HIPAA المتوافقة لقطات فيديو / عقد المؤتمرات على وورد

HIPAA هو قانون المساءلة وقابلية التأمين الصحي الفيدرالي في الولايات المتحدة 1996. الهدف الأساسي من القانون هو أن تجعل من السهل على الناس للحفاظ على التأمين الصحي, حماية السرية والأمن للمعلومات الصحية ومساعدة صناعة الرعاية الصحية مراقبة التكاليف الإدارية في الولايات المتحدة.

The HIPAA Privacy Rule is composed of US national regulations for the use and disclosure of Protected Health Information (PHI) in healthcare treatment, payment and operations by covered entities

عندما يعتبر بائع برمجيات هو شريك أعمال تحت HIPAA?

إذا كان يحيل على المورد أو المقاول من الباطن, وتحتفظ, أو قد الوصول الروتيني للمعلومات الصحية المحمية (PHI) عند تقديم خدماتها إلى كيان مغطاة ثم يعتبر أنه شريك الأعمال التجارية. على سبيل المثال, بائع أن يستضيف البرنامج الذي يحتوي على معلومات للمرضى على الملقم الخاص به أو الوصول إلى معلومات المريض عند استكشاف أخطاء البرنامج, ثم أنه يعتبر شريك الأعمال تجارية ويجب أن يكون لديك عمل اقتران الاتفاق مع الكيان مغطاة كما هو محدد تحت حكم الخصوصية HIPAA 45 C.F.R. § 164.504(ه).

الاستثناء الوحيد بموجب القسم هايتك 13408 هو في حالة منظمة نقل بيانات بمثابة قناة, في ذلك أنه لا ينقل المعلومات ولكن لا الوصول إليه, مثل "الخدمات البريدية" أو ما يعادله الإلكترونية — موفرو خدمة إنترنت (مزودي خدمات الإنترنت), شركة الاتصالات السلكية واللاسلكية, إلخ. وبينما هذه قد يكون الحصول على PHI, أنهم فقط الوصول إلى PHI على أساس عشوائي أو غير متواترة كاللازمة لأداء خدمة النقل أو كما هو مطلوب بموجب القانون: “[د]آتا انتقال المنظمات التي لا تتطلب الوصول إلى المعلومات الصحية المحمية على أساس روتيني لا تعامل كشركاء الأعمال” (ص. 22)

Using VideoWhisper Software for HIPAA Projects

للبرمجيات فيديووهيسبير, يتم إبلاغ بيانات مرسلة من قبل العملاء مع استضافة خادم, لا مزود البرمجيات. Security compliance requirements refer to site and hosting setup where customer data is stored.
So you can get the videochat software and deploy it on your HIPAA compliant host that meets software requirements and safeguards client data.

Exception under HITECH section 13408 may also apply to a remote streaming provider as telecommunication company that only transports the streaming data and does not access it.
If such usage fits your project requirements, you could also take a look at HostRTMP.com service that provides remote RTMP hosting for the live streams. On such setup, customer data would be on HIPAA compliant web host and only the live streaming would be done trough the external service.

وهنا بعض الاعتبارات / أفكار لبناء لقطات فيديو متوافقة HIPAA / خدمة مؤتمرات:

تأمين تدفق البيانات للتطبيقات المؤتمرات عن طريق الفيديو

  • الفيديو يحدث بين تطبيقات العميل والخادم يتدفقون (المضيف) والوصول إلى التطبيقات يمكن أن يقتصر على أساس التوثيق.
  • بالإضافة إلى ذلك, نقل يمكن حماية وتشفير البيانات باستخدام RTMPE / RTMPS في الخادم Wowza والمتفانين .
  • العضو يتدفقون على الخادم يمكن أرشفة كملفات الفيديو على خادم RTMP. يحتاج إلى الوصول إلى أرشيف الفيديو وسجلات الدردشة النصية تخضع لقيود. إذا المجلدات التي تحتوي على هذه يمكن الوصول إليها علنا, تقييد يمكن تطبيقها مع ملف htaccess (التي يمكن أن تتولد مع مجلد لوحة التحكم حماية ميزة).

يذكر تطبيق هذه أيضا ل VideoWhisper الفيديو كونفرنس والتطبيقات.

HIPAA استضافة

  • تحتاج إلى استضافة الموقع وورد الخاص بك مع مزود استضافة الذي يوفر الامتثال HIPAA والذي سيوقع اتفاق مشارك HIPAA أعمالك. وهذا يعني أن HIPAA ورد استضافة مع مقدمي العادية مثل GoDaddy أو ليس من الممكن على الفور.
  • باستخدام خادم مخصص المدارة من قبل المسؤولين الخاص بك أو موفر HIPPA هو الأفضل.
  • إذا كان الخادم أو برامج الموقع هو الإعداد من قبل مقدم 3rd الطرف, تحتاج إلى تغيير كلمات السر ويحتاج موظفيك لمراجعة التغييرات قبل استخدام الموقع لبيانات حساسة.

Setup VideoWhisper and 3rd party HIPAA Hosting

  • A regular license for VideoWhisper will remove all limitations and intrusive ads from the flash application when run from licensed domain. Also includes one installation on compatible hosting (see requirements).
    HTTPS://videowhisper.com/?p=Invest
  • VideoWhisper administrators can take care of server setup.
    A complete service with complete original setup and 6 months administration/assistance and also installation services separately are available.
    HTTPS://videowhisper.com/?p=RTMP-Server-Administration
    After original setup, password can be changed or access can be restricted in other ways (by keys, IP) to protect server during usage with real user data.

