HIPAA Video Streaming / Conferencing sur WordPress

HIPAA est l’United States federal Health Insurance Portability and Accountability Act de 1996. L'objectif principal de la loi est de rendre plus facile pour les gens à garder l'assurance maladie, protéger la confidentialité et la sécurité de l’information santée et aider les secteur de la santé à contrôler des coûts administratifs aux États-Unis.

L’HIPAA est composé de réglementation nationale américaine pour l’utilisation et la divulgation des informations de santé protégées (PHI) dans le traitement de soins de santé, paiement et opérations par des entités visées

Quand un éditeur de logiciels est considéré comme un associé d’affaires sous HIPAA?

Si un vendeur ou un sous-traitant transmet, maintient, ou dispose d’un accès régulier aux informations de santé protégées (PHI) lorsqu’elle fournit ses services à une entité couverte alors il est considéré comme un associé d’affaires. Par exemple, un vendeur qui héberge le logiciel contenant l’information du patient sur son propre serveur ou accède à des renseignements sur les patients lors du dépannage du logiciel, Ensuite, il est considéré comme un associé d’affaires et doit avoir une entreprise à associer l’accord avec l’entité couverte comme le précise l’HIPAA 45 C.F.R. § 164.504(E).

La seule exception en vertu de l’article HITECH 13408 dans le cas d’une organisation de transmission de données qui sert d’intermédiaire, en ce qu’elle transporte seulement des informations mais n’accède ne pas il, comme l’US Postal Service ou son équivalent électronique — Fournisseurs de services Internet (Fournisseurs de services Internet), une entreprise de télécommunications, etc. Tandis que ceux-ci peuvent avoir accès à PHI, ils ont seulement accès PHI sur une base aléatoire ou peu fréquente comme nécessaires à l’accomplissement du service transport ou tel que requis par la Loi: “[D]organismes de transmission ATA qui ne nécessitent pas d’accès aux informations de santé protégées sur une base régulière ne seraient pas traités comme des associés d’affaires” (p. 22)

Logiciel VideoWhisper pour les projets HIPAA

Logiciel VideoWhisper, les données envoyées par les clients sont communiquées avec le serveur d’hébergement, pas fournisseur de logiciels. Exigences de conformité de sécurité se référer au site et l’installation de stockage des données de client d’hébergement.
Si vous pouvez obtenir le logiciel videochat et déployez-le sur votre hôte compatible HIPAA qui répond aux exigences de logiciels et de données clients garanties.

Exception prévue à l’article HITECH 13408 peut également s’appliquer à un fournisseur distant de streaming comme entreprise de télécommunication qui seulement transporte les données de transmission en continu et il n’accède pas.
Si ce genre d’utilisation s’adapte à vos besoins de projet, vous pouvez aussi jetez un oeil à HostRTMP.com service qui fournit hébergement de RTMP distant pour les flux live. Sur cette configuration, données du client serait sur hébergeur conforme HIPAA et seulement le streaming en direct serait fait creux du service externe.

Voici quelques considérations / idées pour la construction d'un streaming vidéo compatible HIPAA / service de conférence:

Fixez de données en continu pour la vidéoconférence Applications

  • streaming vidéo se produit entre les applications clientes et serveur de streaming (hôte) et l'accès à des applications peut être limité en fonction de l'authentification.
  • En outre, les transferts peuvent être protégés et les données cryptées à l'aide RTMPE / RTMPS sur un serveur dédié Wowza .
  • Utilisateur streaming sur serveur peut être archivée sous forme de fichiers vidéo sur le serveur RTMP. Accès aux archives vidéo et textes clavardage doit être limitée. Si les dossiers contenant ces sont accessibles au public, restriction peut être appliqué avec un fichier .htaccess (qui peuvent être générés avec le dossier CPanel protéger de fonction).

Ces mentions se appliquent également aux VideoWhisper streaming vidéo et applications de conférence.

HIPAA Hosting

  • Vous devez héberger votre site WordPress avec un fournisseur d'hébergement qui fournit la conformité HIPAA et qui va signer votre entente d'association HIPAA affaires. Cela signifie que HIPAA WordPress accueille avec des fournisseurs réguliers comme GoDaddy ne est pas possible tout de suite.
  • Utilisation d'un serveur dédié géré par vos propres administrateurs ou d'un fournisseur HIPPA est mieux.
  • Si le serveur ou le logiciel de site est configuré par un fournisseur 3ème partie, mots de passe doivent être changés et votre propre personnel doit examiner les modifications avant d'utiliser le site pour les données sensibles.

