HIPAA Video Streaming / Conferencing sur WordPress

HIPAA est l’United States federal Health Insurance Portability and Accountability Act de 1996. L'objectif principal de la loi est de rendre plus facile pour les gens à garder l'assurance maladie, protéger la confidentialité et la sécurité de l’information santée et aider les secteur de la santé à contrôler des coûts administratifs aux États-Unis.

L’HIPAA est composé de réglementation nationale américaine pour l’utilisation et la divulgation des informations de santé protégées (PHI) dans le traitement de soins de santé, paiement et opérations par des entités visées

Quand un éditeur de logiciels est considéré comme un associé d’affaires sous HIPAA?

Si un vendeur ou un sous-traitant transmet, maintient, ou dispose d’un accès régulier aux informations de santé protégées (PHI) lorsqu’elle fournit ses services à une entité couverte alors il est considéré comme un associé d’affaires. Par exemple, un vendeur qui héberge le logiciel contenant l’information du patient sur son propre serveur ou accède à des renseignements sur les patients lors du dépannage du logiciel, Ensuite, il est considéré comme un associé d’affaires et doit avoir une entreprise à associer l’accord avec l’entité couverte comme le précise l’HIPAA 45 C.F.R. § 164.504(e).

La seule exception en vertu de l’article HITECH 13408 dans le cas d’une organisation de transmission de données qui sert d’intermédiaire, en ce qu’elle transporte seulement des informations mais n’accède ne pas il, comme l’US Postal Service ou son équivalent électronique — Fournisseurs de services Internet (Fournisseurs de services Internet), une entreprise de télécommunications, etc.. Tandis que ceux-ci peuvent avoir accès à PHI, ils ont seulement accès PHI sur une base aléatoire ou peu fréquente comme nécessaires à l’accomplissement du service transport ou tel que requis par la Loi: “[D]organismes de transmission ATA qui ne nécessitent pas d’accès aux informations de santé protégées sur une base régulière ne seraient pas traités comme des associés d’affaires” (p. 22)

Logiciel VideoWhisper pour les projets HIPAA

Logiciel VideoWhisper, les données envoyées par les clients sont communiquées avec le serveur d’hébergement, pas fournisseur de logiciels. Exigences de conformité de sécurité se référer au site et l’installation de stockage des données de client d’hébergement.
Si vous pouvez obtenir le logiciel videochat et déployez-le sur votre hôte compatible HIPAA qui répond aux exigences de logiciels et de données clients garanties.

Exception prévue à l’article HITECH 13408 peut également s’appliquer à un fournisseur distant de streaming comme entreprise de télécommunication qui seulement transporte les données de transmission en continu et il n’accède pas.
Si ce genre d’utilisation s’adapte à vos besoins de projet, vous pouvez aussi jetez un oeil à HostRTMP.com service qui fournit hébergement de RTMP distant pour les flux live. Sur cette configuration, données du client serait sur hébergeur conforme HIPAA et seulement le streaming en direct serait fait creux du service externe.

Voici quelques considérations / idées pour la construction d'un streaming vidéo compatible HIPAA / service de conférence:

Fixez de données en continu pour la vidéoconférence Applications

  • streaming vidéo se produit entre les applications clientes et serveur de streaming (hôte) et l'accès à des applications peut être limité en fonction de l'authentification.
  • En outre, les transferts peuvent être protégés et les données cryptées à l'aide RTMPE / RTMPS sur un serveur dédié Wowza .
  • Utilisateur streaming sur serveur peut être archivée sous forme de fichiers vidéo sur le serveur RTMP. Accès aux archives vidéo et textes clavardage doit être limitée. Si les dossiers contenant ces sont accessibles au public, restriction peut être appliqué avec un fichier .htaccess (qui peuvent être générés avec le dossier CPanel protéger de fonction).

Ces mentions se appliquent également aux VideoWhisper streaming vidéo et applications de conférence.

HIPAA Hosting

  • Vous devez héberger votre site WordPress avec un fournisseur d'hébergement qui fournit la conformité HIPAA et qui va signer votre entente d'association HIPAA affaires. Cela signifie que HIPAA WordPress accueille avec des fournisseurs réguliers comme GoDaddy ne est pas possible tout de suite.
  • Utilisation d'un serveur dédié géré par vos propres administrateurs ou d'un fournisseur HIPPA est mieux.
  • Si le serveur ou le logiciel de site est configuré par un fournisseur 3ème partie, mots de passe doivent être changés et votre propre personnel doit examiner les modifications avant d'utiliser le site pour les données sensibles.

