iPhoneアプリをHIPAAに準拠させる方法は?
IPhoneアプリをHIPAAに準拠させるにはどうすればよいですか。私たちのウェブサイトは、保存時に暗号化を使用し、SSLおよびその他のセキュリティ対策を使用しているため、HIPAAに準拠しています。
SSL接続を使用すると利点がありますか?また、電話が保護されているかどうかに関係なく、iPhoneは暗号化を提供すると思いますか?
私はあなたに完全な答えを与えることはできませんが、私の前の病院の弁護士が私に与えた短いバージョンは次のとおりでした:
SSLは転送されるデータを保護しますが、SDカード/ハードドライブにキャッシュされるものは暗号化されません...
したがって、このアプリケーションを見るときは、アプリによって電話に保存されているものも暗号化する必要があります。 iPhoneをコンピュータ(または友人)に接続したことがある場合は、ストレージ(OSを含む)のフルセットにアクセスできます。つまり、電話機を紛失した場合でも、キャッシュされたものすべてを利用できます。
私は、プログラムがデバイスに提供する少なくともPKI、PHI、またはPIIの暗号化について注意深く検討します。
問題は、プログラムがデータを格納していなくても、Webインターフェースがデバイスとの間でやり取りされるデータをキャッシュできることです。これは問題を引き起こす可能性のある部分です。
唯一の答えはHIPAA法に完全に準拠しており、患者データを保護するために許可された使用が必要な個人にのみ、安全で安全なアクセスを許可することです。監査された方法。最低でも http://www.hhs.gov/ocr/privacy/hipaa/understanding/summary/index.html
使用中のいくつかのテクノロジー(SSL;ディスク暗号化)をリストしても、HIPAAに準拠しているわけではありません。ビジネスアソシエイツ契約(BAA)に署名していないサードパーティ(クラウドプラットフォームでのホスティングなど)とデータを誤って共有していないことを確認してください。暗号化されていない電話に保護されたデータを保存しないでください。アプリが基本的なSQLインジェクション/特権エスカレーションタイプの攻撃を受けないことを確認し、奇妙な動作がないかユーザーアクティビティを監視し、開示を報告するなどします。