的 SQL 和 AD Membership Providers 是否可用于处理访问此信息的用户的身份验证? 我希望能够建立一些策略,如密码长度和复杂性,但它们存储信息的方式是否有任何固有的缺陷使其无法用于授权目的? 有什么需要注意的问题吗?
我希望它是;) 我们目前在我工作的医疗保险公司使用2.0会员提供程序和ADAM LDAP。HIPAA和PHI是这里的关键词,这个设置已经通过了我们的法律部门。
我认为它不能符合HIPAA标准。
要确定是否符合标准,您可以创建一个新的Web应用程序,只包含一个默认的.aspx文件和一个登录页面。然后单击“解决方案资源管理器”工具栏中的“ASP.NET配置”工具,启动配置应用程序(如果您的站点托管在IIS上,也可以从那里执行此操作)。设置默认值,选择使用AspNetSqlProvider
来进行所有功能的设置。
这将在您的App_Data文件夹中创建一个ASPNETDB.MDF。右键单击它并选择“打开”。这将在服务器资源管理器中打开它,您可以查看创建的所有表。
您会发现密码是以散列形式存储在aspnet_Membership
表中,而不是以明文形式。这是一件好事。但是,电子邮件地址也是以明文形式存储的。如果我记得我的HIPAA培训(四年前)的话,这是PII,并且至少应该假装很特别。实际上,任何有数据库访问权限的人都能找到任何成员的电子邮件地址。
根据更新进行编辑:
如果你只是想要用它们进行身份验证和授权,那么我认为你没问题。你需要忽略电子邮件地址。