问题标签 [hipaa]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
mysql - 使用 MySQL 中的视图维护 HIPAA 合规性
问题
我们有一个大型 Web 应用程序,用于存储和显示与 HIPAA 相关的敏感数据。我们目前正在研究提高 HIPAA 合规性和降低违规风险的方法。
目前,有一些功能和报告不会根据登录者的权限正确限制客户信息(例如,客户搜索功能和某些遗留报告)。
可能的解决方案
从程序的角度处理问题
我们总是可以重写导致不合规的代码部分。问题是,考虑到应用程序的规模,这种方法很容易出错——可能会遗漏一些东西。
更改数据库以限制返回的数据
我们可以更改 MySQL 数据库结构以反映应用程序所需的必要权限限制。这样,没有人可以看到他们不应该看到的数据,因为数据库不会返回他们不应该看到的数据。
我的问题
该应用程序本身有近 300 个表,其中大部分存储某种敏感数据。使用 MySQL 视图来限制数据访问是否可能(并且可行)?
如果是这样,最好的方法是什么?
authentication - 2因素身份验证的示例?
我很快就会做一个 HIPAA 应用程序,它需要 2 因素身份验证。谁能给我一个例子?我正在考虑一个安全的登录,然后是一个要求用户输入他们的出生日期或其他内容的表单。
谢谢,达伦
heroku - Heroku HIPAA 合规性
是否可以在 Heroku 上运行符合 HIPAA 的应用程序?更具体地说,我需要两个应用程序,一个存储会员信息,另一个存储会员的私人健康信息。我打算使用非对称和对称密钥加密来加密敏感数据——非对称密钥用于将成员与其在另一个应用程序上的敏感数据链接起来,而对称密钥用于成员应用程序中的特定字段,例如姓名、电子邮件地址和电话。我主要担心 Heroku 的任何人都可以破解非对称加密,因为他们可以访问这两个应用程序(和私钥)。我担心这一点是正确的,还是 Amazon EC2 的基础设施阻止 Heroku 员工访问这两个应用程序?
wcf - WCF netTCPBinding 内置传输安全强度和 HIPAA 合规性
使用 WCF netTCPBinding 的默认 TCP 传输安全性的强度是多少?它是否符合 HIPAA 以及说明这一点的文档在哪里?
biztalk - BizTalk 2009 EDI HIPAA 5010A 修补程序/更新
我想知道是否有人可以提供有关何时发布 BizTalk 更新以符合 5010A 标准的任何见解,包括所有附录和勘误表。
我几乎用谷歌和必应搜索让自己筋疲力尽,我唯一能找到的是在 MSDN 上非常模糊地提到了 2011 年第一季度,但那个时间表几乎已经过去了,再也没有提到它。BizTalk 产品团队博客去年年初停止了博客,他们最后一次提到 5010 与为原始标准发布的第一个修补程序有关,但我可以看到该修补程序没有处理任何附录或勘误表。
也许我遗漏了一些东西,但我现在已经完成了 5010 的开发,我们正在接近测试多个事务集,如果没有最新的模式,就无法测试任何一个。
在此先感谢您的帮助!
php - HIPAA 合规性,我需要知道什么?
好的,所以我会为一家品牌公司提供服务,而我们只是触及了收集制药数据的皮毛。我对 HIPAA 合规性有所了解,但我想我模糊的地方是..
一个)。通过表单收集数据时,我是否需要对数据进行去标识化。即,将其存储在单独的表中等。B)。谁/什么有权访问功能/程序以存储未加密的任何数据。C)。数据库可以是 MySQL 数据库吗?D)。我是否需要认证/批准/许可证才能执行这些操作?
基本上我需要做什么,除了加密数据并将其存储在符合 HIPAA 的服务器上。我想通过表单捕获客户数据。谢谢!
database - 匿名化您的应用程序数据库
我想将真实姓名、电子邮件和任何其他个人身份信息保留在我的主应用程序数据库之外,以及另一个数据库/加密文件中。而且我很好奇是否有最佳实践解决方案,或者我是否完全忽略了某些东西。
我的一些想法如下:
- 用户使用在主数据库中都经过哈希处理的用户名和密码登录
- 然后,该服务器使用用户 ID 对成员数据库进行某种安全调用
- 作为回报,成员数据库返回姓名、电子邮件、地址等。
我想知道这是否是正确的方法,如果是,那么密钥的存储和身份验证位置等。
ios - 我们如何才能使我们的 iPhone 应用程序符合 HIPAA 标准?
