HIPAA Compliant Video Streaming / Conferencing su WordPress

HIPAA è gli Stati Uniti federal Health Insurance Portability and Accountability Act del 1996. L'obiettivo principale della legge è quello di rendere più facile per le persone a mantenere l'assicurazione sanitaria, proteggere la riservatezza e la sicurezza di informazioni sanitarie e aiutare il settore sanitario a controllare i costi amministrativi negli Stati Uniti.

La regola di Privacy HIPAA è composto da normative nazionali statunitensi per l'uso e la divulgazione delle informazioni sanitarie protette (PHI) in trattamento sanitario, pagamento e operazioni di entità coperte

Quando un fornitore di Software è considerato un socio di affari sotto HIPAA?

Se un fornitore o al terzista trasmette, mantiene, o ha accesso sistematico alle informazioni sanitarie protette (PHI) Quando fornire i propri servizi a un'entità coperta allora è considerato un socio di affari. Per esempio, un fornitore che ospita il software contenente informazioni sul paziente sul proprio server o accede alle informazioni paziente quando la risoluzione dei problemi del software, quindi è considerato un socio di affari e deve avere un business di associare l'accordo con l'entità coperto come specificato sotto la regola di Privacy HIPAA 45 C.F.R. § 164.504(e).

L'unica eccezione nella sezione HITECH 13408 nel caso di un'organizzazione di trasmissione dati che funge da canale, in quanto trasporta solo informazioni ma non accedervi, ad esempio il servizio postale degli Stati Uniti o il suo equivalente elettronico — Internet Service provider (ISP), una società di telecomunicazioni, eccetera. Mentre questi possono avere accesso al PHI, accedono solo PHI su base casuale o poco frequente, come necessario per l'esecuzione del servizio di trasporto o come richiesto dalla legge: “[D]organizzazioni di trasmissione ATA che non richiedono l'accesso alle informazioni sanitarie protette su una base sistematica non sarebbero trattate come colleghi di lavoro” (p. 22)

Utilizzando il Software VideoWhisper per progetti di HIPAA

Per software VideoWhisper, i dati inviati dal client viene comunicati con hosting server, Non fornitore di software. I requisiti di conformità di sicurezza si riferiscono al sito e hosting installazione di memorizzazione dei dati cliente.
Così è possibile ottenere il software di videochat e distribuirlo sul vostro host conforme HIPAA che soddisfi i requisiti software e protegge i dati cliente.

Eccezione nella sezione HITECH 13408 può applicarsi anche a un provider di flusso remoto come società di telecomunicazione che trasporta i dati di flusso solo e di non accedervi.
Se tale utilizzo si adatta alle vostre esigenze di progetto, si potrebbe anche dare un'occhiata al servizio di HostRTMP.com che fornisce hosting remoto RTMP per i flussi live. Su tale impostazione, i dati del cliente sarebbe sul HIPAA compliant web host e solo la diretta streaming sarebbe fatto attraverso il servizio esterno.

Ecco alcune considerazioni / idee per la costruzione di un compiacente video streaming HIPAA / servizio di conferenza:

Sicuro Streaming dati per applicazioni di videoconferenza

  • Lo streaming video avviene tra applicazioni client e server di streaming (ospite) e l'accesso alle applicazioni può essere limitato in base autenticazione.
  • Inoltre, i trasferimenti possono essere protetti e dati criptati utilizzando RTMPE / RTMPS su un server dedicato Wowza .
  • Lo streaming al server utente può essere archiviato come file video sul server di RTMP. L'accesso agli archivi video e chat log testo deve essere limitato. Se le cartelle che contengono queste sono accessibili al pubblico, limitazione può essere applicata con un file .htaccess (che possono essere generati con la cartella CPanel proteggere caratteristica).

Queste menzioni valgono anche per Applicazioni VideoWhisper streaming video e di conferenza.

HIPAA Hosting

  • Hai bisogno di ospitare il vostro sito WordPress con un hosting provider che fornisce la conformità HIPAA e che firmerà il Contratto Associate HIPAA Affari. Ciò significa che HIPAA WordPress ospitando con i fornitori abituali come GoDaddy non è possibile subito.
  • Utilizzando un server dedicato gestito dai propri amministratori o un fornitore HIPPA è migliore.
  • Se il server o software sito è l'installazione da un fornitore di 3a parte, le password devono essere cambiati e il proprio personale ha bisogno di rivedere le modifiche prima di utilizzare sito per i dati sensibili.

