HIPAA準拠のビデオストリーミング / ワードプレスで会議

HIPAA は、アメリカ合衆国連邦政府健康保険の携行性と責任に関する法律 1996. 法律の主な目的は、人々が健康保険を維持するためにそれが簡単にすることです, 機密性と医療情報のセキュリティを保護し、アメリカ合衆国における管理コストを制御医療業.

HIPAA のプライバシーの規則は使用および保護された健康情報の開示米国国民の規則の構成します。 (PHI) 医療治療, お支払いと対象のエンティティの操作

ソフトウェア ベンダーと見なされるタイミングといったビジネス准?

ベンダーまたは下請け業者を送信する場合, 維持します。, 保護された健康情報に定期的にアクセスをまたは (PHI) 適用対象事業体へのサービスを提供する場合は、取引先が使用されます。. 例えば, ベンダー独自のサーバーに患者情報を含むソフトウェアをホストまたはソフトウェアのトラブルシューティング時患者情報にアクセスします。, 仕事仲間であるし、契約を HIPAA のプライバシーの規則で指定されている対象エンティティに関連付けるビジネスを持っている必要があります。 45 C.F.R. § 164.504(e).

[ハイテック] セクションの唯一の例外 13408 導管としての役割を果たすデータ伝送機構の場合は、します。, それだけ情報を運ぶことでそれにアクセスしません。, 米国の郵便サービスまたは等価の電子など — インターネット サービス プロバイダー (Isp), 通信会社, など. ピピへのアクセスを持っている可能性がありますこれら, 輸送サービスの遂行のため必要に応じて、または法律によって要求されるランダムまたは不定期的にファイにのみアクセスします。: “[D]日常的に保護された健康情報へのアクセスを必要としない ata 転送組織は仕事仲間として扱われない” (P. 22)

Using VideoWhisper Software for HIPAA Projects

VideoWhisper ソフトウェア, クライアントから送信されたデータは、サーバーをホストするいると伝えられます, ていないソフトウェアプロバイダ. Security compliance requirements refer to site and hosting setup where customer data is stored.
So you can get the videochat software and deploy it on your HIPAA compliant host that meets software requirements and safeguards client data.

Exception under HITECH section 13408 may also apply to a remote streaming provider as telecommunication company that only transports the streaming data and does not access it.
If such usage fits your project requirements, you could also take a look at HostRTMP.com service that provides remote RTMP hosting for the live streams. On such setup, customer data would be on HIPAA compliant web host and only the live streaming would be done trough the external service.

ここではHIPAA準拠のビデオストリーミングを構築するためのいくつかの考慮事項/アイデアがあります / 会議サービス:

ビデオ会議アプリケーション向けのストリーミングデータを保護

  • ビデオストリーミングは、クライアントアプリケーションとストリーミングサーバとの間で発生する (ホスト) とアプリケーションへのアクセスは、認証に基づいて制限することができます.
  • さらに, 転送を保護することができ、データを使用して暗号化 専用のWowzaサーバー上のRTMPE / RTMPS .
  • サーバーへのストリーミングユーザーがRTMPサーバー上のビデオファイルとしてアーカイブすることができます. ビデオアーカイブとテキストチャットログへのアクセスは制限する必要がある. これらを含むフォルダはパブリックにアクセスしている場合, 制限は、.htaccessファイルに適用することができ (つまり、cPanelのフォルダの保護機能で生成することができる).

これらは、にも適用言及 VideoWhisperのビデオストリーミングおよび会議アプリケーション.

HIPAAホスティング

  • あなたは、HIPAAコンプライアンスを提供し、誰があなたのHIPAAビジネス准協定に署名するホスティングプロバイダでWordPressのサイトをホストする必要があります. これはHIPAA WordPressはGoDaddyのような定期的なプロバイダとホスティングがすぐにできないことを意味します.
  • 専用サーバーを使用して、独自の管理者によって管理されるか、HIPPAプロバイダが最高です.
  • サーバーまたはサイトのソフトウェアは、サードパーティプロバイダによって設定された場合, パスワードを変更する必要があり、あなた自身のスタッフは、機密データのためのサイトを使用する前に変更内容を確認する必要があります.

