HIPAA Video Streaming / Conferencing en WordPress

HIPAA is the United States federal Health Insurance Portability and Accountability Act of 1996. El objetivo principal de la ley es para que sea más fácil para las personas a mantener un seguro de salud, protect the confidentiality and security of healthcare information and help the healthcare industry control administrative costs in United States.

The HIPAA Privacy Rule is composed of US national regulations for the use and disclosure of Protected Health Information (PHI) in healthcare treatment, payment and operations by covered entities

Cuando un proveedor de Software se considera un socio bajo HIPAA?

Si un proveedor o subcontratista transmite, mantiene, o tiene acceso sistemático a información de salud protegida (PHI) prestando sus servicios a una entidad cubierta entonces se considera un socio. Por ejemplo, un vendedor que alberga el software que contiene información para el paciente en su propio servidor o tiene acceso a información para el paciente cuando el software de la solución de problemas, entonces se considera un socio y debe tener un negocio asociado de acuerdo con la entidad cubierta como se especifica bajo la regla de privacidad HIPAA 45 C.F.R. § 164.504(e).

La única excepción en la sección de alta tecnología 13408 en el caso de una organización de transmisión de datos que actúa como un conducto, en que sólo transporta información pero no acceder a ella, como el Servicio Postal de Estados Unidos o su equivalente electrónico — Proveedores de servicios de Internet (Proveedores de Internet), una empresa de telecomunicaciones, etc.. Mientras que éstos pueden tener acceso a la PHI, sólo acceden a PHI de forma aleatoria o poco frecuente como necesarios para el desempeño del servicio de transporte o como requerido por la ley: “[D]las organizaciones de transmisión ATA que no requieren acceso a información de salud protegida de forma rutinaria no serían tratadas como socios de negocios” (p. 22)

Using VideoWhisper Software for HIPAA Projects

Para VideoWhisper software, datos enviados por los clientes se comunican con el servidor de hosting, No proveedor de software. Security compliance requirements refer to site and hosting setup where customer data is stored.
So you can get the videochat software and deploy it on your HIPAA compliant host that meets software requirements and safeguards client data.

Exception under HITECH section 13408 may also apply to a remote streaming provider as telecommunication company that only transports the streaming data and does not access it.
If such usage fits your project requirements, you could also take a look at HostRTMP.com service that provides remote RTMP hosting for the live streams. On such setup, customer data would be on HIPAA compliant web host and only the live streaming would be done trough the external service.

Estas son algunas consideraciones / ideas para la construcción de un streaming de vídeo compatible con HIPAA / servicio de conferencias:

Secure Data Streaming para aplicaciones de videoconferencia

  • Transmisión de video se produce entre las aplicaciones cliente y servidor de streaming (acogida) y el acceso a aplicaciones puede ser restringido sobre la base de la autenticación.
  • Adicionalmente, las transferencias se pueden proteger y datos encriptados usando RTMPE / RTMPS en un servidor dedicado Wowza .
  • El streaming al servidor del usuario puede ser archivado como archivos de vídeo en el servidor RTMP. Acceso a los archivos de vídeo y los registros de chat de texto debe ser restringido. Si las carpetas que contienen estos son de acceso público, restricción se puede aplicar con un archivo .htaccess (que se puede generar con la carpeta CPanel proteger característica).

Estos también menciones se aplican a Aplicaciones VideoWhisper de streaming de vídeo y conferencia.

HIPAA Hosting

  • Usted necesita para alojar su sitio de WordPress con un proveedor de hosting que proporciona el cumplimiento de HIPAA y que firmará el Contrato de Asociación HIPAA negocios. Esto significa que HIPAA WordPress hosting con proveedores regulares como GoDaddy no es posible de inmediato.
  • El uso de un servidor dedicado administrado por sus propios administradores o un proveedor de HIPPA es mejor.
  • Si el servidor o software de sitio es la configuración por un proveedor de tercera parte, contraseñas deben cambiarse y su personal necesita para revisar los cambios antes de utilizar el sitio para los datos sensibles.

