HIPAA je Spojené státy federální Health Insurance Portability and Accountability Act z 1996. Hlavním cílem zákona je usnadnit lidem, aby zdravotní pojištění, chránit důvěrnost a bezpečnost zdravotnických informací a pomoci odvětví zdravotnictví řídit administrativní náklady ve Spojených státech.
Pravidlo ochrany soukromí HIPAA se skládá z národních předpisů USA o používání a zveřejňování chráněných informací o zdravotním stavu (PHI) ve zdravotnictví, platby a operace ze strany zahrnutých subjektů
Kdy je dodavatel softwaru za obchodní společník podle přísahy?
Pokud dodavatel nebo subdodavatel přenáší, udržuje, nebo má běžný přístup k chráněné zdravotní informace (PHI) při poskytování svých služeb na příslušný subjekt považuje obchodní partner. Například, dodavatele, který je hostitelem softwaru obsahující soubor informací pro pacienta na vlastním serveru nebo přistupuje k informace při odstraňování software, pak to je považován za obchodní společník a musí mít obchodní dohodu přidružit zúčastněného subjektu podle pravidla soukromí HIPAA 45 C.F.R. § 164.504(e).
Jedinou výjimkou v části HITECH 13408 v případě organizace přenosu dat, která slouží jako kanál, v tom, že přepravuje pouze informace, ale nemá přístup, například US Postal Service nebo její ekvivalent elektronické — Poskytovatelé služeb Internetu (Poskytovatelé služeb Internetu), telekomunikační společnost, atd. Zatímco tyto mohou mít přístup k PHI, pouze přístup PHI na základě náhodných nebo zřídka jako nezbytné pro výkon dopravní služby nebo vyplývající ze zákona: “[D]ATA přenosu organizace, které nevyžadují přístup k chráněné zdravotní informace pravidelně nebude zacházeno jako obchodní partneři” (p. 22)
Použití softwaru Videošeptat pro projekty HIPAA
Pro VideoWhisper software, data odeslaná klienty jsou předávány s hostitelem serveru, není poskytovatel softwaru. Požadavky na shodu se zabezpečením odkazují na nastavení serveru a hostování, kde jsou uložena data zákazníka..
Můžete tedy získat software videochon a nasadit jej na hostiteli vyhovujícím standardu HIPAA, který splňuje požadavky na software a data klienta zabezpečení.
Výjimka v sekci HITECH 13408 může být také použita pro vzdáleného poskytovatele datových proudů jako telekomunikační společnost, která pouze transportuje data datových proudů a nemá k ní přístup..
Pokud takové použití odpovídá vašim požadavkům na projekt, Můžete se také podívat na službu HostRTMP.com, která poskytuje vzdálené hostování RTMP pro živé proudy. Při takovém nastavení, údaje o zákaznících by byly na webových hostitelích kompatibilních se standardem HIPAA a pouze živé datové proudy by byly provedeny v rámci externí služby.
Zde jsou některé úvahy/myšlenky pro budování HIPAA standardu video streaming / konferenční služby:
Zabezpečení datového proudu pro videokonferenční aplikace
- Streamování videa dochází mezi klientské aplikace a server datových proudů (Hostitel) a přístup k aplikacím mohou být omezeny na základě ověřování.
- Navíc, přenosy lze chránit a data šifrovat pomocí RTMPE/RTMPS na vyhrazeném serveru Wowza .
- Datové proudy uživatelů na serveru lze archivovat jako soubory videa na serveru RTMP.. Přístup k video archiv a textový chat protokoly musí být omezeno. Jsou-li složky obsahující tyto veřejně přístupné, omezení lze použít pomocí souboru .htaccess (který lze vygenerovat pomocí funkce Ochrana složky CPanel).
Tyto zmínky se rovněž vztahují na VideoWhisper video streaming a konference aplikace.
HIPAA hostování
- Potřebujete k hostování vašeho webu WordPress s poskytovatele hostitelských služeb, který poskytuje dodržování zákona HIPAA a kdo podepíše váš HIPAA Business Associate Agreement. To znamená, že v systému HIPAA WordPress s pravidelnými poskytovateli jako je GoDaddy není možné hned.
- Použití vyhrazeného serveru spravovaného vlastními správci nebo poskytovatelem HIPPA je nejlepší.
- Je-li server nebo web software instalace poskytovatelem 3 strany, je třeba změnit hesla a vlastní zaměstnanci si musí prohlédnout změny před použitím webu pro citlivá data.