Installazione VideoWhisper e 3rd party HIPAA Hosting

  • Una regolare licenza per VideoWhisper rimuoverà tutte le limitazioni e invadente annunci dall'applicazione flash quando esegue dal dominio concesso in licenza. Include anche una installazione su hosting compatibile (vedere requisiti).
    https://videowhisper.com/?p = Invest
  • VideoWhisper amministratori possono prendersi cura di installazione server.
    Un servizio completo con installazione completa originale e 6 mesi di amministrazione/assistenza e anche servizi di installazione separatamente sono disponibili.
    https://videowhisper.com/?p = RTMP-Server-amministrazione
    Dopo l'installazione originale, password può essere cambiata o in altri modi l'accesso può essere limitato (di tasti, IP) per proteggere il server durante l'utilizzo con i dati utente reale.

Server e Hosting Software richiesto

  • Un server dedicato HIPAA o VPS con CentOS 7 e radice accesso SSH sarà necessario per configurare i requisiti.
    Server di HIPAA può essere ordinato da: AWS, RackSpace, LiquidWeb.
  • Come descritto in requisiti, per HTML5/mobile è necessario il supporto Wowza Streaming Engine.
    Progetti possono iniziare con una chiave di licenza di prova gratuita di Wowza SE durante lo sviluppo.
    https://www.Wowza.com/media-server/Developers/License
  • Per il web hosting parte VideoWhisper consiglia di solito disponibile presso un provider di hosting CPanel/WHM (ma può anche essere ordinato separatamente https://cPanel.NET/pricing/).
  • Facoltativo: WordPress può essere facilmente configurato e il backup automatico con Softaculous.
    https://www.Softaculous.com/Softaculous/pricing

HTTP sicuro (HTTPS)

  • Ottenere un certificato SSL e l'indirizzo IP dedicato per il vostro sito web in modo che il traffico da / per esso può essere criptato in transito.
  • Assicuratevi che il vostro sito WordPress non è possibile accedere senza SSL (.htaccess redirect)

Limitare l'accesso ai elettronici protetti Health Information (Ephim)

Informazioni elettroniche sanitarie protette (Ephim) si riferisce a tutte le informazioni sanitarie protette (PHI) che è coperto sotto Health Insurance Portability e Accountability Act del 1996 (HIPAA) norme di sicurezza ed è prodotto, salvato, trasferiti o ricevuti in forma elettronica.

Protezione dipende installazione site, procedure di personale e funzionamento.

  • Assicurarsi che ePHI è mai pubblicamente: agli utenti disponibili devono eseguire l'accesso per tali contenuti.
  • Assicurarsi che gli utenti con accesso a ePHI siano concessi / accesso revocato da amministratori HIPAA.
    Da: Non dovrebbe essere possibile per qualcuno a firmare-up e ottenere l'accesso senza esplicito recensione / Approvazione.
  • Assicurarsi che gli utenti abbiano accesso solo il ePHI hanno bisogno e dovrebbero avere accesso.
  • Assicurarsi che tutti i login di WordPress sono monitorati e registrati. (ex. User Login Accedi plug)

WordPress sicuro

  • Assicurarsi che tutti i login di WordPress sono monitorati e registrati.
  • Mantenere il proprio WordPress e tutti i plugin up-to-date.
  • Utilizzare i plugin come "Duo Security" per aggiungere l'autenticazione a 2 fattori per il tuo sito.
  • Assicurarsi che gli accessi degli utenti a WordPress registrerà automaticamente gli utenti a causa di inattività.
  • Accedere accesso a ePHI, se possibile. Un modo semplice è quello di assicurarsi che web e accedere rtmp registri sono abilitati.
  • Rivedere le procedure e gli utenti periodicamente.
  • Garantire che WordPress non fa copie di cache di Ephi pagine insicuro su disco, soprattutto se siete in un ambiente condiviso. Contenuti Wordpress viene normalmente conservato in un database, ma se si è in cache insicuro su disco che indebolisce la sicurezza e in un ambiente condiviso potrebbe fornire l'accesso a persone non autorizzate. Ecco un motivo in più perché si dovrebbe avere il tuo server dedicato.
  • Assicurarsi che ci sono buoni backup del vostro sito e il suo contenuto. La maggior parte dei fornitori di hosting offrono backup automatizzati sito. Questi dovrebbero anche essere scaricati periodicamente e memorizzati su una macchina sicura diverso.

Sicurezza Extra

Se si sta limitando l'accesso a un determinato gruppo di utenti, considerare bloccando l'accesso al sito tramite l'indirizzo IP .