问题标签 [hipaa]

我查看了BizTalk HIPAA 5010 版本支持页面，他们列出了 278 架构，但它只是 005010X217 版本。看起来WPC也没有278 005010X216 的架构。005010X216 定义足够不同，因此可能无法在不修改的情况下使用 278 模式。

有谁知道 BizTalk 2010 是否真的支持 005010X216，如果支持，是否有可用的架构？

如果没有，有谁知道是否有支持 005010X216 的第 3 方组件？我搜索了通常的开源存储库，但一无所获。

我正在尝试处理 X12 278 消息的响应消息，并且正在生成的 XML 似乎没有正确遵循架构。

当原始/原生格式通过 EDI 管道运行时，消息如下所示：

该消息应如下所示：

在后一个示例中，请注意包含 *A3_BHT_Loop* 元素以及 BHT 段现在正确标记为 *BHT_BeginningofHierarchicalTransaction_TS278A3* 的事实。

是否需要进行设置才能使消息解析为正确的架构？或者响应消息中是否应该包含一些内容以让管道检测应该应用哪种格式？

我公司的一位客户要求我们可以通过我们的 Android 应用程序提供符合 HIPAA 的 PDF 和媒体内容。我想知道是否有任何现有的应用程序可用于查看符合 HIPAA 的媒体和 PDF，我可以通过意图调用这些应用程序。我更愿意通过意图传递一个 URL 来流式传输内容，我可以控制它的安全性，或者一个加密的文件和意图的密钥。

我对符合 HIPAA 需要做的事情的理解是确保我们永远不会将这些媒体/PDF 文件保存到磁盘，或者如果我们这样做了，我们会对其进行加密。

就媒体内容而言，我目前可以在 MediaPlayer 中播放媒体内容，但经过一些研究后，我没有发现 MediaPlayer 内部实现是否符合 HIPAA 的信息。我已经尝试挖掘 Video 和 MediaPlayer 的来源，如果这将任何内容存储在设备的内部存储中，则无法得出任何结论。

对于 PDF，我完全依赖 3rd 方应用程序来下载和查看 PDF 文件。

备份解决方案是包含媒体/PDF 的第 3 方应用程序，并修改任何需要更改以符合 HIPAA 的内容。

寻找用于“记录用户访问”以符合 HIPAA（和其他）合规性的 gem。我想这意味着跟踪登录、注销以及用户在两者之间所做的一切。

有没有推荐的宝石来做到这一点？

我正在阅读 DICOM 标头并将它们存储在数据库中。是否有需要加密或匿名存储以符合 HIPAA 标准的 DICOM 对象列表？

这是我们正在存储的 DICOM 标签列表：PatientID、PatientName、PatientBirthDate、StudyDate、StudyInstanceUid、SopInstanceUid 等...

当前台应用程序进入后台时（例如按下 Home 按钮），在 iOS 拍摄它的快照并启动动画以显示下一个屏幕之前，我如何更改最顶层视图控制器上的元素？

我问是因为我正在编写一个需要 HIPAA 合规性的应用程序，并且我担心操作系统为执行此动画而拍摄的快照有时包含敏感数据，即使稍后应用程序被前景化时，这些数据也不应该是可见的.

我知道视图控制器具有生命周期方法，例如viewWillDisappear可能可用的方法，但我有很多控制器，我宁愿在我的 App Delegate 中有一些东西来处理这个问题（例如，通过添加不透明的全屏 UIImageView 覆盖) 而不必在每个最后一个控制器中为此编写自定义代码。

我尝试将覆盖生成代码放入 中applicationWillResignActive，并且我一直在使用 Apple 的文档和 Google 进行挖掘，但它不起作用。我怀疑屏幕截图是在应用程序有机会更新屏幕之前拍摄的。

谢谢！

有人可以告诉我我应该将网站用户活动日志保存在数据库中以满足 HIPAA 合规性所需的时间长度吗？

谢谢

我的公司一直在探索为我们的网站实施 2FA。在查看了几个产品和 2FA wiki 页面后，似乎虚拟令牌是最便宜的解决方案，据说可以满足我的要求，即：

1. 不是硬件令牌（所以没有 yubikey、securid 等），但这是由于成本限制
2. 客户端无需安装任何软件，如 Java Applet、ActiveX 插件、exe 可在桌面上运行
3. 很可能不能使用“网格”（可能不符合 508）
4. 不需要用户有电话（排除 google auth 和许多其他基于移动的解决方案）
5. 非生物识别（因为它很可能需要安装硬件或软件）
6. 如果我们必须违反 1)，它必须易于部署且成本低廉（我们的用户列表不断变化 [按项目] 并且位于非常不同的位置）

我看过一些“虚拟令牌”，包括“Sestus”，但我看不出这些是“真实的”2fa。它不需要安装任何软件，完全基于浏览器。2fa 基于可通过浏览器获取的信息，例如用户代理，这似乎很容易被欺骗。

我在这里发现了一个类似的问题：软件令牌是多因素安全性中有效的第二个因素吗？但它已经超过 2 岁了。

在这一点上，使用 yubikeys 是最可行和最具成本效益的解决方案吗？

我不确定 StackExchange 中的正确站点来问这个问题，但由于它是关于 API 的，所以我只是使用 Stack Overflow。

在美国，目前越来越多的州和公司正在建立健康信息交换系统，以便在不同医院、诊所等之间以电子方式交换记录。我想知道的是：这些协议、API 等是否记录在任何地方？在过去的几周里，我断断续续地试图从任何州找到任何东西，详细说明这些具体是如何工作的，但我找不到任何东西。我确实发现对“文档”和“标准”的模糊引用，没有关于协议、编码等的详细信息。

可能只是没有使用正确的术语进行搜索，尽管我的一部分人开始怀疑任何地方都没有记录。

我正在开发一个必须符合 HIPAA 的 PHP/MySQL 应用程序。根据我的阅读，任何可以识别某人或任何医疗信息的个人数据都必须在静态和传输过程中进行 256 位加密。我试图找出最有效的方法是什么。

我正在使用 Amazon Web Services，我想对 HTTP 和数据库请求使用 SSL 加密来保护传输中的数据。至于静态数据，我想用 AES 256 编译一个自定义 MySQL 服务器，以便使用 AES_ENCRYPT 和 AES_DECRYPT——但是我是否必须为我加密的每个字段存储一个 IV？否则，在应用程序本身内进行加密/解密将花费太长时间，并且查询数据库将是地狱。

有什么想法吗？