HIPAA Zgodność Video Streaming / Konferencje na WordPress

HIPAA jest United States federal Health Insurance Portability i Accountability Act of 1996. Głównym celem ustawy jest ułatwienie ludziom zachować ubezpieczenie zdrowotne, ochrony poufności i bezpieczeństwa informacji, opieki zdrowotnej i pomoc dla sektora opieki zdrowotnej, kontrolować koszty administracyjne w Stanach Zjednoczonych.

HIPAA Privacy Rule składa się z krajowych przepisów USA do wykorzystania i ujawniania informacji zdrowotnych chronionych (PHI) w opieki zdrowotnej za granicą, płatności i operacji przez podmioty objęte

Kiedy jest dostawcą oprogramowania za partnera biznesowego, zgodnie z ustawą HIPAA?

Jeśli dostawcą lub podwykonawcą przesyła, utrzymuje, lub ma stały dostęp do chronionych informacji zdrowotnych (PHI) świadcząc swoje usługi do podmiotem objętym następnie uznaje partner biznesowy. Na przykład, Dostawca, który obsługuje oprogramowanie zawierające dane pacjenta na własnym serwerze lub uzyskuje dostęp do informacji o pacjencie, podczas rozwiązywania problemów dotyczących oprogramowania, następnie jest uważany za partner biznesowy i musi mieć biznes skojarzyć umowę z jednostką zadaszony, jak określono zgodnie z zasadą prywatności HIPAA 45 C.F.R. § 164.504(E).

Jedyny wyjątek w sekcji HITECH 13408 w przypadku organizacji transmisji danych, która działa jako kanał, w tym transportuje tylko informacje, ale nie ma dostępu, takich jak US Postal Service lub jego odpowiednik elektroniczny — Usługodawcy internetowi (Usługodawcy internetowi), firmy telekomunikacyjne, itp. Podczas gdy te mogą mieć dostęp do PHI, oni tylko dostęp PHI na zasadzie losowej lub rzadkie, jako niezbędne do wykonania usługi transportu lub wymagane przez prawo: “[D]ATA transmisji organizacje, które nie wymagają dostępu do chronionych informacji zdrowotnych w sposób rutynowy nie będzie traktowane jako partnerami biznesowymi” (p. 22)

Za pomocą oprogramowania VideoWhisper HIPAA projektów

Dla oprogramowania VideoWhisper, dane wysyłane przez klientów jest przekazywane z hostingu serwera, Nie dostawcą oprogramowania. Wymagania dotyczące zgodności zabezpieczeń odnoszą się do strony i hosting konfiguracja przechowywania danych klienta.
Tak można uzyskać oprogramowanie videochat i wdrożyć go na swoim HIPAA zgodny z hosta, który spełnia wymagania dotyczące oprogramowania i zabezpieczenia danych klienta.

Wyjątek w sekcji HITECH 13408 można również stosować do zdalnego przesyłania strumieniowego dostawcy jak firmy telekomunikacyjne, która tylko transportuje danych przesyłanych strumieniowo i nie ma dostępu.
Jeśli takie użycie pasuje do wymagań projektu, można również podjąć spojrzenie na usługi HostRTMP.com, który zapewnia zdalnego RTMP hosting dla strumieni na żywo. Na taką konfigurację, dane klienta byłoby na HIPAA zgodny z sieci web hosta i tylko live streaming byłoby zrobić koryta zewnętrzne usługi.

Oto kilka uwag / pomysły na budowanie HIPAA zgodny streaming video / obsługa konferencji:

Bezpieczne Streaming danych dla aplikacji wideokonferencji

  • Video streaming występuje pomiędzy aplikacjami klienckimi i serwera strumieniowego (hosta) i dostęp do aplikacji może być ograniczone na podstawie uwierzytelniania.
  • Dodatkowo, transfery mogą być chronione, a dane szyfrowane za pomocą RTMPE / RTMPS na dedykowanym serwerze Wowzy .
  • Użytkownik streaming serwer mogą być archiwizowane w postaci plików wideo na serwerze RTMP. Dostęp do archiwów wideo i dzienniki tekstu rozmów powinien być ograniczony. Jeśli foldery zawierające te są publicznie dostępne, ograniczenia mogą być stosowane w pliku .htaccess (które mogą być generowane z folderu CPanel ochrony funkcji).

Te wyróżnienia również zastosowanie do VideoWhisper strumieniowej wideo i konferencji aplikacji.

HIPAA Hosting

  • Musisz organizacji witryny WordPress z dostawcą usług hostingowych, który zapewnia zgodność HIPAA i która podpisze swoją umowę Associate HIPAA Biznes. Oznacza to, że HIPAA WordPress hosting z regularnych dostawców jak GoDaddy nie jest to możliwe od razu.
  • Korzystanie z dedykowanego serwera zarządzanego przez administratorów lub własnymi dostawcą HIPPA jest najlepiej.
  • Jeśli serwer lub oprogramowania strona jest konfiguracja przez 3rd dostawcy partii, hasła muszą być zmieniane i własny zespół potrzebuje recenzję zmiany przed użyciem witryny dla poufnych danych.