Nastavit Videošepot a třetí stranu hostování HIPAA
- Pravidelná licence pro Videošepot odstraní všechna omezení a rušivé reklamy z aplikace Flash při spuštění z licencované domény.. Obsahuje také jednu instalaci na kompatibilním hostingu (Viz požadavky).
HTTPS://videowhisper.com/?p=Investovat - Správci VideoWhisper se mohou postarat o nastavení serveru.
Kompletní servis s kompletním originálním nastavením a 6 měsíců administrativa/asistence a také instalační služby samostatně jsou k dispozici.
HTTPS://videowhisper.com/?p=RTMP-Správa serveru
Po původním nastavení, Heslo lze změnit nebo přístup omezit jinými způsoby (podle klíčů, IP) Ochrana serveru během používání pomocí dat skutečných uživatelů.
Je vyžadován server a hostingový software
- Dedikovaný server HIPAA nebo VPS s CentOS 7 a ke konfiguraci požadavků bude potřeba přístup k SSH root.
Servery HIPAA lze objednat z: AWS, RackSpace, LiquidWeb. - Jak je popsáno v požadavky, pro podporu HTML5 / mobilní zařízení Je vyžadován Wowza Streaming Engine.
Projekty mohou začít s bezplatným licenčním klíčem Wowza SE během vývoje.
HTTPS://www.wowza.com/media-server/developers/license - Pro webovou hostitelskou část Videošepot doporučuje, aby byl panel WHM/C, obvykle dostupný od poskytovatele hostitelských služeb (ale může být také objednána odděleně od protokolu https://cpanel.net/pricing/).
- Nepovinné: WordPress lze snadno nastavit a automaticky zálohovat pomocí Softaktiků.
HTTPS://www.softaculous.com/softaculous/pricing
Zabezpečený protokol HTTP (HTTPS)
- Získejte certifikát SSL a vyhrazenou adresu IP serveru WWW tak, aby mohl být přenos do/z něj zašifrován při přenosu..
- Ujistěte se, že váš WordPress stránky nelze přistupovat bez SSL (.htaccess přesměrování)
Omezit přístup k elektronické chráněné zdravotní informace (ePHI)
Elektronické chráněné zdravotní informace (ePHI) odkazuje na všech chráněných zdravotních informací (PHI) To se vztahuje Health Insurance Portability and Accountability Act z 1996 (HIPAA) bezpečnostní předpisy a vyrábí, Uloženo v, převedeno nebo přijaté v elektronické podobě.
Ochrana závisí na nastavení webu., personál a provozní postupy.
- Ujistěte se, že ePHI není nikdy veřejně dostupný – uživatelé se musí přihlásit, aby měli přístup k tomuto obsahu.
- Zajistit, aby uživatelé s přístupem k ePHI byli řádně udělni / odvolaný přístup ze strany správců HIPAA.
Ex: To by nemělo být možné, aby někdo přihlásit a získat přístup bez explicitní kontrola / schválení. - Zajistit, aby uživatelé měli přístup pouze k ePHI, které potřebují a měli by mít přístup.
- Ujistěte se, že jsou sledovány a jsou zaznamenány všechny WordPress přihlášení. (ex. Uživatelské přihlášení přihlásit plugin)
Bezpečný WordPress
- Ujistěte se, že jsou sledovány a jsou zaznamenány všechny WordPress přihlášení.
- Průběžná aktualizace WordPress a všechny pluginy.
- Pomocí zásuvných modulů jako "Duo Security" přidejte na váš server 2-faktorové ověřování.
- Ujistěte se, že přihlášení uživatelů do WordPressu automaticky odhlásí uživatele z důvodu nečinnosti.
- Protokolovat přístup k ePHI, Pokud je to možné. Snadný způsob je že webové a rtmp přístup protokoly jsou povoleny.
- Pravidelně kontrolujte své postupy a uživatelé.
- Zajištění, že WordPress neukládá do mezipaměti kopie ePHI stránek nejistě na disku, zejména pokud jste ve sdíleném prostředí. Obsah Wordpress je obvykle uložen v databázi, ale pokud je dočasně uloženo nezabezpečená komunikace na disku, který oslabí zabezpečení a ve sdíleném prostředí by mohla poskytnout přístup k neoprávněným osobám. Že ’ s další důvod, proč byste měli mít svůj vlastní dedikovaný server.
- Ujistěte se, že existují dobré zálohy vašeho webu a jeho obsahu. Většina poskytovatelů nabízí automatizované web zálohy. Ty by také měly být pravidelně stahovány a ukládány na jiném zabezpečeném počítači.
Vyšší bezpečnost
Pokud jste omezení přístupu k určité skupiny uživatelů, Zvažte, zablokujete přístup k webu pomocí IP adresy .
