HIPAA Compliant Video Streaming / Conferência sobre WordPress

HIPAA é o Estados Unidos federal Health Insurance Portability and Accountability Act de 1996. O principal objetivo da lei é tornar mais fácil para as pessoas a manter o seguro de saúde, proteger a confidencialidade e a segurança das informações de saúde e ajudar a controlar custos administrativos nos Estados Unidos o setor de saúde.

A norma de privacidade HIPAA é composta de regulamentações nacionais dos Estados Unidos para o uso e divulgação de informação de saúde protegida (PHI) em tratamento de saúde, pagamento e operações pelas entidades abrangidas

Quando se é um fornecedor de Software considera um sócio de negócios sob a HIPAA?

Se um fornecedor ou subcontratado transmite, mantém, ou tem acesso à informação de saúde protegida de rotina (PHI) ao prestar seus serviços a uma entidade coberta Então considera-se um sócio. Por exemplo, um fornecedor que hospeda o software contendo informações do paciente em seu próprio servidor ou acessa informações do paciente, ao solucionar problemas de software, Então ele é considerado um sócio e deve ter um negócio associar de acordo com a entidade coberta conforme especificado sob a regra de privacidade HIPAA 45 C.F.R. § 164.504(e).

A única exceção sob a seção HITECH 13408 é no caso de uma organização de transmissão de dados que atua como um canal, em que só transporta informações mas não acessá-lo, como o Serviço Postal ou seu equivalente eletrônico — Prestadores de serviços de Internet (ISPs), uma empresa de telecomunicações, etc. Enquanto estes podem ter acesso a PHI, Eles apenas acessar PHI numa base aleatória ou infreqüente como necessário para a execução do serviço de transporte, ou conforme exigido por lei: “[D]organizações de transmissão ATA que não requerem acesso à informação de saúde protegida rotineiramente não seria tratadas como sócios” (p. 22)

Usando o Software VideoWhisper para projetos HIPAA

VideoWhisper software, dados enviados por clientes são comunicados com o servidor de hospedagem, Não fornecedor de software. Requisitos de conformidade de segurança referem-se ao site e Hospedagem de instalação onde são armazenados dados de cliente.
Então você pode obter o software de videochat e implantá-lo em seu host compatível com HIPAA que atenda a requisitos de software e dados do cliente de salvaguardas.

Exceção ao abrigo da secção HITECH 13408 também pode se aplicar a um provedor de streaming remoto como empresa de telecomunicação que só transporta os dados do fluxo contínuo e não acessá-lo.
Se tal uso se encaixa a suas necessidades de projeto, Você também pode dar uma olhada no serviço de HostRTMP.com que fornece Hospedagem remota de RTMP para as transmissões ao vivo. Em tal configuração, dados do cliente seria no host de web em conformidade com HIPAA e apenas o streaming ao vivo seria feito através de serviço externo.

Aqui estão algumas considerações / ideias para a construção de um streaming de vídeo compatível com HIPAA / serviço de conferência:

Secure Data Transmissão para aplicativos de videoconferência

  • Video streaming ocorre entre os aplicativos cliente e servidor de streaming (acolhimento) e acesso a aplicativos podem ser restringidos com base na autenticação.
  • Além disso, transferências podem ser protegidos e dados criptografados usando RTMPE / RTMPS em um servidor dedicado Wowza .
  • Streaming para servidor do usuário pode ser arquivado como arquivos de vídeo no servidor RTMP. O acesso aos arquivos de vídeo e logs de bate-papo de texto precisa ser restrito. Se as pastas que contêm estes são acessíveis ao público, restrição pode ser aplicada com um arquivo .htaccess (que podem ser gerados com pasta CPanel proteger recurso).

Estes menciona também se aplicam a VideoWhisper aplicações de streaming de vídeo e conferência.

HIPAA Hospedagem

  • Você precisa hospedar seu site WordPress com um provedor de hospedagem que oferece HIPAA e que assinará o Contrato de Associado HIPAA Negócios. Isto significa que HIPAA WordPress hospedagem com fornecedores regulares como GoDaddy não é possível de imediato.
  • Usando um servidor dedicado gerida por seus próprios administradores ou um prestador de HIPPA é melhor.
  • Se o servidor ou software site está configurado por um prestador de 3rd party, senhas precisam ser alteradas e sua própria equipe precisa de rever as alterações antes de utilizar o site para dados sensíveis.

