将 HIPAA 数据存储在“云”中的法律要求是什么?

信息安全 云计算 希帕 亚马逊-s3
2021-08-26 11:15:24

我正在考虑在发生灾难时将医疗保健系统的 SQL DB 备份存储在云中以符合 HIPAA。我想出的解决方案是使用 Cloudberry 备份。我想要做的是在我的本地计算机上导出 SQL 数据库,在 Cloudberry 配置和最高加密设置中使用密码,然后每晚上传到 S3。此数据将处于静止状态

从我过去读到的内容来看,这似乎是可以接受的,下面的陈述听起来也可以接受,但我想确定一下。

Cloudberry 网站上的 PDF说明了这一点

将 Amazon S3 用作符合 HIPAA 标准的存储平台 - Amazon S3 平台提供了一种经济高效的替代方案来存储客户的数字记录。所有传入数据都会在多个不同位置自动复制,以提供客户数据的高持久性和可用性。根据 HIPAA 条款的要求,实施的加密算法保护传输中(入站和出站)和“静态”(驻留)数据的机密性。工业级身份验证有助于将特定的访问控制权限委派给不同的用户和管理员帐户。

我读过 BAA(商业伙伴协议)和其他一些东西,有些人建议,有些人说这是不必要的。我认为最好问问专业人士 - 这种将 HIPAA 数据备份到云的方法是否符合要求?

1个回答

如果您使用 CloudBerry 备份,请启用客户端加密,以便文件在到达 Amazon S3 之前被加密。

HIPAA 范围之外的加密数据

如果您将加密数据发送给第三方提供商,则不需要商业伙伴协议 (BAA) 。请注意,此加密必须使用符合 FIPS 140-2 的密码(例如 AES-128)来完成。从本质上讲,根据 HIPAA,加密的 PHI 数据不属于法律保护的范围,只要它使用经过批准的密码即可。如果只有加密数据被泄露,您无需通知任何人泄露事件。

如果未加密,获取 BAA

亚马逊现在确实提供符合 HIPAA 标准的托管包,因此如果您想在亚马逊上对数据进行未加密,您需要在他们的 BAA 上签字(通过网络表单提供样板文件)。我强烈反对 BAA 对于您存储 PHI 数据的云提供商来说是不必要的——我已经通过第三方认证公司的许多 HIPAA 审核,他们总是询问这个问题。然后,您还需要自己的文档和安全策略来反映这种关系并记录围绕 PHI 的保护措施。

源材料

HHS在此处提供有关加密和违规通知的信息

HHS在此处提供有关 BAA 的信息

其它你可能感兴趣的问题
上一篇如何保护本地套接字? 下一篇安装 Debian 软件包安全吗?