Server and Hosting Software Required

  • A HIPAA dedicated server or VPS with CentOS 7 and root SSH access will be needed to configure requirements.
    HIPAA servers can be ordered from: AWS, RackSpace, LiquidWeb.
  • As described in المتطلبات, for HTML5/mobile support Wowza Streaming Engine is required.
    Projects can start with a free Wowza SE trial license key during development.
    HTTPS://www.wowza.com/media-server/developers/license
  • For the web hosting part VideoWhisper recommends WHM/CPanel usually available from hosting provider (but can also be ordered separately https://cpanel.net/pricing/).
  • Optional: WordPress can be easily setup and backed up automatically with Softaculous.
    HTTPS://www.softaculous.com/softaculous/pricing

HTTP آمن (HTTPS)

  • الحصول على شهادة SSL وعنوان IP مخصص لموقع الويب الخاص بك بحيث الحركة من / إلى أنها يمكن أن تكون مشفرة في عملية عبور.
  • تأكد من أن الموقع وورد الخاص بك لا يمكن الوصول دون SSL (.هتكس إعادة توجيه)

تقييد الوصول إلى المعلومات الصحية الإلكترونية المحمية (Ephim)

المعلومات الصحية المحمية الإلكترونية (Ephim) يشير إلى أي من المعلومات الصحية المحمية (PHI) التي يشملها التأمين الصحي والنقل قانون محاسبة 1996 (HIPAA) الأنظمة الأمنية ويتم إنتاج, حفظ, نقل أو تلقى في شكل الكتروني.

حماية تعتمد على الإعداد الموقع, إجراءات الموظفين والتشغيل.

  • ضمان ePHI أبدا علنا ​​يجب -users متاحة تسجيل الدخول للوصول إلى المحتوى.
  • تأكد من أن المستخدمين من الوصول إلى ePHI تمنح بشكل صحيح / وصول سحبت من قبل المسؤولين HIPAA الخاص بك.
    من: لا ينبغي أن يكون من الممكن لشخص ما لتوقيع المتابعة والحصول دون مراجعة صريحة / موافقة.
  • ضمان أن يكون للمستخدمين الوصول إلى فقط ePHI يحتاجون إليه، وينبغي أن يكون الوصول.
  • التأكد من أن جميع عمليات تسجيل الدخول وورد يتم مراقبة ويتم تسجيل. (من. دخول المستخدم الدخول المساعد)

وورد آمن

  • التأكد من أن جميع عمليات تسجيل الدخول وورد يتم مراقبة ويتم تسجيل.
  • حفظ وورد الخاص بك وجميع الإضافات ما يصل إلى تاريخ.
  • استخدام الإضافات مثل "ديو الأمن" لإضافة المصادقة 2-عامل إلى موقع الويب الخاص بك.
  • تأكد من أن المستخدم تسجيل الدخول إلى وورد سيتم تسجيل المستخدمين تلقائيا بسبب عدم النشاط.
  • تسجيل الدخول الى ePHI, إذا كان ذلك ممكنا. طريقة سهلة هي للتأكد من شبكة الإنترنت والوصول RTMP السجلات يتم تمكين.
  • مراجعة الإجراءات والمستخدمين بشكل دوري.
  • ضمان وورد لا نسخ مخبأ للePHI صفحات غير مأمون على القرص, خاصة إذا كنت في بيئة مشتركة. يتم تخزين المحتوى وورد عادة في قاعدة بيانات, ولكن إذا تم تخزينها مؤقتا أنه غير مأمون على القرص التي من شأنها إضعاف الأمن وفي بيئة مشتركة يمكن أن توفر الوصول إلى الأشخاص غير المرخص لهم. وهذا هو أحد الأسباب إضافية لماذا يجب أن يكون الخادم الخاص بك مخصص.
  • تأكد من وجود نسخ احتياطية جيدة من موقعك ومحتواه. معظم مقدمي استضافة توفر النسخ الاحتياطي الآلي الموقع. هذه ينبغي أيضا أن يتم تحميلها بشكل دوري وتخزينها على جهاز آمن مختلفة.

الأمن اضافية

إذا كنت تقييد الوصول إلى مجموعة محددة من المستخدمين, النظر في تأمين بانخفاض الوصول إلى الموقع بواسطة عنوان IP .

xmlrpc.php عالية تحميل وحدة المعالجة المركزية

 

يبدو أن الحمل الناجم عن ارتفاع xmlrpc.php أن تكون المشكلة المعروفة التي يمكن أن تحدث على موقع وورد:
https://wordpress.org/support/topic/resolving-xmlrpcphp-ddos-attack-with-htaccess-redirect?replies=8
https://wordpress.org/support/topic/xmlrpcphp-files-cause-high-cpu-usage-and-high-resource-usage?replies=2

بعض المواقع خلال الهجوم يصبح غير قابل للوصول أو الحصول على كسر وإظهار خطأ "العديد من الموجهات جداً".

وهناك حل سريع لإضافة هذا إلى هتكس :

RewriteRule ^ XMLRPC فب $ “HTTP :\/\/0\.0\.0\.0\/” [R = 301، L]

 

أو مجرد حذف / ملف تعطيل (مجموعة أذونات 000).

 

مزيد من التفاصيل حول إكسملربك :
HTTPS://وورد-blog.sucuri.net/2015/10/brute-force-amplification-attacks-against-xmlrpc.html

إذا كنت بحاجة إلى إكسملربك يمكنك استخدام هذه لتصفية الطلبات:
https://wordpress.org/plugins/stop-xmlrpc-attack/
HTTPS://الصحافة www.wordfence.com/blog/2015/10/should-you-disable-xml-rpc-on-word/