0

我在 Amazon EC2 中有一个实例,需要符合 Hipaa。我有两个疑问,

  1. 我是否需要对数据库存储进行块级加密。
  2. 在存储到数据库之前是否需要加密敏感数据。
  3. 处理加密的最佳数据库软件

任何帮助都将不胜感激,

谢谢你。

4

2 回答 2

8

HIPAA 的问题在于它是相对主观的,并且个人根据他们的目的进行了不同的解释 - 请参阅此处以获取有关 HIPAA 的快速入门。

您应该采取的一般方法是尝试最大限度地提高用户 PHI(受保护的健康信息)的安全性。通常,HIPAA 建议/要求您对HIPAA 综合法案164.312涵盖的静态和传输中的PHI 数据进行加密。

因此,您可以自由将该裁决解释为:

  • 静态加密:通过加密存储数据的磁盘/块。或在将数据存储到磁盘之前对其进行加密。后者显然在 CPU 方面非常昂贵。任何加密/解密过程都将占用更多 CPU 资源,因此无论如何您都应该期望性能受到影响。我们通过在任何地方使用 SSD 来克服这个问题。我们还采用的方法是加密块而不是数据库读写操作。这足以满足 HIPAA 的需求。如果您对块进行加密,则无需使用任何特定于数据库的工具进行加密等。这肯定会简化您的生活。
  • 传输中加密:受该法案 164.312(e)(1) 的保护。通常这适用于 PHI 的任何移动。因此,如果您往返于您的应用程序以及往返于您的数据库,您必须至少加密数据 (SSL/https)。因此,请确保 Web 上的任何数据都是通过 https 完成的。从技术上讲,您的应用程序和数据库之间的传输仍然属于“在途”要求。但是,您可以轻松地认为这是在您的 VPC 中,因此不是必需的。我们也选择对其进行加密以简化我们的审计过程。

希望这一切都有帮助。

我相信您已经知道这一点,但这仅涵盖了 HIPAA 需要的一小部分内容。文档、培训等方面涉及很多方面。请参阅此处以记录您如何遵守 HIPAA,此处了解您如何在组织内设置实际政策,这里将您的 HIPAA 培训作为您可以使用的起点。另请查看责任总部,或许可以帮助您快速开始。

于 2014-08-25T15:05:45.437 回答
0

AWS HIPAA 中心是一个好的开始:AWS 中的 HIPAA

如该页面所述:

您可以在符合 HIPAA 的应用程序中使用任何 AWS 服务。但是,只有我们的 BAA 中定义的符合 HIPAA 要求的服务才能用于处理、存储和传输可识别个人身份的患者数据。

阅读两个 AWS HIPAA 常见问题解答:第 1部分和第 2 部分。您还需要了解责任共担模型。

EC2、EBS 是符合 HIPAA 要求的服务。但是,您需要打开 EBS 加密,并在专用实例上运行它们。这样做的代价不小,对于单个实例/小型系统来说可能有点过分了。

关于你的问题:

  1. 我是否需要对数据库存储进行块级加密。

如果您在 EC2 + EBS 上运行数据库,那么可以;这只是在 AWS 上的一键点击。

如果您使用 RDS(一种托管服务),那么这将由 AWS 为您处理。注意:在撰写本文时(2016 年 9 月),只有 MySQL 和 Oracle 是符合 HIPAA 要求的 RDS。但是,您可以在符合 HIPAA 要求的 EC2 和 EBS 上运行 MS SQL Server。

  1. 在存储到数据库之前是否需要加密敏感数据。

不是真的需要。只有当您需要将其作为额外的安全层时,我才会说“是”,但它不会改善您的 HIPAA 合规状态。

  1. 处理加密的最佳数据库软件

这取决于您的特定架构。如果您使用加密的 EBS 或 RDS,那么加密已经为您处理好了。

我建议联系 AWS 支持并获得 BAA,然后在继续之前对整个解决方案进行 TCO 计算。

于 2016-09-08T11:34:04.473 回答