Setup VideoWhisper and 3rd party HIPAA Hosting

  • A regular license for VideoWhisper will remove all limitations and intrusive ads from the flash application when run from licensed domain. Also includes one installation on compatible hosting (see requirements).
    https://videowhisper.com/?p=Invest
  • VideoWhisper administrators can take care of server setup.
    A complete service with complete original setup and 6 months administration/assistance and also installation services separately are available.
    https://videowhisper.com/?p=RTMP-Server-Administration
    After original setup, password can be changed or access can be restricted in other ways (by keys, IP) to protect server during usage with real user data.

Server and Hosting Software Required

  • A HIPAA dedicated server or VPS with CentOS 7 and root SSH access will be needed to configure requirements.
    HIPAA servers can be ordered from: AWS, RackSpace, LiquidWeb.
  • As described in 必要条件, for HTML5/mobile support Wowza Streaming Engine is required.
    Projects can start with a free Wowza SE trial license key during development.
    https://www.wowza.com/media-server/developers/license
  • For the web hosting part VideoWhisper recommends WHM/CPanel usually available from hosting provider (but can also be ordered separately https://cpanel.net/pricing/).
  • Optional: WordPress can be easily setup and backed up automatically with Softaculous.
    https://www.softaculous.com/softaculous/pricing

セキュアHTTP (HTTPS)

  • それから/へのトラフィックが転送中に暗号化することができるようにあなたのウェブサイト用のSSL証明書と専用IPアドレスを取得する.
  • WordPressのサイトがSSLなしでアクセスすることができないことを確認してください (.htaccessのリダイレクト)

電子保護された健康情報へのアクセスを制限 (Ephim)

電子保護された健康情報 (Ephim) すべての保護された健康情報を参照する (PHI) それは、医療保険の携行性と責任に関する法律の下でカバーされている 1996 (HIPAA) セキュリティ規定と生産される, 保存された, 電子形式で転送または受信.

保護は、サイトの設定に依存します, スタッフと操作手順.

  • EPHIが公開-usersことはありませんことを確認してくださいすると、そのコンテンツにアクセスするためにログインする必要があります.
  • EPHIへのアクセス権を持つユーザーは、適切に付与されていることを確認してください / あなたのHIPAAの管理者によるアクセスを取り消さ.
    例: 誰かがアップに署名し、アクセスを取得することは、明示的なレビューなしで可能であってはならない / 承認.
  • ユーザーが彼らが必要し、アクセスがあるはずの ePHI のみへのアクセスを持っているを確認します。.
  • すべてのワードプレスのログインが監視され、ログインしていることを確認. (から. ユーザーログインログのプラグイン)

セキュアなワードプレス

  • すべてのワードプレスのログインが監視され、ログインしていることを確認.
  • あなたのワードプレスと、最新のすべてのプラグインを維持.
  • 使用プラグインのようにあなたのサイトに 2 要素認証を追加する「セキュリティのデュオ」.
  • ワードプレスへのユーザー ログインが自動的にログオフするユーザー非アクティブのためことを確認します。.
  • EPHIへのアクセスをログに記録, 可能なら. 簡単な方法は必ずウェブとRTMPアクセスログが有効になっているようにすることです.
  • 定期的な手順とユーザーを確認.
  • WordPressがディスク上に安全でないEPHI-ページのコピーをキャッシュしないことを保証する, あなたは、共有環境にある場合は特に. ワードプレスのコンテンツはデータベース内の普通, しかしそれは許可されていない人へのアクセスを提供することができ、セキュリティを弱体化するディスク上や共有環境に安全でないキャッシュされている場合. それはあなた自身の専用サーバーを持っている必要がありますなぜ余分な理由.
  • あなたのサイトとそのコンテンツの適切なバックアップがあることを確認します。. ほとんどのホスティングプロバイダは、自動化されたサイトのバックアップを提供します. これらのまたする定期的にダウンロードし、別のセキュリティで保護されたコンピューターに格納されている必要があります。.

エクストラセキュリティ

あなたが特定のユーザーへのアクセスを制限している場合, IPアドレスによってサイトへのアクセスをロックダウン検討する .