Cómo enviar y recibir correos electrónicos cifrados usando PHP

Question

Trabajo en un hospital y he desarrollado una forma de estimar la responsabilidad financiera total del paciente por los servicios, después de que el seguro pagó su obligación y antes de que se presten los servicios. Muchos pacientes piden presupuestos, y quería encontrar una forma segura de enviar esos resultados al paciente por correo electrónico a petición suya.

Estoy considerando eliminar toda la información del paciente del presupuesto generado, por lo que no habría ningún problema de seguridad, pero me gustaría encontrar una forma de encriptar el correo electrónico, enviarlo y permitir que el cliente de correo electrónico del cliente descifre el correo electrónico.

No estoy seguro de cómo usar los certificados de seguridad, aunque podrían ser la mejor opción para mí, aunque tendría que saltar a través de los aros corporativos para tener acceso a Internet para recibir certificados, todas las aplicaciones de correo electrónico son solo del lado del hospital.

También estoy considerando crear un PDF a partir de la carta generada y encriptar el PDF, asignando sus últimas cuatro de su información social u otra información privada que hayan compartido con nosotros durante el proceso de generación de cotizaciones, como su contraseña.

Answer 1

Lo logré hace 10 años usando PGP. GPG es una biblioteca similar.

Sin embargo, estas opciones pueden ser demasiado complicadas para un usuario anterior, ya que creo que ambas implican que el destinatario instale un certificado de su tipo.

podría ser un buen lugar para empezar a buscar ...

Answer 2

Por lo que sé, esto es esencialmente imposible a menos que el receptor también está utilizando el mismo cliente de correo electrónico. El problema es que incluso si encriptas tu parte, el destinatario recibirá un mensaje de basura simplemente porque no tienen la funcionalidad para descifrar.

Mientras escribía esto, TomWilsonFL publicó información sobre un posible método de encriptación, pero aún deberá proporcionar al destinatario una aplicación para descifrar los datos.

Answer 3

Será mejor que envíe un enlace a un sitio encriptado con SSL que tenga toda la información. No requeriría ningún software adicional en el lado del cliente, y le permitiría tener un poco más de control y contabilidad de quién está accediendo a él.

Por supuesto, debe protegerlo con nombre de usuario/contraseña de algún tipo, incluso podría simplemente usar su seguridad social + un hash generado enviado en el correo electrónico. El hash evita que el usuario adivine ssn aleatorios.

Answer 4

Si trabaja en un hospital de los EE. UU., Es mejor que no intente enviar por correo electrónico información de salud protegida. (Cosas similares son ciertas en otros países). Incluso si borra el nombre del paciente del mensaje, definitivamente tendrá la dirección de correo electrónico del paciente en el mensaje (¡duh!). Lo más probable es que tenga diagnósticos, fechas de nacimiento, fechas de atención propuesta, números de registros médicos o números de cuenta. Eso es todo datos protegidos. Malo. Malo. Vea aquí las regulaciones, que son rígidas.

http://www.hhs.gov/ocr/privacy/hipaa/understanding/summary/index.html

Si quieres hacer esto, debe utilizar la seguridad TLS (HTTPS), y tiene que ir a alguna longitud tanto para asegurar que la persona acceda a su sitio web seguro es quien dice ser, y debe registrar accesos.

Por favor, si valora su trabajo y su cuenta de ahorros, consulte con el funcionario de privacidad de su hospital antes de enviar correos electrónicos con su PHI.La ley ARRA 2009 hace a las personas personalmente responsables de las infracciones, incluso si trabajan para corporaciones. Además, su hospital NO quiere que su nombre se ilumine aquí.

http://www.hhs.gov/ocr/privacy/hipaa/administrative/breachnotificationrule/postedbreaches.html

Se podría utilizar el correo electrónico encriptado, siempre y cuando la parte no cifrada (por ejemplo, la línea de asunto) se limitó a decir "aquí está la información que ha solicitado" o algo por el estilo. Pero, ya sabes, muchas personas que buscan atención médica no podrán hacer frente a un complemento complejo a su software de cliente de correo.

La compañía PGP ofrece un sistema de puerta de enlace de correo electrónico cifrado que usan algunas personas con PHI.

http://www.pgp.com/products/universal_gateway_email/index.html

Sin embargo, aún debe consultar con su agente de privacidad.