HIPAA konform Video-Streaming / Conferencing auf Wordpress

HIPAA ist der United States federal Health Insurance Portability and Accountability Act von 1996. Das primäre Ziel des Gesetzes ist es, um es einfacher für Menschen, die Krankenversicherung zu halten, schützen Sie die Vertraulichkeit und Sicherheit von Gesundheitsinformationen und helfen der Gesundheitsbranche Verwaltungskosten in Vereinigten Staaten Steuern.

Die HIPAA Privacy Rule besteht aus US-nationalen Vorschriften für die Verwendung und Weitergabe von geschützten Gesundheitsdaten (PHI) in der medizinischen Behandlung, Zahlung und Operationen von betroffenen Einrichtungen

Wann ist ein Softwarehersteller ein Geschäftspartner gemäß HIPAA als?

Wenn ein Anbieter oder Unterauftragnehmer überträgt, verwaltet, oder hat Routine Zugriff auf geschützten Gesundheitsinformationen (PHI) bei Erbringung seiner Dienstleistungen zu einem überdachten gehört dann ein Geschäftspartner gilt. Zum Beispiel, ein Anbieter, der hostet der Patientendaten auf einem eigenen Server-Software oder dem Zugriff auf Patientendaten bei der Problembehandlung für der software, dann gilt ein Geschäftspartner und müssen ein Geschäft Abkommen die überdachte Entität gemäß HIPAA-Privacy-Regel zuordnen 45 C.F.R. § 164.504(e).

Die einzige Ausnahme unter HITECH-Abschnitt 13408 ist im Falle einer Datenorganisation Übertragung, die fungiert als ein Kanal, insofern es nur Informationen transportiert, aber nicht auf sie zugreift,, wie der US Postal Service oder entsprechende elektronische — Internet Service Provider (ISP), ein Telekommunikationsunternehmen, etc.. Während diese PHI zugreifen kann, Sie zugreifen nur PHI auf zufällige oder selten als dies für die Durchführung der Beförderungsleistung oder als gesetzlich vorgeschrieben: “[D]ATA-Übertragung-Organisationen, die keinen Zugang zu geschützten Gesundheitsinformationen routinemäßig erfordern würde nicht als Geschäftspartner behandelt werden” (p. 22)

Mit der VideoWhisper Software für HIPAA-Projekte

Für VideoWhisper-software, von Clients gesendete Daten werden mit hosting-Server kommuniziert, keine Software-Anbieter. Sicherheit-Compliance-Anforderungen beziehen sich auf Website und hosting Setup wo Kundendaten gespeichert ist.
So können Sie die Videochat-Software erhalten und es auf Ihrem HIPAA konform, die Softwareanforderungen und Garantien Kundendaten entspricht bereitstellen.

Ausnahme im Abschnitt HITECH 13408 kann auch für eine remote-Streaming-Anbieter als Telekommunikations-Unternehmen gelten, die nur die Streaming-Daten transportiert und nicht darauf zugreifen.
Wenn solche Nutzung Ihre Projektanforderungen passt, Sie könnte auch ein HostRTMP.com Dienst betrachten, die bietet RTMP Remotehosting für die live-streams. Auf solchen setup, Kundendaten auf HIPAA konform Webhost wäre und nur das live-streaming wäre getan Trog des Außendienstes.

Hier sind einige Überlegungen / Ideen für den Aufbau einer HIPAA konform Video-Streaming / Konferenzdienst:

Sichern Sie Streaming Daten für Videokonferenz-Anwendungen

  • Video-Streaming zwischen Client-Anwendungen und Streaming-Server erfolgt (Gastgeber) und den Zugang zu Anwendungen können auf Basis Authentifizierung eingeschränkt werden.
  • Zusätzlich, Übertragungen geschützt werden können und Daten verschlüsselt mit RTMPE / RTMPS auf einem dedizierten Server Wowza .
  • Benutzer Streaming-Server kann als Video-Dateien auf RTMP-Server archiviert werden. Zugriff auf Videoarchive und Text-Chat-Logs muss eingeschränkt werden. Bei Ordnern mit diesen öffentlich zugänglich sind, Einschränkung kann mit einer .htaccess-Datei angewendet werden (dass mit CPanel Ordner schützen erstellt werden).

Diese Erwähnungen gelten auch für VideoWhisper Video-Streaming und Konferenzanwendungen.

HIPAA Hosting

  • Sie müssen Ihre Wordpress-Seite mit einem Hosting-Anbieter, die HIPAA liefert und wer Ihre HIPAA Business Associate Abkommen zu unterzeichnen ist Gastgeber. Das bedeutet, dass HIPAA Wordpress Hosting mit regelmäßigen Anbieter wie GoDaddy ist nicht möglich direkt.
  • Mit einem dedizierten Server mit dem eigenen Administratoren verwaltet oder HIPPA-Anbieter am besten.
  • Wenn Server oder Website-Software wird durch eine Setup 3rd-Party-Anbieter, Kennwörter müssen geändert werden und Ihre eigenen Mitarbeiter müssen Veränderungen, bevor Sie vor Ort für sensible Daten zu überprüfen.