我想开发一个用于管理医疗记录的 iOS 应用程序。我们如何使我们的 iPhone 应用程序符合 HIPAA 标准?
更新: 您是否建议使用任何特定的加密算法来保护 EMR?
ios - HIPAA 是否应该不允许移动原生应用程序中的离线存储?
HIPAA 是否应该不允许移动原生应用程序中的离线存储?我不知道 HIPAA 中是否已经有这种规定。我认为没有这样的事情。
如果你觉得这个问题不需要在这个论坛上问,我要求你完整阅读这个问题并为这个问题提出一个程序化的解决方案。
出现这种情况的主要原因是,一旦设备越狱或植根,有关移动开发的所有安全考虑可能都特别在 iOS 中似乎已被入侵。
http://anthonyvance.com/blog/forensics/iphone_encryption/
人们声称,如果手机被植根,iOS 中的钥匙串访问可能会受到影响。
我认为唯一没有受到任何怀疑的是sqlCipher。
如果您发现 SqlCipher 有任何缺陷,请分享。
而且我认为,在人们找到一种防盗方式来管理手机中的离线数据之前,人们可以避免为强制符合 HIPAA 的 EMR 应用程序制作离线功能。
可以说,当人们不顾一切地想要破解它时,任何系统都可能被破解。但我觉得移动设备很容易成为目标。当你失去你的手帕时,你可能会失去它。
请分享您的观点。
linq - 将已翻译的 4010 xml 提交到旧版 Web 服务后收到错误
下午好。
我将 270 发送到该州(密歇根州)并接收 271,然后将其转换为 271 的 4010 版本,以便旧版 Web 服务可以尝试吸收数据。Web 服务使用 dbml 和 LINQ 将消息转换为一系列表示数据库的类,在转换发生后它执行事务并更新客户端。但是我收到一条错误消息:
适配器无法传输要发送端口“SendEDI”的消息,URL 为“http://biz05/WriteEligibilityResponse/service.svc”。它将在为此发送端口指定的重试间隔后重新传输。详细信息:“System.ServiceModel.FaultException:a:InternalServiceFault尝试删除 X12_NM1 和 X12_271_2120C 之间的关系。但是,关系的一个外键 (X12_271_2120C.X12_NM1_Id) 不能设置为 null。尝试删除 X12_NM1 和 X12_271_2120C 之间的关系。但是,关系的其中一个外键 (X12_271_2120C.X12_NM1_Id) 不能设置为 null。在 EligibilityLookup.Service.ResponseToSQL.WriteResponse(Message message)
在 SyncInvokeWriteResponse(对象,对象 [],对象 [])
在 System.ServiceModel.Dispatcher.SyncMethodInvoker.Invoke(对象实例,对象 [] 输入,对象 [] 和输出)
在 System.ServiceModel.Dispatcher.DispatchOperationRuntime.InvokeBegin (MessageRpc& rpc)
在 System.ServiceModel.Dispatcher.ImmutableDispatchRuntime.ProcessMessage5(MessageRpc& rpc)
在 System.ServiceModel.Dispatcher.ImmutableDispatchRuntime.ProcessMessage4(MessageRpc& rpc)
在 System.ServiceModel.Dispatcher.MessageRpc.Process(布尔 isOperationContextSet)System.InvalidOperationException
在 Microsoft.BizTalk.Adapter.Wcf.Runtime.WcfClient`2.RequestCallback(IAsyncResult 结果)"。
请记住,我无法更改 LINQ 代码(我无法编辑客户端作为管理说明的一部分,重建前端是项目的第 2 阶段)是否有任何建议的方法来解决这个问题?我已经删除了地图中此元素的 5010 到 4010 链接,我也不关心是否将完整的 271 数据集放入旧系统。