STARTTLSはHIPAAに十分ですか
内部電子メールサーバーと外部受信者の間の通信中にSTARTTLSを使用することで、HIPAAガイドラインを満たすのに十分ですか?もしそうなら、TLSを強制する必要がありますか?
一般的にはありません。
電子メールクライアントを構成し、SMTP接続でSTARTTLSを設定している場合、電子メールはユーザーと電子メールサーバーの間でのみ暗号化されます。受信者の電子メールサーバーに対してではなく、受信者とその電子メールサーバーの間でもありません。
ほとんどの企業は、HIPPAの対象となるデータを電子メールで送信しません。これは、送信中は本質的に安全ではないためです(ほとんどのサーバー構成で)。そうするものは、電子メール自体に暗号化を精力的に使用します( S/MIME または [〜#〜] pgp [〜#〜] );これは、通常のユーザーがセットアップするのは非常に困難です。
私が見た一般的に受け入れられている慣行は、Webサイトへのリンクを電子メールで送信することです。 WebサイトはTLS暗号化されており、クライアントはIDを証明する必要があります。これは基本的にエンドツーエンドで安全です(ユーザーエラーに耐えられません)。
小規模な会社の場合、基本的には電子通信をやめるか、HIPPA準拠の通信を専門とするコンピューター会社を雇うかを選択できます。大企業の一員である場合は、ネットワーク管理者、監査人、またはHIPPAコンプライアンスコンサルタントに問い合わせてください。
送信される電子メールには、HIPAAの対象となるデータが含まれていると思います。
簡単な答えはおそらくそうではありません。エンドツーエンドの暗号化を使用する必要がある可能性があります。
ただし、本当の答えは、HIPAA監査人、または両方の法律と、監査人と裁判官がそれをどのように理解しているかを深く理解している人に相談する必要があるということです。
このようなちょっとしたミスは、廃業するだけでなく、人々に深刻な苦痛を与える可能性がある場合は、インターネットからランダムに回答しないでください。
HIPAAセキュリティスペシャリストに相談する必要がありますが、EPHI標準はTLSを対象としています。ただし、tlsを拒否する接続を強制的に拒否する必要があるという点で正しいです。
正気の管理者が考えるかもしれないこととは反対に、hipaaregsはセキュリティ自体についてではありません。彼らは単に、一部の上院議員が安全を意味すると考えたいくつかの要件を詳しく説明しています。たとえば、Chris Sが正しく指摘したように、暗号化クライアントはIDを証明する必要がありますが、それは標準の一部ではありません。電子メールは通常、ユーザーシステムに転送されるため暗号化されませんが、特に必要ありません(宛先システムのストレージは必要です)。ただし、クリアテキストではないため、Exchangeサーバー上のパスワードで保護されたPSTに保存することで十分です。これは、あなたが正しいことをすることができない、またはすべきではないという意味ではなく、弁護士の観点から要件が満たされていることを意味します。
IMHO 21CFRパート11とHIPAAはどちらも深刻なオーバーホールが必要であり、インターネットが一連のチューブであると考える人々からのものではありません。
コメントする方法がわからないので、ジムBに回答の形で質問します。ごめんなさい。私は次の言語が不明確であると思います、そしておそらくあなたは明確にすることができます:
電子メールは通常、ユーザーシステムに転送されるため暗号化されませんが、特に必要ありません(宛先システムのストレージは必要です)。ただし、クリアテキストではないため、Exchangeサーバー上のパスワードで保護されたPSTに保存することで十分です。
電子メールが社内サーバーからユーザーのデスクトップPC(またはモバイルデバイス)に転送されるときの暗号化は明示的に必要ではないと言っていますか?
また、「宛先システムでの保存が[特に必要]」とは、電子メールを受信者のPCに暗号化された形式で保存する必要があるという意味ですか?または、ユーザーがメールをダウンロードして読むときに、そのメールをメールサーバーから消去する必要がありますか?または、電子メールが保存される場所はどこでも、暗号化された形式で保存する必要がありますか?