VideoWhisper Instalatora i 3rd strona umowy HIPAA Hosting

  • Regularne licencję na VideoWhisper usunie wszystkie ograniczenia i natrętnych reklam z aplikacji flash, gdy uruchamiane z licencjonowanych domeny. Obejmuje również jedną instalację na kompatybilny hosting (zobacz wymagania).
    https://videowhisper.com/?p = Invest
  • VideoWhisper Administratorzy można dbać o konfiguracji serwera.
    Kompletny serwis z oryginalnej instalacji i 6 miesięcy administracji/pomocy, a także usługi instalacji oddzielnie są dostępne.
    https://videowhisper.com/?p = RTMP-Server Administracja
    Po oryginalnej instalacji, hasło może być zmienione lub w inny sposób można ograniczyć dostęp (przez klawisze, IP) Aby chronić serwer podczas korzystania z danych użytkownika.

Serwer i obsługujący oprogramowanie wymagane

  • HIPAA dedicated server lub VPS z CentOS 7 i korzeń dostęp SSH będzie potrzebne do skonfigurowania wymagania.
    HIPAA serwerów można zamówić: AWS, RackSpace, LiquidWeb.
  • Zgodnie z opisem w Wymagania, dla HTML5/komórkowego wymagana jest obsługa Wowza Streaming Engine.
    Projekty można rozpocząć z darmowy klucz licencji próbnej Wowza SE podczas rozwoju.
    https://www.Wowza.com/Media-Server/Developers/License
  • Dla części hosting VideoWhisper zaleca WHM/CPanel zwykle dostępne z dostawcą usług hostingowych (ale można też zamówić oddzielnie https://cPanel.NET/pricing/).
  • Opcjonalne: WordPress może być łatwo ustawiony i automatycznie archiwizowane z Softaculous.
    https://www.Softaculous.com/Softaculous/pricing

HTTPS (HTTPS)

  • Pobierz certyfikat SSL i dedykowany adres IP na swojej stronie, aby ruch do / z niej mogą być szyfrowane w tranzycie.
  • Upewnij się, że Twoja strona WordPress nie można wejść bez SSL (..htaccess przekierowanie)

Ograniczanie dostępu do Elektronicznej chronionych informacji zdrowotnych (Ephim)

Elektroniczny chronione informacje zdrowotne (Ephim) odnosi się do każdego chronionych informacji zdrowotnych (PHI) które są objęte Health Insurance Portability i Accountability Act of 1996 (HIPAA) Przepisy bezpieczeństwa i jest produkowany, zapamiętanych, przekazane lub otrzymane w formie elektronicznej.

Ochrona zależy od konfiguracji witryny, Pracownicy i obsługa procedury.

  • Upewnij się, że nigdy nie jest publicznie Ephi dostępne -users musi zalogować się aby uzyskać dostęp do zawartości.
  • Upewnij się, że użytkownicy z dostępem do Ephi są prawidłowo udzielone / odwołane dostęp administratorów HIPAA.
    Ex: To nie powinno być możliwe, aby ktoś się zapisać i uzyskać dostęp bez wyraźnej przeglądu / Zatwierdzenia.
  • Upewnij się, że użytkownicy mają dostęp tylko do Ephi potrzebują i powinni mieć dostęp.
  • Upewnij się, że wszystkie loginy WordPress są monitorowane i rejestrowane są. (Ex. Użytkownik plugin Zaloguj Zaloguj)

Bezpieczne WordPress

  • Upewnij się, że wszystkie loginy WordPress są monitorowane i rejestrowane są.
  • Utrzymanie WordPress i wszystkie wtyczki up-to-date.
  • Korzystać z wtyczek, takich jak "Duo Security", aby dodać uwierzytelnianie 2-Factor na swojej stronie.
  • Upewnij się, że loginy użytkowników do WordPressa będzie automatycznie wylogować z powodu nieaktywności.
  • Zaloguj dostępu do Ephi, możliwie. Prostym sposobem jest upewnienie się, internetowych i dostępu rtmp dzienniki są włączone.
  • Przejrzyj swoje procedury i użytkowników okresowo.
  • Zapewnienie, że WordPress nie kopie buforowanie Ephi-stron niebezpiecznie na dysku, zwłaszcza jeśli jesteś w środowisku współdzielonym. Wordpress zawartość jest zwykle przechowywany w bazie danych, ale jeśli to jest buforowane na dysku, który niebezpiecznie osłabi bezpieczeństwo w środowisku współdzielonym może zapewnić dostęp do osób niepowołanych. To jeszcze jeden powód, dlaczego powinieneś mieć własny serwer dedykowany.
  • Upewnij się, że istnieją dobre kopie zapasowe Twojej strony i jej zawartości. Większość dostawców hostingu oferują automatyczne tworzenie kopii zapasowych w miejscu. Powinny one być również okresowo pobierane i przechowywane w innej maszynie bezpieczny.

Dodatkowe bezpieczeństwo

Jeśli ograniczenie dostępu do określonego zestawu użytkowników, rozważyć blokowania dostępu do serwisu poprzez adres IP .