Le programme d’installation VideoWhisper et 3ème partie hébergement HIPAA

  • Un permis régulier pour VideoWhisper supprimera toutes les limitations et les publicités intrusives de l’application flash en actionnant du domaine sous licence. Comprend également une installation sur un hébergement compatible (voir les exigences).
    https://videowhisper.com/?p = Invest
  • VideoWhisper administrateurs peuvent s’occuper de l’installation du serveur.
    Un service complet avec installation complète d’origine et 6 administration-mois/aide et aussi les services d’installation séparément sont disponibles.
    https://videowhisper.com/?p = RTMP-serveur-Administration
    Après l’installation initiale, mot de passe peut être changé ou l’accès peut être limité par d’autres moyens (par touches, PROPRIÉTÉ INTELLECTUELLE) pour protéger le serveur au cours de son utilisation avec les données de l’utilisateur réel.

Serveur et logiciel d’hébergement requis

  • Un serveur dédié de HIPAA ou VPS avec CentOS 7 et racine accès SSH sera nécessaire pour configurer des exigences.
    Serveurs HIPAA peuvent être commandés auprès de: AWS, RackSpace, LiquidWeb.
  • Comme décrit dans exigences, pour HTML5/mobile support Wowza en Streaming moteur est requis.
    Projets peuvent démarrer avec une clé de licence d’évaluation gratuite SE Wowza au cours du développement.
    https://www.Wowza.com/Media-Server/Developers/License
  • Pour la partie hébergeur VideoWhisper recommande habituellement disponibles de fournisseur d’hébergement CPanel/WHM (mais peut aussi être commandé séparément https://cPanel.net/pricing/).
  • En option: WordPress peut être facilement configuré et sauvegardé automatiquement avec Softaculous.
    https://www.Softaculous.com/Softaculous/pricing

HTTP sécurisé (HTTPS)

  • Obtenir un certificat SSL et l'adresse IP dédiée pour votre site web afin que le trafic de / vers elle peut être chiffré en transit.
  • Assurez-vous que votre site WordPress ne est pas accessible sans SSL (.htaccess redirection)

Limiter l'accès aux électroniques protégés information sur la santé (Ephim)

Informations de santé protégées électronique (Ephim) se réfère à des informations de santé protégées (PHI) qui est couvert par la santé Loi sur la responsabilité de l'Insurance Portability 1996 (HIPAA) règles de sécurité et est produit, sauvé, transféré ou reçu sous forme électronique.

Protection dépend de la configuration du site, procédures de personnel et de fonctionnement.

  • Assurez-vous que ePHI ne est jamais publiquement -users disponibles doivent se connecter pour accéder à ce contenu.
  • Veiller à ce que les utilisateurs ayant accès à ePHI sont correctement accordées / l'accès révoqué par vos administrateurs HIPAA.
    Ex: Il ne devrait pas être possible pour quelqu'un de vous inscrire et obtenir un accès sans examen explicite / approbation.
  • Veiller à ce que les utilisateurs ont accès à la seule ePHI ils ont besoin et doivent avoir accès.
  • Assurez-vous que toutes les connexions de WordPress sont surveillés et sont enregistrés. (ex. Connexion utilisateur Connexion plug-in)

WordPress sécurisé

  • Assurez-vous que toutes les connexions de WordPress sont surveillés et sont enregistrés.
  • Garder votre WordPress et tous les plugins mis à jour.
  • Utilisez les plugins comme "Duo de sécurité" pour ajouter l'authentification à 2 facteurs à votre site.
  • Veiller à ce que l'utilisateur les connexions à WordPress se déconnecte automatiquement les utilisateurs en raison de l'inactivité.
  • Connectez-vous accès à ePHI, si possible. Un moyen facile est de se assurer que les journaux Web et un accès rtmp sont permis.
  • Examiner périodiquement vos procédures et les utilisateurs.
  • Veiller à ce que WordPress ne cache copies de Ephi-pages non sécurisée sur le disque, surtout si vous êtes dans un environnement partagé. Contenu Wordpress est normalement stocké dans une base de données, mais si elle est mise en cache non sécurisée sur le disque qui va affaiblir la sécurité et dans un environnement partagé pourrait fournir un accès aux personnes non autorisées. C’est une raison de plus pourquoi vous devriez avoir votre propre serveur dédié.
  • Assurez-vous que il ya de bonnes sauvegardes de votre site et son contenu. La plupart des fournisseurs d'hébergement offrent des sauvegardes automatisées du site. Ceux-ci devraient également être téléchargés périodiquement et stockés sur une machine différente sécurisé.

Sécurité supplémentaire

Si vous limitez l'accès à un ensemble spécifique d'utilisateurs, envisager de verrouiller l'accès au site par son adresse IP .