web-dev-qa-db-ja.com

HIPAAデータを「クラウド」に保存するために法的に必要なものは何ですか?

私は、HIPAAに準拠するために、災害発生時に医療システムのSQL DBバックアップをクラウドに保存することを検討していました。私が思いついた解決策は、Cloudberryバックアップを使用することでした。私がしたいことは、ローカルコンピューターにSQL DBをエクスポートし、Cloudberry構成のパスフレーズと最高の暗号化設定を使用して、S3に毎晩アップロードすることです。このデータは休止中になります。

私が過去に読んだことから、これは許容できるように思われます、そして以下のステートメントはそれも許容できるように聞こえますが、私は確信したいと思います。

A PDF これについて述べています

Amazon S3をHIPAA準拠のストレージプラットフォームとして活用-Amazon S3プラットフォームは、顧客のデジタルレコードを保存するためのコスト効率の高い代替手段を提供します。受信データはすべて、いくつかの異なる場所に自動的に複製され、顧客データの高い耐久性と可用性を提供します。実装された暗号化アルゴリズムは、HIPAA規定で要求されているように、転送中(受信と送信)および「保管中」(常駐)データの機密性を保護します。業界グレードの認証は、特定のアクセス制御権限をさまざまなユーザーおよび管理者アカウントに委任するのに役立ちます。

BAA(ビジネスアソシエイトアグリーメント)やその他のことについて読んだことがあります。私は専門家に質問するのが最善であろうと考えました-この方法でHIPAAデータをクラウドにバックアップしますか?

cloud-computinghipaaamazon-s3
7
cutrightjm

CloudBerryバックアップを使用している場合は、クライアント側の暗号化を有効にして、ファイルがAmazon S3に到達する前に暗号化されるようにします。

HIPAAスコープ外の暗号化データ

暗号化されたデータをサードパーティプロバイダーに送信する場合、ビジネスアソシエイト契約(BAA)は必要ありません。この暗号化は、AES-128などのFIPS 140-2準拠の暗号で実行する必要があります。基本的に、HIPAAでは、encryptedPHIデータは承認された暗号を使用して行われる限り、法律の保護の範囲に含まれます。暗号化されたデータのみが侵害された場合、違反を誰にも通知する必要はありません。

暗号化されていない場合は、BAAを取得します

Amazonは現在HIPAA準拠のホスティングパッケージを提供しているため、Amazonでデータを暗号化しない場合は、BAAにサインオフする必要があります(Webフォームを介して提供されるボイラープレート)。 PHIデータを保存しているクラウドプロバイダーにはBAAが不要であることに強く反対します。私はサードパーティの認証会社からの多くのHIPAA監査を受けており、彼らは常にこれについて尋ねています。次に、この関係を反映し、PHIの周りの安全対策を文書化するために、独自の文書化とセキュリティポリシーも必要になります。

ソースマテリアル

HHSは暗号化と違反通知に関する情報を提供します ここ

BAAsに関する情報はHHSによって提供されます こちら

5
Herringbone Cat