问题标签 [hipaa]

我想了解 HIPAA 合规性，以便为医疗保健行业开发 Angular js 框架 Web 应用程序。是否有任何地方可以获得一些输入以遵守 HIPAA 合规性？

我将实现客户端/服务器应用程序 - 1 个服务器 - [0-N] 个客户端。

为了组织客户端和服务器之间的通信，我计划使用 Amazon SQS 或类似的东西。

现在我有两个问题：

是否符合 Amazon SQS HIPAA 标准？

如何基于 Amazon SQS 队列组织多租户支持？

客户端之间的数据不得共享。每个客户端只能处理仅为该客户端发送的数据。

是否可以在单个 Amazon SQS 队列上实施，或者我需要为每个客户端创建一个单独的队列？

构建一个符合 HIPAA 的应用程序，我想知道如何将访问令牌存储到远程服务器，和/或拥有一个本地 SQL 加密的本地数据库（例如 SQLCipher）。

考虑到 HIPAA 要求的性质，我只能得出结论，密钥的适当位置只能在服务器上，而不能在本地移动设备上：

HIPAA 标准的第 164.312 节规定如下：

(a)(1) 标准：访问控制。为维护受保护的电子健康信息的电子信息系统实施技术政策和程序，以仅允许访问已被授予 §164.308(a)(4) 中规定的访问权限的人员或软件程序。

所以更具体地说，

1）假设有权访问电话的人最终可以提取密钥/访问令牌，这是否意味着本地密钥存储不符合 HIPAA 标准？

2) 消息传递应用程序如何符合 HIPAA？由于每次打开应用程序时都不会提示用户输入密码，这意味着访问令牌保存在手机本地的某个位置。

因此，我正在尝试为医疗领域的客户实施符合 HIPAA 的安全短信服务。我在想可能只是使用具有端到端加密和自动销毁文本功能的当前免费文本消息之一。但是，这符合 HIPAA 吗？消息传递系统符合 HIPAA 的要求是什么？

有人在医疗领域有 IT 经验吗？

IBM Bluemix是符合 HIPAA 的平台吗？

如果是，请向我提供说明该声明的官方文件的链接。

如果不是，预计什么时候？

我在一家小型医疗保健公司工作。我们使用一个简单的基于浏览器的 gui 来创建我们的医疗保健声明。最近，我们的索赔数量有所增加。为了让事情变得更容易，我们希望现在能够对我们的索赔进行批量计费。我们只做一种类型的程序（在可预见的未来这个要求不会改变）。我需要为所述程序生成一个 837I 文件。

有任何资源可以了解如何构建 edi 文件，以及任何关于如何为一个程序执行此操作的演练？我不是在寻找已经创建的解决方案。我也不想买任何东西。我不打算创建一个完整的 x12 解析工具。

我们已经有了接收确认和汇款通知的解决方案。但是，除非我们创建 837 格式的文件，否则我们没有简单的批量上传方法。这仅适用于一个程序，因此我希望自己进行此操作并在进行过程中进行学习。

我正在编写一个 PHP 应用程序，它具有受 HIPAA 保护的敏感日期。

对于患者，我希望能够搜索患者。IE 临床医生可以输入姓氏的一部分，它会显示所有匹配的用户，即：

如果我正在加密/需要加密患者信息，或者我只是需要将其设为患者的静态列表而不以这种方式查询数据库，这是否可能？

从数据库中获取所有患者，在服务器端解密并添加患者，然后将搜索条件匹配到数组中，最后将数组加载到显示格式中？

我将 Ruby on Rails 4.2 与 mySql 一起用于我的 HIPAA 合规性应用程序，我需要了解此应用程序的技术数据库要求。

我们真的需要加密所有数据库值，例如患者姓名等吗？

如果托管需要符合 HIPAA 的医疗保健应用程序（对我来说是它的 ASP.NET MVC 并将其托管在 Azure 云服务中），则需要在两个方面进行加密：动态数据；和静态数据。在搜索各个位置后，我们得出的结论是，使用 TDE（透明数据加密）处理静态数据，使用 SSL 处理动态数据。那么我不需要使用任何加密/解密逻辑吗？

我正在为网络和移动客户端编写医疗保健软件。最近，我遇到了另一个关于访问控制的新 HIPAA 规则——应用程序会话超时。

我的问题是，是否可以从用户可以启用-禁用安全级别的位置提供应用程序设置选项，而不是强制它们。

有什么建议么？