构建一个符合 HIPAA 的应用程序,我想知道如何将访问令牌存储到远程服务器,和/或拥有一个本地 SQL 加密的本地数据库(例如 SQLCipher)。
考虑到 HIPAA 要求的性质,我只能得出结论,密钥的适当位置只能在服务器上,而不能在本地移动设备上:
HIPAA 标准的第 164.312 节规定如下:
(a)(1) 标准:访问控制。为维护受保护的电子健康信息的电子信息系统实施技术政策和程序,以仅允许访问已被授予 §164.308(a)(4) 中规定的访问权限的人员或软件程序。
所以更具体地说,
1)假设有权访问电话的人最终可以提取密钥/访问令牌,这是否意味着本地密钥存储不符合 HIPAA 标准?
2) 消息传递应用程序如何符合 HIPAA?由于每次打开应用程序时都不会提示用户输入密码,这意味着访问令牌保存在手机本地的某个位置。