11

Does anyone know if the provided SQL and Active Directory Membership Providers in ASP.NET 2.0+ are HIPAA compliant?

Clarification:

I understand that HIPAA mandates patient information be secured and that certain policies be put in place to secure access to that information. Can Microsoft's SQL and AD Membership Providers be used for handling the authentication of users accessing this information? I expect there to be some policies that need to be established like password length and complexity but is there anything inherit about the way they store information that would invalidate them for the purposes of authorization? Any gotchas or things to look out for?

4

3 回答 3

2

这取决于你想用它们做什么,但简而言之,是的。HIPAA 是关于保护数据的标准;只要您有办法提供安全性,这些标准并不是特别苛刻。这样,它很像 ISO 9001;只要您定义安全策略并坚持下去,就可以了。提到的提供者是有效的工具。

也就是说,您可能需要对您的数据做一些额外的事情,以确保它只能从您的应用程序中清楚地访问;某种程度的预加密可能是合适的。只需了解它可能不需要是 HEAVY 加密;只要您与它的应用程序一致,就可以很轻。

于 2009-07-30T17:26:39.447 回答
1

我当然希望是;)我们目前在我工作的健康保险公司使用带有 ADAM LDAP 的 2.0 Membership Provider。HIPAA 和 PHI 是这里的游戏名称,这个设置通过了我们的法律部门。

于 2009-07-30T20:11:22.297 回答
0

我会说开箱即用,它符合 HIPAA。

找出答案的方法是创建一个新的 Web 应用程序,其中只有一个 default.aspx 和一个登录页面。然后单击解决方案资源管理器工具栏中的“ASP.NET 配置”工具以启动配置应用程序(如果您的站点托管在那里,您也可以从 IIS 执行此操作)。设置默认值,选择AspNetSqlProvider对所有功能使用。

这将在您的 App_Data 文件夹中创建一个 ASPNETDB.MDF。右键单击它并选择“打开”。这将在服务器资源管理器中打开它,您可以在其中查看已创建的所有表。

您会发现密码以散列形式存储在aspnet_Membership表中,而不是纯文本。这是好事。但是,电子邮件地址也以明文形式存储。如果我记得四年前的 HIPAA 培训,那就是 PII,至少应该假装很特别。事实上,任何有权访问数据库的人都可以找到任何成员的电子邮件地址。


根据更新编辑:

如果您只是在谈论使用它们进行身份验证和授权,我会说您没问题。您将需要忽略电子邮件地址。

于 2009-07-30T17:40:46.827 回答