HIPAA标准视频流 / 会议上的WordPress

HIPAA 是美国联邦健康保险的可移植性和责任法案 1996. 该法的主要目的是让人们更容易保持健康保险, 保护医疗信息的保密性和安全性, 帮助医疗保健行业控制美国的行政成本.

The HIPAA Privacy Rule is composed of US national regulations for the use and disclosure of Protected Health Information (PHI) in healthcare treatment, payment and operations by covered entities

根据 HIPAA 的生意合伙人软件供应商被认为是时候?

如果供应商或分包商传送, 维护, 或有例行访问受保护的健康信息 (PHI) 当其向提供服务覆盖实体然后它被认为是生意上的伙伴. 举个例子, 承载包含病人的信息,在其自己的服务器上的软件或软件进行故障排除时访问患者信息的供应商, 然后它被认为是一位商业伙伴和必须有一个生意伙伴协议与覆盖实体作为指定根据 HIPAA 隐私规则 45 C.F.R. § 164.504(e).

唯一的例外情况下高科技节 13408 在一个数据传输组织,充当了管道的情况下, 在这它只传输信息但不访问它, 美国邮政服务或其电子同等学历 — 互联网服务提供商 (Isp), 电讯公司, 等. 虽然这些可能有对皮皮的访问, 他们只能访问皮皮上随机或罕见的基础,作为必要的运输服务的性能或根据法律规定: “[D]不需要在日常基础上受保护的健康信息访问的 ata 传输组织将不被视为商业伙伴” (p. 22)

VideoWhisper 软件, 由客户端发送的数据与服务器相连, 没有软件供应商. 安全合规性要求是指网站和托管设置.
这里有一些注意事项/想法,建立符合HIPAA的视频流 / 会议服务:

确保数据流的视频会议应用

  • 客户端应用程序和流媒体服务器之间的视频流发生 (主机) 并访问应用程序可以根据认证限制.
  • 另外, 转移可以被保护,并使用数据加密 RTMPE / RTMPS专用Wowza服务器上 .
  • 用户流媒体服务器可存档的RTMP服务器上的视频文件. 访问视频档案和文字聊天记录需要限制. 如果包含这些文件夹可公开访问, 限制可以用.htaccess文件应用 (可与的cPanel文件夹保护功能可能会产生).

这些提及也适用于 VideoWhisper视频流和会议应用.

HIPAA托管

  • 您需要与托管服务提供商,提供符合HIPAA,谁还会签名HIPAA业务关联协议托管你的WordPress网站. 这意味着,HIPAA WordPress的托管定期提供商GoDaddy的一样是不可能马上.
  • 使用专用服务器由您自己的管理员管理或HIPPA提供最好.
  • 如果服务器或站点软件是安装由第三方供应商, 密码需要被改变,你自己的员工需要使用网站敏感数据前查看变化.

安全的HTTP (HTTPS)

  • 得到您的网站上的SSL证书和专用的IP地址,这样流量/从中可以在传输过程中被加密.
  • 确保你的WordPress网站不能没有SSL访问 (.htaccess的重定向)

限制访问电子保护的健康信息 (Ephim)

电子保护的健康信息 (Ephim) 指任何受保护的健康信息 (PHI) 这是根据健康保险流通与责任法案覆盖 1996 (HIPAA) 安全法规和生产, 保存, 传送或接收的电子表格.

保护依赖于现场设置, 工作人员和操作步骤.

  • 保证ePHI的从来都不是公开的 - 用户必须登录才能访问该内容.
  • 确保用户能够访问ePHI的正确授予 / 您HIPAA管理员撤销访问.
    前: 它不应该是可能有人登录并获得无明确审核的访问 / 赞同.
  • 确保用户只能访问他们需要的,应该有访问ePHI的.
  • 确保所有的WordPress登录进行监控和记录. (从. 用户登录插件)

安全WordPress的

  • 确保所有的WordPress登录进行监控和记录.
  • 保持你的WordPress和所有的插件了最新.
  • 使用像“朵安全”插件添加双因素身份验证到您的网站.
  • 确保用户登录到WordPress会自动注销用户由于不活动.
  • 登录访问ePHI的, 如果可能的话. 一个简单的方法是确保网络和RTMP访问日志启用.
  • 定期检查你的程序和用户.
  • 确保WordPress的不会的ePHI的,页面缓存副本不安全磁盘, 特别是如果你是在一个共享环境. WordPress的含量通常存储在一个数据库, 但如果是不安全的缓存在磁盘上,这将削弱安全性和共享环境中可以提供访问未经授权的人. 这是一个额外的原因,为什么你应该有自己的专用的服务器.
  • 保证有你的网站及其内容的备份好. 大多数托管服务提供商提供自动备份网站. 这些也应定期下载并存储一个不同的安全的机器上.

额外的安全性

如果你是限制到特定的用户组访问, 考虑锁定访问该网站通过IP地址 .