我在Amazon EC2中有一个实例,需要符合Hipaa标准.我有两个疑惑,
我是否需要对数据库存储进行块级加密.
我是否需要在存储到数据库之前加密敏感数据.
处理加密的最佳数据库软件
任何帮助都会非常明显,
谢谢.
HIPAA的问题在于它是相对主观的,并且个体的解释不同以满足其目的 - 请参阅此处以获得有关HIPAA的快速入门.
您应该采取的一般方法是尝试最大化用户的PHI(受保护的健康信息)的安全性.通常,HIPAA建议/要求您加密HIPAA Omnibus法案164.312所涵盖的静止和在途的 PHI数据.
所以你可以自由地解释这个裁决:
静态加密:通过加密存储数据的磁盘/块.或者在将数据存储在磁盘上之前加密数据.后者显然是非常昂贵的CPU.任何加密/解密过程都会占用大量CPU资源,因此无论如何都应该会受到性能影响.我们通过在各地使用SSD克服了这一点.我们还采用的方法是加密块而不是数据库读写操作.这足以解决HIPAA的需求.如果加密块,则不需要使用任何特定于DB的工具进行加密等.这肯定会简化您的生活.
在传输加密:根据该法案的164.312(e)(1)涵盖.通常这适用于PHI的任何移动.因此,如果您要从应用程序进出数据库,那么您必须至少加密数据(SSL/https).因此,请确保通过https完成Web上的所有数据.您的应用程序和数据库之间的传输技术上仍然属于"传输中"要求.但是,您可以轻松地声明这是在您的VPC中,因此不是必需的.我们也选择对此进行加密,以简化审计流程.
希望这一切都有帮助.
我相信你已经知道了,但这只涵盖了HIPAA需要的一小部分内容.在文档,培训等方面涉及很多方面.请参阅此处了解如何遵守HIPAA,此处了解如何在组织内设置实际策略,并在此处将HIPAA培训作为您可以使用的起点.还可以查看Accountable HQ,以帮助您快速启动.