HIPAA Compliant Video Streaming / Conferencing su WordPress

HIPAA è gli Stati Uniti federal Health Insurance Portability and Accountability Act del 1996. L'obiettivo principale della legge è quello di rendere più facile per le persone a mantenere l'assicurazione sanitaria, proteggere la riservatezza e la sicurezza di informazioni sanitarie e aiutare il settore sanitario a controllare i costi amministrativi negli Stati Uniti.

La regola di Privacy HIPAA è composto da normative nazionali statunitensi per l'uso e la divulgazione delle informazioni sanitarie protette (PHI) in trattamento sanitario, pagamento e operazioni di entità coperte

Quando un fornitore di Software è considerato un socio di affari sotto HIPAA?

Se un fornitore o al terzista trasmette, mantiene, o ha accesso sistematico alle informazioni sanitarie protette (PHI) Quando fornire i propri servizi a un'entità coperta allora è considerato un socio di affari. Per esempio, un fornitore che ospita il software contenente informazioni sul paziente sul proprio server o accede alle informazioni paziente quando la risoluzione dei problemi del software, quindi è considerato un socio di affari e deve avere un business di associare l'accordo con l'entità coperto come specificato sotto la regola di Privacy HIPAA 45 C.F.R. § 164.504(e).

L'unica eccezione nella sezione HITECH 13408 nel caso di un'organizzazione di trasmissione dati che funge da canale, in quanto trasporta solo informazioni ma non accedervi, ad esempio il servizio postale degli Stati Uniti o il suo equivalente elettronico — Internet Service provider (ISP), una società di telecomunicazioni, ecc. Mentre questi possono avere accesso al PHI, accedono solo PHI su base casuale o poco frequente, come necessario per l'esecuzione del servizio di trasporto o come richiesto dalla legge: “[D]organizzazioni di trasmissione ATA che non richiedono l'accesso alle informazioni sanitarie protette su una base sistematica non sarebbero trattate come colleghi di lavoro” (p. 22)

Utilizzando il Software VideoWhisper per progetti di HIPAA

Per software VideoWhisper, i dati inviati dal client viene comunicati con hosting server, Non fornitore di software. I requisiti di conformità di sicurezza si riferiscono al sito e hosting installazione di memorizzazione dei dati cliente.
Così è possibile ottenere il software di videochat e distribuirlo sul vostro host conforme HIPAA che soddisfi i requisiti software e protegge i dati cliente.

Eccezione nella sezione HITECH 13408 può applicarsi anche a un provider di flusso remoto come società di telecomunicazione che trasporta i dati di flusso solo e di non accedervi.
Se tale utilizzo si adatta alle vostre esigenze di progetto, si potrebbe anche dare un'occhiata al servizio di HostRTMP.com che fornisce hosting remoto RTMP per i flussi live. Su tale impostazione, i dati del cliente sarebbe sul HIPAA compliant web host e solo la diretta streaming sarebbe fatto attraverso il servizio esterno.

Ecco alcune considerazioni / idee per la costruzione di un compiacente video streaming HIPAA / servizio di conferenza:

Sicuro Streaming dati per applicazioni di videoconferenza

  • Lo streaming video avviene tra applicazioni client e server di streaming (ospite) e l'accesso alle applicazioni può essere limitato in base autenticazione.
  • Inoltre, i trasferimenti possono essere protetti e dati criptati utilizzando RTMPE / RTMPS su un server dedicato Wowza .
  • Lo streaming al server utente può essere archiviato come file video sul server di RTMP. L'accesso agli archivi video e chat log testo deve essere limitato. Se le cartelle che contengono queste sono accessibili al pubblico, limitazione può essere applicata con un file .htaccess (che possono essere generati con la cartella CPanel proteggere caratteristica).

Queste menzioni valgono anche per Applicazioni VideoWhisper streaming video e di conferenza.

HIPAA Hosting

  • Hai bisogno di ospitare il vostro sito WordPress con un hosting provider che fornisce la conformità HIPAA e che firmerà il Contratto Associate HIPAA Affari. Ciò significa che HIPAA WordPress ospitando con i fornitori abituali come GoDaddy non è possibile subito.
  • Utilizzando un server dedicato gestito dai propri amministratori o un fornitore HIPPA è migliore.
  • Se il server o software sito è l'installazione da un fornitore di 3a parte, le password devono essere cambiati e il proprio personale ha bisogno di rivedere le modifiche prima di utilizzare sito per i dati sensibili.

