HIPAA compatibele Streaming Video / Videovergaderingen in WordPress

HIPAA is de Verenigde Staten federale gezondheid Insurance Portability and Accountability Act van 1996. Het primaire doel van de wet is gemakkelijker voor mensen om te houden van de ziektekostenverzekering, bescherming van de vertrouwelijkheid en veiligheid van medische informatie en helpen van de sector van de gezondheidszorg bepalen van administratieve kosten in Verenigde Staten.

De HIPAA-privacyregel is samengesteld uit Amerikaanse nationale voorschriften voor het gebruik en de openbaarmaking van beschermde gezondheidsinformatie (PHI) in de gezondheidszorg, Betalingen en verrichtingen door de onder de richtlijn vallende entiteiten

Wanneer wordt een softwareleverancier beschouwd als een zakenpartner onder HIPAA?

Als een leverancier of onderaannemer uitzendt, onderhoudt, of heeft routinematige toegang tot beschermde medische gegevens (PHI) bij het verlenen van haar diensten aan een overdekte entiteit dan het wordt beschouwd als een zakenpartner. Bijvoorbeeld, een leverancier die de software met informatie voor de patiënt op een eigen server host of toegang heeft tot informatie voor de patiënt bij het oplossen van de software, vervolgens wordt beschouwd als een zakenpartner en moet het hebben van een zakelijke overeenkomst koppelen aan de overdekte entiteit als omschreven in de HIPAA Privacy-regel 45 C.F.R. § 164.504(e).

De enige uitzondering onder HITECH sectie 13408 in het geval van een data transmissie organisatie die als een geleider optreedt, in die zin dat het vervoert alleen informatie, maar geen toegang tot het, zoals de US Postal Service of het elektronische equivalent — Internet serviceproviders (ISP 's), een telecommunicatie-bedrijf, enz. Terwijl deze toegang tot PHI hebben kunnen, zij alleen toegang tot PHI op een willekeurige of onregelmatige basis als nodig voor de uitvoering van het vervoer of als vereist door de wet: “[D]ATA transmissie organisaties die geen toegang tot beschermde medische gegevens aan een routinecontrole te onderwerpen vereisen zou niet worden behandeld als zakelijke contacten” (p. 22)

VideoWhisper-software gebruiken voor HIPAA-projecten

Voor VideoWhisper software, gegevens die worden verzonden door clients wordt medegedeeld met server hosting, niet softwareleverancier. Nalevingsvereisten voor beveiliging hebben betrekking op de locatie en de hostingconfiguratie waar klantgegevens worden opgeslagen.
U kunt dus de videochatsoftware downloaden en implementeren op uw HIPAA-compatibele host die voldoet aan de softwarevereisten en klantgegevens beschermt.

Uitzondering onder HITECH-sectie 13408 kan ook van toepassing zijn op een externe streamingprovider als telecommunicatiebedrijf dat alleen de streaminggegevens transporteert en er geen toegang toe heeft.
Als dergelijk gebruik past bij de vereisten van uw project, U kunt ook eens kijken naar HostRTMP.com service die RTMP-hosting op afstand voor de livestreams. Op een dergelijke opstelling, klantgegevens zouden op HIPAA-compatibele webhost staan en alleen de livestreaming zou worden gedaan via de externe service.

Hier zijn enkele overwegingen/ideeën voor het bouwen van een HIPAA compatibele video streaming / chatdienst:

Veilige Streaming gegevens voor videoconferentie toepassingen

  • Videostreaming plaatsvindt tussen clienttoepassingen en streaming server (host) en toegang tot toepassingen kan worden beperkt op basis van verificatie.
  • Bovendien, overdrachten kunnen worden beschermd en gegevens gecodeerd met behulp van RTMPE/RTMPS op een dedicated server met Wowza .
  • Gebruiker streaming naar de server kan worden gearchiveerd als video bestanden op RTMP-server. Toegang tot video archief en text chat logs moet worden beperkt. Als met deze mappen toegankelijk voor het publiek zijn, beperking kan worden toegepast met een .htaccess bestand (die kunnen gegenereerd worden met CPanel map beschermen functie).

Deze noemt ook van toepassing op VideoWhisper video-streaming en conferencing applicaties.

HIPAA Hosting

  • U moet voor het hosten van uw WordPress-site met een hosting provider die zorgt voor de naleving van de HIPAA en die zal uw HIPAA Business Associate-overeenkomst ondertekenen. Dit betekent dat HIPAA WordPress hosting met reguliere aanbieders zoals GoDaddy niet meteen mogelijk is.
  • Met behulp van een dedicated server beheerd door uw eigen beheerders of een HIPPA provider is best.
  • Als de server of site software is ingesteld door een 3e partij provider, wachtwoorden moeten worden gewijzigd en uw eigen personeel moet wijzigingen bekijken voordat u de site voor gevoelige gegevens.

