HIPAA kompatibilní datové proudy videa / Konference o WordPressu

HIPAA je Spojené státy federální Health Insurance Portability and Accountability Act z 1996. Hlavním cílem zákona je usnadnit lidem, aby zdravotní pojištění, chránit důvěrnost a bezpečnost zdravotnických informací a pomoci odvětví zdravotnictví řídit administrativní náklady ve Spojených státech.

Pravidlo ochrany soukromí HIPAA se skládá z národních předpisů USA o používání a zveřejňování chráněných informací o zdravotním stavu (PHI) ve zdravotnictví, platby a operace ze strany zahrnutých subjektů

Kdy je dodavatel softwaru za obchodní společník podle přísahy?

Pokud dodavatel nebo subdodavatel přenáší, udržuje, nebo má běžný přístup k chráněné zdravotní informace (PHI) při poskytování svých služeb na příslušný subjekt považuje obchodní partner. Například, dodavatele, který je hostitelem softwaru obsahující soubor informací pro pacienta na vlastním serveru nebo přistupuje k informace při odstraňování software, pak to je považován za obchodní společník a musí mít obchodní dohodu přidružit zúčastněného subjektu podle pravidla soukromí HIPAA 45 C.F.R. § 164.504(e).

Jedinou výjimkou v části HITECH 13408 v případě organizace přenosu dat, která slouží jako kanál, v tom, že přepravuje pouze informace, ale nemá přístup, například US Postal Service nebo její ekvivalent elektronické — Poskytovatelé služeb Internetu (Poskytovatelé služeb Internetu), telekomunikační společnost, atd. Zatímco tyto mohou mít přístup k PHI, pouze přístup PHI na základě náhodných nebo zřídka jako nezbytné pro výkon dopravní služby nebo vyplývající ze zákona: “[D]ATA přenosu organizace, které nevyžadují přístup k chráněné zdravotní informace pravidelně nebude zacházeno jako obchodní partneři” (p. 22)

Použití softwaru Videošeptat pro projekty HIPAA

Pro VideoWhisper software, data odeslaná klienty jsou předávány s hostitelem serveru, není poskytovatel softwaru. Požadavky na shodu se zabezpečením odkazují na nastavení serveru a hostování, kde jsou uložena data zákazníka..
Můžete tedy získat software videochon a nasadit jej na hostiteli vyhovujícím standardu HIPAA, který splňuje požadavky na software a data klienta zabezpečení.

Výjimka v sekci HITECH 13408 může být také použita pro vzdáleného poskytovatele datových proudů jako telekomunikační společnost, která pouze transportuje data datových proudů a nemá k ní přístup..
Pokud takové použití odpovídá vašim požadavkům na projekt, Můžete se také podívat na službu HostRTMP.com, která poskytuje vzdálené hostování RTMP pro živé proudy. Při takovém nastavení, údaje o zákaznících by byly na webových hostitelích kompatibilních se standardem HIPAA a pouze živé datové proudy by byly provedeny v rámci externí služby.

Zde jsou některé úvahy/myšlenky pro budování HIPAA standardu video streaming / konferenční služby:

Zabezpečení datového proudu pro videokonferenční aplikace

  • Streamování videa dochází mezi klientské aplikace a server datových proudů (Hostitel) a přístup k aplikacím mohou být omezeny na základě ověřování.
  • Navíc, přenosy lze chránit a data šifrovat pomocí RTMPE/RTMPS na vyhrazeném serveru Wowza .
  • Datové proudy uživatelů na serveru lze archivovat jako soubory videa na serveru RTMP.. Přístup k video archiv a textový chat protokoly musí být omezeno. Jsou-li složky obsahující tyto veřejně přístupné, omezení lze použít pomocí souboru .htaccess (který lze vygenerovat pomocí funkce Ochrana složky CPanel).

Tyto zmínky se rovněž vztahují na VideoWhisper video streaming a konference aplikace.

HIPAA hostování

  • Potřebujete k hostování vašeho webu WordPress s poskytovatele hostitelských služeb, který poskytuje dodržování zákona HIPAA a kdo podepíše váš HIPAA Business Associate Agreement. To znamená, že v systému HIPAA WordPress s pravidelnými poskytovateli jako je GoDaddy není možné hned.
  • Použití vyhrazeného serveru spravovaného vlastními správci nebo poskytovatelem HIPPA je nejlepší.
  • Je-li server nebo web software instalace poskytovatelem 3 strany, je třeba změnit hesla a vlastní zaměstnanci si musí prohlédnout změny před použitím webu pro citlivá data.

