我在嘗試使用ASP.NET MVC設計S3應用程序並試圖保持HIPAA兼容時面臨一些問題。您可以創建符合HIPAA的Amazon S3 Web應用程序嗎?
我最初的計劃是要求SSL連接到我的網絡服務器,加密我的服務器上的圖像,然後使用我的私鑰將它們發送到s3。
這裏是我的明顯關注:
說圖像將被加密,因爲您將通過https連接到我的服務器仍然不能保證所有瀏覽器都不會緩存數據。
甚至不可能考慮帶有過期選項的「查詢字符串」,因爲數據在被存儲在s3的磁盤上之前會被加密,並且會再次在我的服務器上被解密。
我認爲我唯一的選擇是編寫/購買某種ActiveX組件,它不會將圖像作爲簡單的HTML圖像源公開,也不會將我的應用程序編寫爲客戶端WinForm應用程序。
由於網絡加密要求與網絡監控要求之間存在衝突,因此不可能符合HIPAA標準。
一些評論。通過https提供的圖像並不總是存儲在瀏覽器緩存中。即使如此,你可以使用headers來控制這個。
當您上傳圖片時,您可以使用自己喜歡的加密技術將圖片流式傳輸到內存中並直接導入到數據庫中。當用戶請求帶有URL的頁面到加密圖像時,您只需調用您的控制器,從數據庫中獲取加密數據,在內存中解密並返回圖像。
[AcceptVerbs(HttpVerbs.Get)]
public ActionResult ShowImage(string id)
{
ImageEntity image = Repository.For<ImageEntity>().Where(a => a.AssetIdd == id).First();
var decryptedImage = Decrypt(image);
ImageResult result = new ImageResult(decryptedImage.ImageData, decryptedImage.ContentType);
return result;
}
你使用這樣的:
<img src="/Assets/ShowImage/<%=Model.Id%>" alt="" />
的HIPAA和信用卡PCI合規性基本上是不可能實現的,還是微不足道的 - 這一切都取決於你聘請什麼顧問來告訴你什麼「封閉式」網絡的含義是 - 在數學上是封閉的(我認爲這是最高的形式),或者是封閉在牆後而不與外部世界連接,但是用一些基本設備很容易竊聽在外面的人行道上?
當你完成諮詢顧問時,很多電腦設備租用的事實,計算機有USB端口和用戶照相手機的事實,如何將加密數據存儲到任何地方都成爲問題?如果你在S3上存儲加密數據,那麼S3不會存儲除垃圾隨機位以外的任何東西。您擁有的一些密鑰+垃圾數據,並且只發生在您的系統中。
我見過符合HIPAA標準的軟件,它在沒有XP加密的PC上運行。考慮到僵屍網絡和按鍵記錄器擁有多少檯筆記本電腦,整個事情基本上是一種可否認的練習。
HIPAA規則明確規定,數據在您的用戶計算機上時不必進行加密: 「保護PHI的信息系統不受入侵侵害當信息通過開放網絡傳播時,某種形式的加密必須是如果利用封閉的系統/網絡,現有的訪問控制被認爲是足夠的,並且加密是可選的。「
與其他一些答案相反,雲計算和雲數據存儲實際上可以符合HIPAA(請注意,它們是在2010年編寫的,當時這是一個更加強硬的調用)。
有您應該考慮這兩個主要方面:
這裏有一些雲服務提供商,這將簽署BAA的:
(直到最近,亞馬遜不願意簽署BAA,所以即使他們有一個whitepaper on compliance,跟隨他們的指引只是沒」儘管如此,所有這些都改變了)。
對於圖像存儲,AWS有S3和Azure有blob storage。
至於你對瀏覽器服務於圖像的關注,實際上,我不知道你有多麼嚴格的是,但好像你可能中嵌入您的圖片:
這是最新和最正確的答案。雲供應商確實對簽署BAA有一些要求,他們可能會對成本產生影響(他們不公佈這個,所以請儘快請求BAA並仔細閱讀) – keisar 2014-06-23 12:04:52