Mucho depende del nivel de habilidad y experiencia de su equipo en cuanto a cumplimiento y seguridad. Tienes varias opciones:
AWS / Google Cloud / Azure: si crea directamente en uno de estos proveedores de alojamiento, se beneficiará de sus protecciones físicas (un componente del cumplimiento de HIPAA), pero nada más. Deberá asegurarse de configurar su sistema para encriptar los sistemas de archivos de manera adecuada, usar TLS (terminado en su servidor, no el ELB) y muchas otras tareas de seguridad operativa que estas plataformas de nube de bajo nivel no pueden hacer por usted. Si su equipo no tiene experiencia en la ejecución de servicios seguros / compatibles en AWS (o Google o Azure), esto podría ser mucho trabajo. También es muy fácil equivocarse sin saberlo, por lo que es importante contar con un experto en el personal.
Alojamiento de contenedores: puede usar un proveedor como Catalyze o Aptible. Estas compañías descargarán algunas de las tareas operativas que deben completarse en torno al cifrado y la seguridad de la red. Le dan una ventaja sobre AWS sin formato (o Google o Azure). Sin embargo, no lo hacen seguro o conforme automáticamente, lo cual es importante entender.
- ¿Qué es la nube de ventas en CRM?
- ¿Cómo puede Cloud Computing beneficiarse del sitio web de ferrocarriles indios 'irctc.co.in'?
- Para el entrenamiento de verano, ¿qué curso debería preferir: computación en la nube o big data?
- ¿Es mejor ejecutar su aplicación en la nube pública o crear una nube privada?
- Heroku + Urban Airship o Kii Cloud: ¿por qué usar PaaS sobre BaaS para aplicaciones móviles?
Para ser seguro y compatible, debe hacer mucho trabajo en su capa de aplicación. Estos proveedores de alojamiento de contenedores no pueden ayudarlo con esto, porque tratan su aplicación como una caja negra que ejecutan para usted. Esto te deja mucha responsabilidad. Si no tiene una respuesta segura a estas preguntas, debería generar una señal de alerta sobre la descarga del cumplimiento o la seguridad a un proveedor de alojamiento:
- ¿Audita el registro de cada operación? ¿Se atribuyen esos registros al actor autorizado que realizó la operación?
- ¿Los registros de auditoría o los registros de su aplicación contienen PHI? Si es así, ¿se registra el acceso a esos registros en su registro de auditoría? ¿Se almacenan esos registros de forma segura?
- ¿Cómo encriptas tus datos? ¿Cómo se gestionan sus claves de cifrado? ¿En qué horario se rotan?
- ¿Maneja la autenticación correctamente? ¿Se almacenan sus contraseñas de forma segura? ¿Eres susceptible a los ataques de tiempo?
- ¿Están todas sus dependencias actualizadas? ¿Hay alguna vulnerabilidad conocida en alguna de sus dependencias? ¿Podrá actualizar todos sus servidores a los pocos minutos de una vulnerabilidad descubierta? Esto incluye los paquetes de sistemas operativos, así como las bibliotecas que extrae en la pila de aplicaciones. La gestión de estos puede ser un trabajo a tiempo completo.
- ¿Cómo te recuperas de los desastres? ¿Cuál es su historia sobre redundancia y copias de seguridad? Si su almacén de datos primario se ve comprometido, ¿sus copias de seguridad también serán susceptibles de comprometerse?
No todas estas son consecuencias directas de HIPAA. Muchos de ellos caen bajo el paraguas más amplio de la seguridad. Lo más probable es que si usted está en el espacio de la atención médica, todos serán importantes para usted. Si se asocia con organizaciones grandes o tiene clientes grandes, se someterá a auditorías de seguridad que son mucho más exigentes que HIPAA.
Esto puede ser mucho para administrar, y es por eso que (enchufe descarado) creamos TrueVault. TrueVault almacenará todos sus datos confidenciales de forma segura y compatible. Puede servir como el único backend para algunas aplicaciones, o puede usarse junto con un backend no compatible si almacena toda la PII en TrueVault. Consulte nuestra publicación sobre desidentificación de datos (https://www.truevault.com/blog/d…) para obtener más detalles sobre cómo funciona.