Nastavit Videošepot a třetí stranu hostování HIPAA

  • Pravidelná licence pro Videošepot odstraní všechna omezení a rušivé reklamy z aplikace Flash při spuštění z licencované domény.. Obsahuje také jednu instalaci na kompatibilním hostingu (see requirements).
    https://videowhisper.com/?p=Investovat
  • Správci VideoWhisper se mohou postarat o nastavení serveru.
    Kompletní servis s kompletním originálním nastavením a 6 měsíců administrativa/asistence a také instalační služby samostatně jsou k dispozici.
    https://videowhisper.com/?p=RTMP-Správa serveru
    Po původním nastavení, Heslo lze změnit nebo přístup omezit jinými způsoby (podle klíčů, IP) Ochrana serveru během používání pomocí dat skutečných uživatelů.

Je vyžadován server a hostingový software

  • Dedikovaný server HIPAA nebo VPS s CentOS 7 a ke konfiguraci požadavků bude potřeba přístup k SSH root.
    Servery HIPAA lze objednat z: AWS, RackSpace, LiquidWeb.
  • Jak je popsáno v požadavky, pro podporu HTML5 / mobilní zařízení Je vyžadován Wowza Streaming Engine.
    Projekty mohou začít s bezplatným licenčním klíčem Wowza SE během vývoje.
    https://www.wowza.com/media-server/developers/license
  • Pro webovou hostitelskou část Videošepot doporučuje, aby byl panel WHM/C, obvykle dostupný od poskytovatele hostitelských služeb (ale může být také objednána odděleně od protokolu https://cpanel.net/pricing/).
  • Volitelné: WordPress lze snadno nastavit a automaticky zálohovat pomocí Softaktiků.
    https://www.softaculous.com/softaculous/pricing

Zabezpečený protokol HTTP (HTTPS)

  • Získejte certifikát SSL a vyhrazenou adresu IP serveru WWW tak, aby mohl být přenos do/z něj zašifrován při přenosu..
  • Ujistěte se, že váš WordPress stránky nelze přistupovat bez SSL (.htaccess přesměrování)

Omezit přístup k elektronické chráněné zdravotní informace (ePHI)

Elektronické chráněné zdravotní informace (ePHI) odkazuje na všech chráněných zdravotních informací (PHI) To se vztahuje Health Insurance Portability and Accountability Act z 1996 (HIPAA) bezpečnostní předpisy a vyrábí, Uloženo v, převedeno nebo přijaté v elektronické podobě.

Ochrana závisí na nastavení webu., personál a provozní postupy.

  • Ujistěte se, že ePHI není nikdy veřejně dostupný – uživatelé se musí přihlásit, aby měli přístup k tomuto obsahu.
  • Zajistit, aby uživatelé s přístupem k ePHI byli řádně udělni / odvolaný přístup ze strany správců HIPAA.
    Ex: To by nemělo být možné, aby někdo přihlásit a získat přístup bez explicitní kontrola / schválení.
  • Zajistit, aby uživatelé měli přístup pouze k ePHI, které potřebují a měli by mít přístup.
  • Ujistěte se, že jsou sledovány a jsou zaznamenány všechny WordPress přihlášení. (ex. Uživatelské přihlášení přihlásit plugin)

Bezpečný WordPress

  • Ujistěte se, že jsou sledovány a jsou zaznamenány všechny WordPress přihlášení.
  • Průběžná aktualizace WordPress a všechny pluginy.
  • Pomocí zásuvných modulů jako "Duo Security" přidejte na váš server 2-faktorové ověřování.
  • Ujistěte se, že přihlášení uživatelů do WordPressu automaticky odhlásí uživatele z důvodu nečinnosti.
  • Protokolovat přístup k ePHI, Pokud je to možné. Snadný způsob je že webové a rtmp přístup protokoly jsou povoleny.
  • Pravidelně kontrolujte své postupy a uživatelé.
  • Zajištění, že WordPress neukládá do mezipaměti kopie ePHI stránek nejistě na disku, zejména pokud jste ve sdíleném prostředí. Obsah Wordpress je obvykle uložen v databázi, ale pokud je dočasně uloženo nezabezpečená komunikace na disku, který oslabí zabezpečení a ve sdíleném prostředí by mohla poskytnout přístup k neoprávněným osobám. Že ’ s další důvod, proč byste měli mít svůj vlastní dedikovaný server.
  • Ujistěte se, že existují dobré zálohy vašeho webu a jeho obsahu. Většina poskytovatelů nabízí automatizované web zálohy. Ty by také měly být pravidelně stahovány a ukládány na jiném zabezpečeném počítači.

Vyšší bezpečnost

Pokud jste omezení přístupu k určité skupiny uživatelů, Zvažte, zablokujete přístup k webu pomocí IP adresy .