Setup VideoWhisper and 3rd party HIPAA Hosting

  • A regular license for VideoWhisper will remove all limitations and intrusive ads from the flash application when run from licensed domain. Also includes one installation on compatible hosting (consulte Requisitos).
    https://videowhisper.com/?p=Invest
  • VideoWhisper administrators can take care of server setup.
    A complete service with complete original setup and 6 months administration/assistance and also installation services separately are available.
    https://videowhisper.com/?p=RTMP-Server-Administration
    After original setup, password can be changed or access can be restricted in other ways (by keys, IP) to protect server during usage with real user data.

Server and Hosting Software Required

  • A HIPAA dedicated server or VPS with CentOS 7 and root SSH access will be needed to configure requirements.
    HIPAA servers can be ordered from: AWS, RackSpace, LiquidWeb.
  • As described in requisitos, for HTML5/mobile support Wowza Streaming Engine is required.
    Projects can start with a free Wowza SE trial license key during development.
    https://www.wowza.com/media-server/developers/license
  • For the web hosting part VideoWhisper recommends WHM/CPanel usually available from hosting provider (but can also be ordered separately https://cpanel.net/pricing/).
  • Opcional: WordPress can be easily setup and backed up automatically with Softaculous.
    https://www.softaculous.com/softaculous/pricing

HTTP seguro (HTTPS)

  • Obtener un certificado SSL y la dirección IP dedicada para su sitio web, por lo que el tráfico hacia / desde él se puede cifrar en tránsito.
  • Asegúrese de que su sitio de WordPress no se puede acceder sin SSL (.redirección htaccess)

Restringir el acceso a la Información Electrónica de Salud Protegida (Ephim)

Información protegida de salud electrónica (Ephim) se refiere a cualquier información de salud protegida (PHI) que está cubierto por la Ley de Responsabilidad de Seguro de Salud de Portabilidad y 1996 (HIPAA) normas de seguridad y se produce, salvado, transferidos o recibidos en forma electrónica.

Protección depende de la configuración sitio, personal y procedimientos de operación.

  • Asegúrese de que IMPe es nunca públicamente disponibles -Los usuarios deben ingresar para acceder a ese contenido.
  • Asegúrese de que los usuarios con acceso a IMPe se conceden correctamente / Acceso revocada por sus administradores de HIPAA.
    Ex: No debería ser posible que alguien con la inscripción y obtener acceso sin revisión explícita / Aprobación.
  • Asegúrese de que los usuarios tienen acceso a sólo el IMPe necesitan y deben tener acceso.
  • Asegúrese de que todos los inicios de sesión de WordPress se controlan y se registran. (ex. Usuario plugin de sesión Regístrese)

WordPress Secure

  • Asegúrese de que todos los inicios de sesión de WordPress se controlan y se registran.
  • Mantener su WordPress y todos los plugins hasta al fecha.
  • Utilice plugins como "Duo de Seguridad" para añadir autenticación de 2 factores a su sitio.
  • Asegúrese de que los inicios de sesión de usuario a WordPress registrará automáticamente a los usuarios de debido a la inactividad.
  • Entrar acceso a IMPe, si es posible. Una forma sencilla es hacer registros web y acceder a RTMP estén activados.
  • Revise periódicamente sus procedimientos y usuarios.
  • Asegurar que WordPress no hace copias caché de EPHI páginas de forma insegura en el disco, especialmente si usted está en un entorno compartido. Contenido Wordpress normalmente se almacena en una base de datos, pero si se almacena en caché de forma insegura en el disco, lo cual debilitará la seguridad y en un entorno compartido podría facilitar el acceso a personas no autorizadas. Es una razón adicional por qué debe tener su propio servidor dedicado.
  • Asegúrese de que no son buenas copias de seguridad de su sitio y su contenido. La mayoría de los proveedores de hosting ofrecen copias de seguridad automatizadas sitio. Estos también deben ser descargados periódicamente y se almacenan en una máquina segura diferente.

Seguridad extra

Si usted está restringiendo el acceso a un conjunto específico de usuarios, considerar el bloqueo hacia abajo el acceso al sitio por dirección IP .