Le programme d’installation VideoWhisper et 3ème partie hébergement HIPAA

  • Un permis régulier pour VideoWhisper supprimera toutes les limitations et les publicités intrusives de l’application flash en actionnant du domaine sous licence. Comprend également une installation sur un hébergement compatible (voir configuration requise).
    https://videowhisper.com/?p = Invest
  • VideoWhisper administrateurs peuvent s’occuper de l’installation du serveur.
    Un service complet avec installation complète d’origine et 6 administration-mois/aide et aussi les services d’installation séparément sont disponibles.
    https://videowhisper.com/?p = RTMP-serveur-Administration
    Après l’installation initiale, mot de passe peut être changé ou l’accès peut être limité par d’autres moyens (par touches, PROPRIÉTÉ INTELLECTUELLE) pour protéger le serveur au cours de son utilisation avec les données de l’utilisateur réel.

Serveur et logiciel d’hébergement requis

  • Un serveur dédié de HIPAA ou VPS avec CentOS 7 et racine accès SSH sera nécessaire pour configurer des exigences.
    Serveurs HIPAA peuvent être commandés auprès de: AWS, RackSpace, LiquidWeb.
  • Comme décrit dans exigences, pour HTML5/mobile support Wowza en Streaming moteur est requis.
    Projets peuvent démarrer avec une clé de licence d’évaluation gratuite SE Wowza au cours du développement.
    https://www.Wowza.com/Media-Server/Developers/License
  • Pour la partie hébergeur VideoWhisper recommande habituellement disponibles de fournisseur d’hébergement CPanel/WHM (mais peut aussi être commandé séparément https://cPanel.net/pricing/).
  • En option: WordPress peut être facilement configuré et sauvegardé automatiquement avec Softaculous.
    https://www.Softaculous.com/Softaculous/pricing

HTTP sécurisé (HTTPS)

  • Obtenir un certificat SSL et l'adresse IP dédiée pour votre site web afin que le trafic de / vers elle peut être chiffré en transit.
  • Assurez-vous que votre site WordPress ne est pas accessible sans SSL (.htaccess redirection)

Limiter l'accès aux électroniques protégés information sur la santé (Ephim)

Informations de santé protégées électronique (Ephim) se réfère à des informations de santé protégées (PHI) qui est couvert par la santé Loi sur la responsabilité de l'Insurance Portability 1996 (HIPAA) règles de sécurité et est produit, sauvé, transféré ou reçu sous forme électronique.

Protection dépend de la configuration du site, procédures de personnel et de fonctionnement.

  • Assurez-vous que ePHI ne est jamais publiquement -users disponibles doivent se connecter pour accéder à ce contenu.
  • Veiller à ce que les utilisateurs ayant accès à ePHI sont correctement accordées / l'accès révoqué par vos administrateurs HIPAA.
    Ex: Il ne devrait pas être possible pour quelqu'un de vous inscrire et obtenir un accès sans examen explicite / approbation.
  • Veiller à ce que les utilisateurs ont accès à la seule ePHI ils ont besoin et doivent avoir accès.
  • Assurez-vous que toutes les connexions de WordPress sont surveillés et sont enregistrés. (à partir de. Connexion utilisateur Connexion plug-in)

WordPress sécurisé

  • Assurez-vous que toutes les connexions de WordPress sont surveillés et sont enregistrés.
  • Garder votre WordPress et tous les plugins mis à jour.
  • Utilisez les plugins comme "Duo de sécurité" pour ajouter l'authentification à 2 facteurs à votre site.
  • Veiller à ce que l'utilisateur les connexions à WordPress se déconnecte automatiquement les utilisateurs en raison de l'inactivité.
  • Connectez-vous accès à ePHI, si possible. Un moyen facile est de se assurer que les journaux Web et un accès rtmp sont permis.
  • Examiner périodiquement vos procédures et les utilisateurs.
  • Veiller à ce que WordPress ne cache copies de Ephi-pages non sécurisée sur le disque, surtout si vous êtes dans un environnement partagé. Contenu Wordpress est normalement stocké dans une base de données, mais si elle est mise en cache non sécurisée sur le disque qui va affaiblir la sécurité et dans un environnement partagé pourrait fournir un accès aux personnes non autorisées. C’est une raison de plus pourquoi vous devriez avoir votre propre serveur dédié.
  • Assurez-vous que il ya de bonnes sauvegardes de votre site et son contenu. La plupart des fournisseurs d'hébergement offrent des sauvegardes automatisées du site. Ceux-ci devraient également être téléchargés périodiquement et stockés sur une machine différente sécurisé.

Sécurité supplémentaire

Si vous limitez l'accès à un ensemble spécifique d'utilisateurs, envisager de verrouiller l'accès au site par son adresse IP .

VideoWhisper RTMP session Web Check

Pour les sites et les intégrations où des mesures de sécurité supplémentaires sont nécessaires, Applications Web VideoWhisper soutien chèque de session de connexion sur le côté Wowza RTMP.