Installazione VideoWhisper e 3rd party HIPAA Hosting

  • Una regolare licenza per VideoWhisper rimuoverà tutte le limitazioni e invadente annunci dall'applicazione flash quando esegue dal dominio concesso in licenza. Include anche una installazione su hosting compatibile (vedere requisiti).
    https://videowhisper.com/?p = Invest
  • VideoWhisper amministratori possono prendersi cura di installazione server.
    Un servizio completo con installazione completa originale e 6 mesi di amministrazione/assistenza e anche servizi di installazione separatamente sono disponibili.
    https://videowhisper.com/?p = RTMP-Server-amministrazione
    Dopo l'installazione originale, password può essere cambiata o in altri modi l'accesso può essere limitato (di tasti, IP) per proteggere il server durante l'utilizzo con i dati utente reale.

Server e Hosting Software richiesto

  • Un server dedicato HIPAA o VPS con CentOS 7 e radice accesso SSH sarà necessario per configurare i requisiti.
    Server di HIPAA può essere ordinato da: AWS, RackSpace, LiquidWeb.
  • Come descritto in requisiti, per HTML5/mobile è necessario il supporto Wowza Streaming Engine.
    Progetti possono iniziare con una chiave di licenza di prova gratuita di Wowza SE durante lo sviluppo.
    https://www.Wowza.com/media-server/Developers/License
  • Per il web hosting parte VideoWhisper consiglia di solito disponibile presso un provider di hosting CPanel/WHM (ma può anche essere ordinato separatamente https://cPanel.NET/pricing/).
  • Opzionale: WordPress può essere facilmente configurato e il backup automatico con Softaculous.
    https://www.Softaculous.com/Softaculous/pricing

HTTP sicuro (HTTPS)

  • Ottenere un certificato SSL e l'indirizzo IP dedicato per il vostro sito web in modo che il traffico da / per esso può essere criptato in transito.
  • Assicuratevi che il vostro sito WordPress non è possibile accedere senza SSL (.htaccess redirect)

Limitare l'accesso ai elettronici protetti Health Information (Ephim)

Informazioni elettroniche sanitarie protette (Ephim) si riferisce a tutte le informazioni sanitarie protette (PHI) che è coperto sotto Health Insurance Portability e Accountability Act del 1996 (HIPAA) norme di sicurezza ed è prodotto, salvato, trasferiti o ricevuti in forma elettronica.

Protezione dipende installazione site, procedure di personale e funzionamento.

  • Assicurarsi che ePHI è mai pubblicamente: agli utenti disponibili devono eseguire l'accesso per tali contenuti.
  • Assicurarsi che gli utenti con accesso a ePHI siano concessi / accesso revocato da amministratori HIPAA.
    Ex: Non dovrebbe essere possibile per qualcuno a firmare-up e ottenere l'accesso senza esplicito recensione / approvazione.
  • Assicurarsi che gli utenti abbiano accesso solo il ePHI hanno bisogno e dovrebbero avere accesso.
  • Assicurarsi che tutti i login di WordPress sono monitorati e registrati. (da. User Login Accedi plug)

WordPress sicuro

  • Assicurarsi che tutti i login di WordPress sono monitorati e registrati.
  • Mantenere il proprio WordPress e tutti i plugin up-to-date.
  • Utilizzare i plugin come "Duo Security" per aggiungere l'autenticazione a 2 fattori per il tuo sito.
  • Assicurarsi che gli accessi degli utenti a WordPress registrerà automaticamente gli utenti a causa di inattività.
  • Accedere accesso a ePHI, se possibile. Un modo semplice è quello di assicurarsi che web e accedere rtmp registri sono abilitati.
  • Rivedere le procedure e gli utenti periodicamente.
  • Garantire che WordPress non fa copie di cache di Ephi pagine insicuro su disco, soprattutto se siete in un ambiente condiviso. Contenuti Wordpress viene normalmente conservato in un database, ma se si è in cache insicuro su disco che indebolisce la sicurezza e in un ambiente condiviso potrebbe fornire l'accesso a persone non autorizzate. Ecco un motivo in più perché si dovrebbe avere il tuo server dedicato.
  • Assicurarsi che ci sono buoni backup del vostro sito e il suo contenuto. La maggior parte dei fornitori di hosting offrono backup automatizzati sito. Questi dovrebbero anche essere scaricati periodicamente e memorizzati su una macchina sicura diverso.

Sicurezza Extra

Se si sta limitando l'accesso a un determinato gruppo di utenti, considerare bloccando l'accesso al sito tramite l'indirizzo IP .

VideoWhisper RTMP sessione Web Check

Per i siti e le integrazioni in cui sono necessarie ulteriori misure di sicurezza, Applicazioni Web VideoWhisper supporto controllo sessione di login su lato Wowza RTMP.

