HIPAAコンプライアンスのためのクロスプラットフォームモバイルアプリを保護する最良の方法
Ionic 3とCordovaを使用して、クロスプラットフォームでオフラインの最初のmHealthアプリケーションを開発しています。近い将来、HIPAAに準拠する必要がある可能性があります。クライアント側のDB、HTTPSとしてPouchDBを使用します。 、サーバー側の機能が必要な場合の保存時の暗号化サーバー側。データをグループ内のユーザーと同期する必要がない限り、クライアントはローカルで実行されます。シンクロサービスはバックエンドWebサービスを使用します。セッションにはJWTトークンを使用します。認証ですが、HIPAAとは何なのか...ローカルDBを暗号化しておく必要があるという考えは、私を不快にさせます。パフォーマンスが低下します。mHealthアプリケーションのセキュリティのベストプラクティスは何ですか?
特定の状況の詳細によって異なりますが、インスタンスでクライアントの暗号化が必要になる場合があると思います。以下のサンプルの質問は、 HSS Technical Safegaurds ドキュメントによって提示されます。
- アクセス権が付与されていない人物またはソフトウェアプログラムによるアクセスを防ぐために、暗号化および復号化する必要があるEPHIはどれですか。
- アクセス権が付与されていない人物またはソフトウェアプログラムによるEPHIへのアクセスを防止するために実装するのに適切かつ適切な暗号化および復号化メカニズム
特に2番目の問題は、問題点です。デバイスがePHIを保存するフォルダーへのアクセスをロックダウンする方法がない場合は、データを暗号化する必要があります。私は、この状況でソフトウェアの十分なアクセス制御を構成するものについての法的ニュアンスの一部に精通している必要はありません(つまり、おそらくプログラムBは通常の条件下でフォルダーにアクセスできませんが、デバイスがルート化されるとどうなりますか)。したがって、注意を怠らないほうがよいでしょう。