VideoWhisper en 3rd party HIPAA Hosting instellen

  • Een reguliere licentie voor VideoWhisper verwijdert alle beperkingen en opdringerige advertenties uit de flash-applicatie wanneer deze wordt uitgevoerd vanaf een gelicentieerd domein. Bevat ook één installatie op compatibele hosting (Zie vereisten).
    https://videowhisper.com/?p=Investeren
  • VideoWhisper-beheerders kunnen zorgen voor de installatie van de server.
    Een complete service met complete originele setup en 6 maanden administratie/assistentie en ook installatiediensten zijn apart beschikbaar.
    https://videowhisper.com/?p=RTMP-Server-Administratie
    Na de oorspronkelijke installatie, wachtwoord kan worden gewijzigd of de toegang kan op andere manieren worden beperkt (door sleutels, IP) om de server tijdens gebruik te beschermen met echte gebruikersgegevens.

Server- en hostingsoftware vereist

  • Een HIPAA dedicated server of VPS met CentOS 7 en root SSH-toegang is nodig om vereisten te configureren.
    HIPAA-servers kunnen worden besteld bij: AWS (Engelstalig), RackSpace (RackSpace), LiquidWeb.
  • Zoals beschreven in vereisten, voor HTML5/mobiele ondersteuning is Wowza Streaming Engine vereist.
    Projecten kunnen tijdens de ontwikkeling starten met een gratis Wowza SE-proeflicentiesleutel.
    https://www.wowza.com/media-server/developers/license
  • Voor het webhostinggedeelte raadt VideoWhisper WHM/CPanel aan, meestal verkrijgbaar bij de hostingprovider (maar ook los te bestellen https://cpanel.net/pricing/).
  • Facultatief: WordPress kan eenvoudig worden ingesteld en er kan automatisch een back-up van worden gemaakt met Softaculous.
    https://www.softaculous.com/softaculous/pricing

Beveiligde HTTP (HTTPS)

  • Een SSL-certificaat en de specifieke IP-adres krijgen voor uw website, zodat verkeer naar/van het kan worden gecodeerd in transit.
  • Ervoor zorgen dat uw WordPress site niet toegankelijk zonder SSL (.htaccess omleiden)

Beperk de toegang tot elektronische beschermde medische informatie (ePHI)

Elektronische beschermde medische informatie (ePHI) verwijst naar een beschermde gezondheidsinformatie (PHI) dat wordt gedekt door de Health Insurance Portability and Accountability Act van 1996 (HIPAA) beveiligingsvoorschriften en wordt geproduceerd, opgeslagen, overgedragen of ontvangen in elektronische vorm.

Bescherming is afhankelijk van een site opzetten, procedures voor personeel en werking.

  • Zorgen dat ePHI nooit publiekelijk beschikbaar – gebruikers moeten inloggen voor toegang tot die inhoud.
  • Ervoor zorgen dat gebruikers met toegang tot ePHI naar behoren worden verleend / ingetrokken toegang door uw HIPAA-beheerders.
    Ex: Het moet niet mogelijk zijn voor iemand aanmelden en krijg toegang zonder expliciete beoordeling / goedkeuring.
  • Controleer of gebruikers hebben toegang tot alleen de ePHI die ze nodig hebben en moeten toegang hebben.
  • Ervoor zorgen dat alle WordPress-aanmeldingen worden gecontroleerd en worden geregistreerd. (ex. Gebruiker Login Log plugin)

Veilige WordPress

  • Ervoor zorgen dat alle WordPress-aanmeldingen worden gecontroleerd en worden geregistreerd.
  • Het up-to-date houden van uw WordPress en alle plugins.
  • Het gebruik van plugins zoals 'Duo beveiliging' 2-factor authenticatie aan uw site toevoegen.
  • Zorgen dat gebruiker logins naar WordPress wordt automatisch afgemeld gebruikers wegens inactiviteit.
  • Toegang vastleggen in logboek naar ePHI, indien mogelijk. Een gemakkelijke manier is om zeker web en rtmp toegangslogbestanden zijn ingeschakeld.
  • Bekijk uw procedures en gebruikers periodiek.
  • Ervoor te zorgen dat WordPress geen kopieën van ePHI-pagina's onveilig op schijf het cachegeheugen, vooral als u zich in een gedeelde omgeving. Inhoud WordPress is normaal gesproken opgeslagen in een database, maar als het onveilig wordt opgeslagen op schijf die beveiliging zal verzwakken en in een gedeelde omgeving kan bieden toegang tot onbevoegde personen. Dat is een extra reden waarom moet u uw eigen dedicated server.
  • Ervoor zorgen dat er goede back-ups van uw site en haar inhoud. De meeste hosting providers bieden geautomatiseerde site back-ups. Dit moeten ook worden periodiek gedownload en opgeslagen op een andere veilige machine.

Extra veiligheid

Bent u beperken toegang tot een specifieke set van gebruikers, overwegen toegang tot de site vergrendelen door IP-adres .