使用視圖的問題維護遵守HIPAA在MySQL
我們有大量的Web應用程序,存儲和顯示敏感HIPAA相關的數據。我們正在研究如何提高HIPAA合規性並降低違規風險。
目前,有幾項功能和報告並未根據登錄人員的權限(例如客戶端搜索功能和某些舊版報告)正確限制客戶端信息。
可能的解決方案
從程序化的角度
我們總是可以只重寫所造成的不遵守該段代碼照顧的問題。麻煩的是,考慮到應用程序的規模 - 這種方法非常容易出錯 - 可能會漏掉一些東西。
變更數據庫限制獲取返回
我們可以改變MySQL數據庫結構,以反映應用程序所需的權限限制的數據。這樣,沒有人可以看到他們不應該看到的數據,因爲數據庫不會返回他們不應該看到的數據。
我的問題
應用程序本身擁有近300臺,其中大部分存儲某種敏感數據。是否有可能(並且可行)使用MySQL視圖來限制數據訪問?
如果是這樣,那麼最好的方法是什麼?