Installation VideoWhisper und 3rd-Party-HIPAA-Hosting

  • Eine reguläre Lizenz für VideoWhisper entfernt alle Einschränkungen und aufdringliche Werbung von der Flash-Anwendung, wenn von lizenzierten Domäne ausführen. Beinhaltet auch eine Installation auf kompatiblen hosting (siehe Anforderungen).
    HTTPS://videowhisper.com/?p = Invest
  • VideoWhisper Administratoren können Server-Setup kümmern.
    Einen kompletten Service mit kompletten original-Setup und 6 Monaten Verwaltung/Unterstützung und auch Montageleistungen sind separat erhältlich.
    HTTPS://videowhisper.com/?p = RTMP-Server-Administration
    Nach der ursprünglichen Einrichtung, Passwort kann geändert werden oder der Zugriff kann auf andere Weise eingeschränkt (mit den Tasten, IP) Server bei der Verwendung mit realen Nutzerdaten zu schützen.

Server und Hosting-Software erforderlich

  • Ein dedizierter Server HIPAA oder VPS mit CentOS 7 und Root SSH-Zugriff benötigt werden, um Anforderungen zu konfigurieren.
    HIPAA-Servern können bestellt werden: AWS, RackSpace, LiquidWeb.
  • Wie beschrieben in Anforderungen, für HTML5/Mobile ist Unterstützung Wowza Streaming Engine erforderlich.
    Projekte können mit freiem Wowza SE trial-Lizenzschlüssel während der Entwicklung beginnen..
    HTTPS://www.Wowza.com/Media-Server/Developers/License
  • Für die Web-Hosting-Teil empfiehlt VideoWhisper WHM/CPanel Hosting-Anbieter in der Regel verfügbar (aber auch einzeln bestellbar https://cPanel.NET/Pricing/).
  • Optional: WordPress lässt sich leicht einrichten und mit Softaculous automatisch gesichert.
    HTTPS://www.Softaculous.com/Softaculous/Pricing

Secure HTTP (HTTPS)

  • Holen Sie sich ein SSL-Zertifikat und dedizierte IP-Adresse für Ihre Website, so dass der Verkehr von / nach kann es in verschlüsselter Form übertragen,.
  • Stellen Sie sicher, dass Ihre Wordpress-Website kann nicht ohne SSL zugegriffen werden (..htaccess redirect)

Beschränken Sie den Zugriff auf elektronische geschützte Gesundheitsdaten (Ephim)

Elektronische geschützten Gesundheitsdaten (Ephim) bezieht sich auf jede geschützte Gesundheitsinformationen (PHI) dass unter Health Insurance Portability and Accountability Act of abgedeckt 1996 (HIPAA) Sicherheitsvorschriften und produziert, gespeichert, übertragen oder in elektronischer Form zu erhalten.

Schutz hängt von Website-Setup, Personal und Betriebsverfahren.

  • Stellen Sie sicher, dass ePHI ist nie öffentlich zugänglich -Anwender müssen sich anmelden, um diese Inhalte zugreifen.
  • Stellen Sie sicher, dass Benutzer mit Zugriff auf ePHI ordnungsgemäß gewährt werden, / widerrufen Zugriff durch Ihre HIPAA-Administratoren.
    Ex: Es sollte nicht möglich sein, jemanden um sich anzumelden und erhalten Sie Zugriff ohne explizite Kritik / Zustimmung.
  • Stellen Sie sicher, dass Benutzer Zugriff auf nur die ePHI sie brauchen und sollten Zugang.
  • Stellen Sie sicher, dass alle Wordpress-Logins werden überwacht und protokolliert. (von. Benutzeranmeldung Plugin)

Sichere Wordpress

  • Stellen Sie sicher, dass alle Wordpress-Logins werden überwacht und protokolliert.
  • Halten Sie Ihre Wordpress und alle Plugins up-to-date.
  • Verwenden Sie Plugins wie "Duo-Sicherheit" auf 2-Faktor-Authentifizierung zu Ihrer Website hinzufügen.
  • Stellen Sie sicher, dass die Benutzer-Logins zu Wordpress automatisch Benutzer abmelden wegen Inaktivität.
  • Melden Sie sich Zugang zu ePHI, wenn möglich. Ein einfacher Weg ist, um sicherzustellen, Web- und rtmp Zugriffsprotokolle machen aktiviert sind.
  • Überprüfen Sie Ihre Verfahren und Anwender in regelmäßigen Abständen.
  • Sicherstellen, dass Wordpress nicht Cache-Kopien ePHI-Seiten unsicher auf der Festplatte, besonders wenn Sie in einer Netzwerkumgebung sind. Press Gehalt wird normalerweise in einer Datenbank abgelegt, aber wenn es unsicher auf der Festplatte, die Sicherheit zu schwächen wird und in einer gemeinsamen Umgebung zwischengespeichert könnte der Zugang für unbefugte Personen bieten. Das ist ein zusätzlicher Grund, warum sollten Sie Ihre eigenen dedizierten Server haben.
  • Stellen Sie sicher, dass es gute Backups Ihrer Website und ihrer Inhalte. Die meisten Hosting-Provider bieten automatische Site-Backups. Diese sollten auch regelmäßig heruntergeladen und auf einem anderen sicheren Maschine gespeichert werden.

Zusätzliche Sicherheit

Wenn Sie die Beschränkung der Zugriff auf eine bestimmte Gruppe von Benutzern, Überlegen Sie, Zugriff auf die Website von IP-Adresse .