Proveedores de Membresía y Cumplimiento HIPAA

Question

¿Alguien sabe si los Proveedores de Membresía de SQL y Active Directory provistos en ASP.NET 2.0+ cumplen con HIPAA?

Aclaración:

entiendo que los mandatos de HIPAA información del paciente y asegurar que ciertas políticas de ser puesto en marcha para garantizar el acceso a esa información. ¿Se pueden usar los proveedores de membresía SQL y AD de Microsoft para manejar la autenticación de los usuarios que acceden a esta información? Espero que existan algunas políticas que deben establecerse, como la longitud y la complejidad de las contraseñas, pero ¿hay algo que herede sobre la forma en que almacenan la información que las invalidaría para fines de autorización? ¿Tienes problemas o cosas por las que preocuparte?

Answer 1

Depende de lo que quiere hacer con ellos, pero en resumen, sí. HIPAA se trata de estándares para proteger sus datos; los estándares no son particularmente duros, siempre y cuando tenga una forma de proporcionar seguridad. De esa manera, se parece mucho a ISO 9001; siempre que defina una política de seguridad y la respete, está bien. Los proveedores mencionados son efectivamente herramientas.

Dicho esto, es posible que deba hacer algunas cosas adicionales con sus datos para asegurarse de que solo sean accesibles desde su aplicación; cierto nivel de precriptación probablemente sea apropiado. Simplemente entienda que probablemente no necesita ser cifrado PESADO; sería muy liviano, siempre y cuando seas consecuente con la aplicación del mismo.

Answer 2

Yo diría que fuera de la caja, es no HIPAA obediente.

La manera de averiguarlo sería crear una nueva aplicación web, con solo un default.aspx y tal vez una página de inicio de sesión. A continuación, haga clic en la herramienta "Configuración de ASP.NET" en la barra de herramientas de Solution Explorer para iniciar la aplicación de configuración (también puede hacer esto desde IIS si su sitio está alojado allí). Configure los valores predeterminados, eligiendo usar AspNetSqlProvider para todas las funciones.

Esto creará una ASPNETDB.MDF en su carpeta App_Data. Haga clic con el botón derecho y elija "Abrir". Esto lo abrirá en Server Explorer, donde puede ver todas las tablas que se crearon.

Encontrará que la contraseña se almacena hash en la tabla aspnet_Membership, en lugar de como texto sin formato. Eso es bueno. Sin embargo, la dirección de correo electrónico también se almacena en el claro. Si recuerdo mi entrenamiento HIPAA de hace cuatro años, eso es PII, y debería al menos pretender que es especial. Tal como está, cualquier persona con acceso a la base de datos podría encontrar la dirección de correo electrónico de cualquier miembro.

---

Editar basado en la actualización:

Si sólo está hablando acerca de su uso para la autenticación y autorización, diría que estás bien. Tendrá que ignorar la dirección de correo electrónico.

Answer 3

Espero que lo sea;) Actualmente usamos el Proveedor de Membresía 2.0 con un ADAM LDAP en la compañía de seguros de salud para la que trabajo. HIPAA y PHI son el nombre del juego aquí y esta configuración pasó por nuestro departamento legal.