Questo è usato per assicurarsi che nessun client saranno in grado di connettersi al server di RTMP senza aver preventivamente registrato sul sito (con gli script _login.php per le edizioni php).
Quando un nuovo client tenta di connettersi al server RTMP con un nome di sessione, applicazione rtmp controlla sul server web, se tale sessione client esistente. Se il server Web non conferma che client connesso, del server rtmp rifiuterà la connessione. Del server RTMP anche verificare la presenza di un WebKey che deve essere configurato nello stesso modo in rtmp e web server: questo impedirà connessioni in caso di dirottamento dominio web (solo server web e il server rtmp conoscono la chiave, applicazione client non lo fa).

Note

  • Questo disabiliterà le connessioni da encoder esterni (vale a dire. FMLE) e giocatori (vale a dire. JwPlayer) a questo indirizzo rtmp, in quanto questi non fornirà un nome di sessione per verificare la validità. Queste applicazioni possono essere supportati con una soluzione più avanzata che permette l'inserimento di una chiave di indirizzo rtmp e anche rtmp continuo controllo delle sessioni di web (rtmp riferisce sessioni online di script web e questi possono terminare qualsiasi sessione rtmp): RTMP Session Control
  • Solitamente, ogni installazione richiederà il suo lato rtmp che controlla Info sessione con tale impianto. In caso contrario, sarà necessario modificare gli script per controllare tutte le installazioni.
  • Questa funzionalità SE Wowza è facoltativa e può essere disabilitata lasciando quelle proprietà vuoto.

Configurazione RTMP

RTMP controllo sessione web lato è attualmente supportato per Wowza lato rtmp. Scarica l'ultimo versione di Wowza lato rtmp, distribuire al server e aggiornare queste impostazioni in conf / videowhisper-web / Application.xml :


<Proprietà>
<Proprietà>
<Nome>acceptPlayers</Nome>
<Valore>vero</Valore>
</Proprietà>
<Proprietà>
<Nome>weblogin</Nome>
<Valore>http://installation_url /rtmp_login.php?s =</Valore>
</Proprietà>
<Proprietà>
<Nome>WebKey</Nome>
<Valore>VideoWhisper</Valore>
</Proprietà>
<Proprietà>
<Nome>webLogout</Nome>
<Valore>http://installation_url/rtmp_logout.php?s =</Valore>
</Proprietà>
</Proprietà>
</Applicazione>

Quindi riavviare il servizio WowzaMediaServer. Per la risoluzione dei problemi verificare Wowza log di accesso. Se si verificano errori nei log di errore inviare un biglietto per VideoWhisper su questo.

Configurazione Web

Scarica ultima edizione php Video Conference e controllare questi file di integrazione:
rtmp.inc.php – memorizza informazioni di sessione quando l'utente si autentica da vc_login.php ; contiene $ WebKey se si vuole cambiare
rtmp_login.php – chiamato server rtmp per vedere se un nome di sessione è valido (autenticato); ottiene anche canKick autorizzazione per consentire all'utente di calci clienti
rtmp_logout.php – chiamato server rtmp quando il client con un nome di sessione disconnessa (alla sessione di pulizia)

Configurare settings.php utilizzare l'indirizzo rtmp videowhisper-web.

Per integrare questo su altre edizioni o installazioni è necessario copiare il 3 i file di cui sopra alla cartella di installazione e comprendono rtmp.inc.php negli script _login.php che autorizzano l'utente.
Altre modifiche potrebbero essere necessarie a seconda delle particolarità di ciascuna integrazione.

Configurazione Demo campione

Installazione url: http://www.videowhisper.com/demos/vc_web
Utilizzo di indirizzo rtmp: rtmp://videowhisper.com/videowhisper-web

<Proprietà>
<Nome>weblogin</Nome>
<Valore>http://www.videowhisper.com/demos/vc_web/rtmp_login.php?s =</Valore>
</Proprietà>
<Proprietà>
<Nome>WebKey</Nome>
<Valore>VideoWhisper</Valore>
</Proprietà>
<Proprietà>
<Nome>webLogout</Nome>
<Valore>http://www.videowhisper.com/demos/vc_web/rtmp_logout.php?s =</Valore>
</Proprietà>

RTMP Session Control (anche dopo il login e per 3 encoder partito / apps)

Oltre alla sessione di controllo di accesso, VideoWhisper lato RTMP per Wowza può anche fornire RTMP Session Control (è richiesta licenza speciale per i server 3rd party).

Questo può essere utilizzato per monitorare i clienti 3a parte, ad eccezione di quelle VideoWhisper, come Wirecast, Flash Media Live Encoder (FMLE), Open Software Broadcaster (OBS), iOS / Android GoCoder app per rtmp trasmissione in diretta.

Nell'esempio, se un'emittente collega direttamente con un'applicazione encoder esterno, possono essere notificati gli script del sito web di questo per mostrare il suo canale DIRETTA.
Anche script web in grado di comunicare di nuovo al server rtmp per disconnettere un cliente in caso di necessità.