1

我正在开发一个必须符合 HIPAA 的 PHP/MySQL 应用程序。根据我的阅读,任何可以识别某人或任何医疗信息的个人数据都必须在静态和传输过程中进行 256 位加密。我试图找出最有效的方法是什么。

我正在使用 Amazon Web Services,我想对 HTTP 和数据库请求使用 SSL 加密来保护传输中的数据。至于静态数据,我想用 AES 256 编译一个自定义 MySQL 服务器,以便使用 AES_ENCRYPT 和 AES_DECRYPT——但是我是否必须为我加密的每个字段存储一个 IV?否则,在应用程序本身内进行加密/解密将花费太长时间,并且查询数据库将是地狱。

有什么想法吗?

4

1 回答 1

2

HIPAA 实际上并不要求您的 ePHI 在存储在 MySQL 数据库中时被“静态”加密,只要它是隔离的,这样未经授权的人就无法访问它。

也就是说,如果可能的话,通常最好对您的数据进行静态加密,因为这样可以防止数据泄露时发生违规行为。

在此处详细阅读有关 mySQL 和加密选项的 HIPAA 合规性(我与此网站没有关系):

https://luxsci.com/blog/encryption-and-auditing-for-mysql-databases-under-hipaa.html

于 2016-09-13T04:13:46.010 回答