Fatal编程技术网
  • browser/
  • Browser 您能否创建符合HIPAA的Amazon S3 Web应用程序?

Browser 您能否创建符合HIPAA的Amazon S3 Web应用程序?

browser amazon-s3 amazon-web-services

Browser 您能否创建符合HIPAA的Amazon S3 Web应用程序?,browser,activex,amazon-s3,amazon-web-services,hipaa,Browser,Activex,Amazon S3,Amazon Web Services,Hipaa,在尝试使用ASP.NET MVC设计S3应用程序并保持HIPAA兼容时,我遇到了一些问题 我最初的计划是要求与web服务器建立SSL连接,加密服务器上的图像,然后使用我的私钥将它们发送到s3 以下是我明显关注的问题: 当客户端在浏览器中查看图像时,不能将未加密的图像存储在任何临时文件缓存中 即使我设置了一个ashx来处理内存中的图像,这难道不能存储在缓存中吗 说这些图像将被加密,因为你将通过https连接到我的服务器,这仍然不能保证所有浏览器都不会缓存数据 不可能考虑具有“过期”选项的“查询字符

在尝试使用ASP.NET MVC设计S3应用程序并保持HIPAA兼容时,我遇到了一些问题

我最初的计划是要求与web服务器建立SSL连接,加密服务器上的图像,然后使用我的私钥将它们发送到s3

以下是我明显关注的问题:

  • 当客户端在浏览器中查看图像时,不能将未加密的图像存储在任何临时文件缓存中
  • 即使我设置了一个ashx来处理内存中的图像,这难道不能存储在缓存中吗 说这些图像将被加密,因为你将通过https连接到我的服务器,这仍然不能保证所有浏览器都不会缓存数据

    不可能考虑具有“过期”选项的“查询字符串”,因为在S3被存储在磁盘上之前,数据将被加密,并且将再次在我的服务器中在内存中解密。

    我认为我唯一的选择是编写/购买某种ActiveX组件,它不会将图像作为简单的html图像源公开,也不会将我的应用程序作为客户端WinForm应用程序编写。

    从表面上看,云计算似乎不太可能符合HIPAA。当实例托管在其他人的硬件上,由其他人的系统管理员管理时,肯定不可能满足这一要求吗

    然而,亚马逊发布了一份关于这个主题的白皮书:。这本书很值得一读,而且似乎解决了主要问题。它以免责声明结束:

    “本白皮书无意 构成法律咨询。你是 建议寻求律师的建议 关于遵守HIPAA和 可能适用于以下情况的其他法律: 你和你的生意。”

    当然,这同样适用于从Das Interwebs的一些随机家伙那里得到的任何建议。

    否。由于网络加密要求和网络监控要求之间存在冲突,因此HIPAA合规性是不可能的。

    。通过https提供的图像并不总是存储在浏览器缓存中。即使如此,您也可以使用

    当你上传一个图像时,你可以用你最喜欢的加密技术将它传输到内存中,并直接传输到数据库中。当用户请求带有加密图像url的页面时,您只需调用控制器,从数据库中获取加密数据,在内存中解密并返回图像

        [AcceptVerbs(HttpVerbs.Get)]
    public ActionResult ShowImage(string id)
    {
        ImageEntity image = Repository.For<ImageEntity>().Where(a => a.AssetIdd == id).First();

        var decryptedImage = Decrypt(image);

        ImageResult result = new ImageResult(decryptedImage.ImageData, decryptedImage.ContentType);

        return result;
    }

    [AcceptVerbs(HttpVerbs.Get)]
公共操作结果ShowImage(字符串id)
{
ImageEntity image=Repository.For()。其中(a=>a.AssetIdd==id).First();
var decryptedImage=解密(图像);
ImageResult=新的ImageResult(decryptedImage.ImageData,decryptedImage.ContentType);
返回结果;
}
    您可以这样使用它:

    <img src="/Assets/ShowImage/<%=Model.Id%>" alt="" />

    “alt=”“/>
    HIPAA和信用卡PCI合规性基本上是不可能实现的,或者说是微不足道的——这完全取决于你聘请了什么顾问来告诉你“封闭”网络的含义——在数学上是封闭的(我认为这是最高形式的),还是像墙后一样封闭,与外界没有联系,但在外面人行道上的一些基本设备很容易被窃听

    当你和顾问们谈完之后,事实上很多计算机设备都是租来的,事实上计算机有usb端口和用户的照相手机,在任何地方存储加密数据怎么可能是个问题呢?如果你在S3上存储加密数据,那么S3除了随机的垃圾位之外就不会存储任何东西。你拥有的一些密钥+garbage=数据,这只发生在您的系统中

    我见过“符合HIPAA标准”的软件,在装有XP的PC上运行时不需要加密。考虑到有多少笔记本电脑属于僵尸网络和击键记录者,整个事情基本上是一个否认的练习

    HIPAA规则明确规定,当数据位于用户计算机上时,不必对其进行加密:
    “必须保护包含PHI的信息系统免受入侵。当信息在开放网络上流动时,必须使用某种形式的加密。如果使用封闭的系统/网络,现有的访问控制被认为是足够的,加密是可选的。”

    与其他一些答案相反,云计算和云数据存储实际上可以符合HIPAA(请注意,它们是在2010年编写的,当时这是一个更艰难的要求)

    有两个主要的问题需要考虑:< /P>
  • 您必须让云提供商签署HIPAA业务伙伴协议(BAA)
  • 在系统开发过程中,您必须严格遵守以下原则(加密、审核跟踪等)
    • 以下是一些将签署BAA的云提供商:

  • ()
    • (直到最近,亚马逊还不愿意签署BAA,因此,尽管他们有一个BAA,但按照他们的指导方针并没有达成协议——尽管一切都发生了变化)

    对于图像存储,AWS有,Azure有

    至于您对在浏览器中提供图像的关注,我实际上不确定您必须有多严格,但似乎您可以将图像嵌入到:

  • Java虚拟机(JVM)
  • 闪光
  • 弯曲
  • HTML5
    • 看起来。

    云计算实际上可以符合HIPAA。看看Windows Azure。这是最新和最正确的答案。云供应商对签署BAA有一些要求,他们可能会对成本产生影响(他们不会发布此内容,因此请尽快向BAA咨询并仔细阅读)