Il est utilisé pour vous assurer qu'aucun clients seront en mesure de se connecter au serveur RTMP sans avoir préalablement connecté sur le site (avec les scripts de _login.php pour les éditions php).
Quand un nouveau client tente de se connecter au serveur RTMP avec un nom de session, l'application RTMP va vérifier sur le serveur Web si cette session de client existe. Si le serveur Web ne confirme pas que le client connecté, serveur RTMP rejette la connexion. Serveur RTMP vérifie également pour un webkey qui doit être configuré même manière sur RTMP et serveur Web: cela permettra d'éviter les connexions en cas de détournement de nom de domaine Internet (seul serveur Web et le serveur de rtmp connaissent la clé, application client ne).

Remarques

  • Cela va désactiver les connexions à partir des capteurs externes (c'est à dire. FMLE) et les joueurs (c'est à dire. JwPlayer) à cette adresse RTMP, que ceux-ci ne fournira pas un nom de session pour vérifier la validité. Ces applications peuvent être pris en charge avec une solution plus avancée qui permet d'insérer une clé dans l'adresse de rtmp et aussi rtmp continue contrôle de session de web (rtmp rapporte sessions en ligne pour son web et ceux-ci peut mettre fin à une session de rtmp): RTMP Session Control
  • Habituellement, chaque installation nécessitera son côté RTMP qui vérifie informations de session avec cette installation. Sinon, vous devrez modifier les scripts pour vérifier toutes les installations.
  • Cette fonctionnalité SE Wowza est facultative et peut être désactivée en laissant ces propriétés blanc.

Configuration RTMP

RTMP contrôle de session côté web est actuellement soutenu pour Wowza côté RTMP. Téléchargez la dernière version de Wowza côté RTMP, déployer sur votre serveur et mettre à jour ces paramètres dans conf / videowhisper-web / Application.xml :


<Propriétés>
<Propriété>
<Nom>acceptPlayers</Nom>
<Valeur>vrai</Valeur>
</Propriété>
<Propriété>
<Nom>webLogin</Nom>
<Valeur>http://installation_url /rtmp_login.php?s =</Valeur>
</Propriété>
<Propriété>
<Nom>webkey</Nom>
<Valeur>VideoWhisper</Valeur>
</Propriété>
<Propriété>
<Nom>webLogout</Nom>
<Valeur>http://installation_url/rtmp_logout.php?s =</Valeur>
</Propriété>
</Propriétés>
</Application>

Puis redémarrez le service WowzaMediaServer. Pour le dépannage vérifier les journaux d'accès Wowza. Si des erreurs se produisent dans les journaux d'erreurs soumettre un ticket à VideoWhisper sur ce.

Configuration Web

Télécharger la dernière édition de la Conférence PHP de la vidéo et de vérifier ces fichiers d'intégration:
rtmp.inc.php – conserve les informations de session lorsque l'utilisateur s'authentifie de vc_login.php ; contient $ webkey si vous voulez changer
rtmp_login.php – appelé par serveur RTMP pour voir si un nom de session est valide (authentifié); obtient également l'autorisation canKick pour permettre à l'utilisateur pour lancer clients
rtmp_logout.php – appelé par serveur RTMP lorsque le client avec un nom de session déconnectée (à la session de nettoyage)

Configurez settings.php d'utiliser l'adresse RTMP videowhisper-web.

Pour intégrer cette sur d'autres éditions ou des installations, vous devrez copier le 3 fichiers mentionnés ci-dessus dans le dossier d'installation et comprennent rtmp.inc.php dans les scripts de _login.php qui autorisent l'utilisateur.
D'autres changements pourraient être nécessaires en fonction des particularités de chaque intégration.

Configuration de démonstration échantillon

url d'installation: http://www.videowhisper.com/demos/vc_web
Utilisation de l'adresse RTMP: RTMP://videowhisper.com/videowhisper-web

<Propriété>
<Nom>webLogin</Nom>
<Valeur>http://www.videowhisper.com/demos/vc_web/rtmp_login.php?s =</Valeur>
</Propriété>
<Propriété>
<Nom>webkey</Nom>
<Valeur>VideoWhisper</Valeur>
</Propriété>
<Propriété>
<Nom>webLogout</Nom>
<Valeur>http://www.videowhisper.com/demos/vc_web/rtmp_logout.php?s =</Valeur>
</Propriété>

RTMP Session Control (y compris après la connexion et pour la 3e encodeurs du parti / apps)

En plus de la session contrôle de connexion, VideoWhisper côté rtmp pour Wowza peut également fournir RTMP session Contrel (une licence spéciale est nécessaire pour les serveurs 3ème partie).

Cela peut être utilisé pour surveiller 3e clients externes, autres que les applications VideoWhisper, comme wirecast, Flash Media Live Encoder (FMLE), Logiciel Open Broadcaster (OBS), app iOS / Android GoCoder pour rtmp diffusion en direct.

Dans l'exemple, si un radiodiffuseur connecte directement avec une application de codeur externe, les scripts de sites Web peuvent être informés de cela pour montrer que sa chaîne en direct.
Aussi scripts web peuvent communiquer retour au serveur rtmp pour déconnecter un client lorsque nécessaire.