Una de las primeras cosas que debe hacer es calificar adecuadamente cómo desea almacenar estos datos y cuál es el propósito de los mismos. ¿Estás buscando almacenar esto en una base de datos? Tal vez como objetos? ¿Son estos datos para consumo como parte de un motor de procesamiento de datos, como Hadoop? ¿O es para distribuirlo a los médicos? El diablo está en los detalles, y su pregunta es un poco de luz sobre ellos.
Sin hacer demasiadas suposiciones, hay algunas cosas que debe tener en cuenta al manejar ePHI y la nube. Una de las primeras cosas es designar y documentar adecuadamente quién puede consumir los datos. Una vez que tenga eso, puede comenzar a examinar los servicios que pueden ayudar a hacer cumplir esas políticas. Lo siguiente a tener en cuenta es saber exactamente lo que contienen los datos. Si estamos hablando de datos de EHR, ¿se pueden anonimizar los nombres y diagnósticos y reemplazarlos con códigos alfanuméricos? ¿Este informe está basado en datos, donde tal vez esto no sea posible? Una vez que haya determinado si los datos pueden ser anonimizados, el siguiente paso es implementarlos.
Una vez que haya determinado si los datos se pueden anonimizar o no, aún debe cifrarse. ePHI, o cualquier otra forma potencial de PII, siempre debe cifrarse tanto en reposo como en vuelo. Dependiendo de la forma de administración de claves que esté dispuesto a asumir, esta puede ser una única forma unificada de cifrado o múltiples formas de cifrado. En cualquier caso, la clave debe ser encriptada tanto en reposo como en vuelo, y debe ser la forma más fuerte de encriptación que tenga sentido para su presupuesto y capacidad técnica.
- Cómo conectarme a mi computadora portátil y usar sus recursos como ram o disco como un IaaS personal
- ¿Quién es un candidato legítimo para AWS de Amazon o quién podría convertirse en uno en los próximos 5 años?
- ¿Cuál es el mejor proveedor de la nube entre Azure y Amazon Web Services para un proyecto de IoT?
- ¿Qué servidor es mejor, Nexcess o AWS?
- ¿AWS cobra por el uso de Internet en el nivel gratuito de EC2?
Antes de poner los datos en la nube, una vez que haya resuelto todos estos problemas técnicos, querrá que su plan sea revisado tanto por el asesor legal de su empresa como por su equipo de seguridad de TI. Si usa un QSA externo, también querrá que revisen y aprueben su plan. No puedo enfatizar cuán crucial es este paso, ya que es más que un simple paso de CYA; Tener tantos ojos en este proyecto como asequibles producirá un plan de acción más seguro y compatible.
Al final del día, si utiliza las mejores prácticas y sigue las pautas adecuadas de manejo de datos, cualquiera de las opciones de almacenamiento en la nube puede ser válida. Al igual que con todas las cosas en la nube, simplemente no hay una “mejor” o una bala mágica, pero si ha definido adecuadamente sus requisitos, puede encontrar una solución que se adapte mejor a su proyecto.
Espero que esto ayude, ¡salud!