VideoWhisper instalação e 3o partido Hospedagem de HIPAA

  • Uma licença regular para VideoWhisper irá remover todos os anúncios intrusivos e limitações do aplicativo flash quando executado a partir do domínio licenciado. Também inclui uma instalação de hospedagem compatível (veja requisitos).
    https://videowhisper.com/?p = Invest
  • VideoWhisper administradores podem cuidar da instalação do server.
    Um serviço completo com instalação original completa e 6 serviços de instalação e também a administração de meses/assistência separadamente estão disponíveis.
    https://videowhisper.com/?p = RTMP-Server-Administração
    Após a instalação original, senha pode ser alterada ou acesso pode ser restringido em outras maneiras (por chaves, IP) para proteger o servidor durante o uso com dados reais do usuário.

Servidor e hospedagem Software necessário

  • Um servidor dedicado de HIPAA ou VPS com CentOS 7 e raiz acesso SSH será necessário configurar os requisitos.
    Servidores HIPAA podem ser encomendados a partir: AWS, RackSpace, LiquidWeb.
  • Conforme descrito em requisitos, para HTML5/mobile suporte Wowza Streaming Engine é necessário.
    Projetos podem começar com uma chave de licença de avaliação SE Wowza livre durante o desenvolvimento.
    https://www.Wowza.com/Media-Server/Developers/License
  • Para o web hosting parte VideoWhisper recomenda geralmente disponível a partir do provedor de hospedagem WHM/CPanel (Mas podem também ser encomendadas separadamente https://cPanel.net/Pricing/).
  • Opcional: WordPress pode ser facilmente configurado e backup automaticamente com Softaculous.
    https://www.Softaculous.com/Softaculous/Pricing

HTTP seguro (HTTPS)

  • Obter um certificado SSL e endereço IP dedicado para o seu web site para que o tráfego de / para ele pode ser criptografados em trânsito.
  • Verifique se o seu site WordPress não pode ser acessada sem SSL (.htaccess redirect)

Restringir o acesso a Informação Eletrônica Saúde Protected (Ephim)

Informações de saúde protegidas eletrônico (Ephim) refere-se a todas as informações de saúde protegidas (PHI) que é coberto pela Health Insurance Portability and Accountability Act de 1996 (HIPAA) regras de segurança e é produzido, salvos, transferidos ou recebidos em um formulário eletrônico.

Proteção depende de configurações do site, pessoal e procedimentos de operação.

  • Certifique-se de que nunca é ePHI publicamente -Usuários disponíveis deve entrar para acessar esse conteúdo.
  • Certifique-se de que os usuários com acesso a ePHI estão devidamente concedido / acesso revogada pelos administradores do HIPAA.
    Ex: Não deve ser possível para alguém para inscrever-se e tenha acesso sem revisão explícita / Aprovação.
  • Certifique-se de que os usuários tenham acesso apenas ao ePHI que precisam e devem ter acesso.
  • Assegurar que todos os logins WordPress são monitorados e está logado. (a partir de. Login do usuário Log plug-in)

WordPress seguro

  • Assegurar que todos os logins WordPress são monitorados e está logado.
  • Mantendo o seu WordPress e todos os plugins up-to-date.
  • Use plugins como "Duo de Segurança" para adicionar autenticação de dois fatores para o seu site.
  • Garantir que os logins de usuários para WordPress usuários registrará automaticamente devido à inatividade.
  • Registro de acesso para ePHI, se possível. Uma maneira fácil é para se certificar de web logs de acesso e RTMP estão habilitados.
  • Reveja seus procedimentos e usuários periodicamente.
  • Garantir que o WordPress não faz cópias de cache de ePHI páginas insegura no disco, especialmente se você estiver em um ambiente compartilhado. Conteúdo Wordpress é normalmente armazenado em um banco de dados, mas se ele é armazenado em cache de forma insegura no disco que vai enfraquecer a segurança e em um ambiente compartilhado poderia proporcionar o acesso a pessoas não autorizadas. Essa é uma razão extra porque você deve ter seu próprio servidor dedicado.
  • Certifique-se de que há boas cópias de segurança de seu site e seu conteúdo. A maioria dos provedores de hospedagem oferecem backups automatizados do site. Estes também devem ser baixados periodicamente e armazenada em uma máquina segura diferente.

Segurança extra

Se você está restringindo o acesso a um conjunto específico de usuários, considerar bloqueando o acesso ao site pelo endereço IP .