會員提供商和HIPAA合規性
[英]Membership Providers and HIPAA Compliance
問題描述
有誰知道ASP.NET 2.0+中提供的SQL和Active Directory成員資格提供程序是否符合HIPAA標准?
澄清:
據我所知,HIPAA要求保護患者信息,並制定某些政策以確保對該信息的訪問。 Microsoft的SQL和AD成員資格提供程序是否可用於處理訪問此信息的用戶的身份驗證? 我希望有一些政策需要建立,比如密碼長度和復雜性,但是有沒有任何關於它們存儲信息的方式的繼承,這些信息會使授權無效? 任何陷阱或事物需要注意?
3 個解決方案
解決方案1
2 已采納 2009-07-30 17:26:39
這取決於你想用它們做什么,但簡而言之,是的。 HIPAA是關於保護數據的標准; 只要你有辦法提供安全保障,標准就不會特別苛刻。 就這樣,它很像ISO 9001; 只要你定義一個安全策略並堅持下去,你就可以了。 提到的提供者是有效的工具。
也就是說,您可能需要對數據進行一些額外的操作,以確保只能從您的應用程序中清楚地訪問它; 某種程度的預加密可能是合適的。 只是明白它可能不需要重的加密; 只要你與它的應用一致,它就會很輕松。
解決方案2
1 2009-07-30 20:11:22
我當然希望它是;)我們目前在我工作的健康保險公司使用2.0會員提供商和ADAM LDAP。 HIPAA和PHI是這里游戲的名稱,這個設置通過我們的法律部門。
解決方案3
0 2009-07-30 17:40:46
我說開箱即用,它不符合HIPAA標准。
找出的方法是創建一個新的Web應用程序,只需一個default.aspx,也許還有一個登錄頁面。 然后單擊解決方案資源管理器工具欄中的“ASP.NET配置”工具以啟動配置應用程序(如果您的站點在那里托管,也可以從IIS執行此操作)。 設置默認值,選擇將AspNetSqlProvider用於所有功能。
這將在App_Data文件夾中創建ASPNETDB.MDF。 右鍵單擊它並選擇“打開”。 這將在Server Explorer中打開它,您可以在其中查看所有已創建的表。
您會發現密碼存儲在aspnet_Membership表中,而不是純文本。 這是好事。 但是,電子郵件地址也以明文形式存儲。 如果我記得四年前的HIPAA培訓,那就是PII,至少應該假裝特別。 實際上,任何有權訪問數據庫的人都可以找到任何成員的電子郵件地址。
根據更新進行編輯:
如果您只是在談論使用它們進行身份驗證和授權,我會說您沒問題。 您需要忽略該電子郵件地址。
成員資格提供程序-如何以編程方式更改重定向的默認頁面
[英]Membership providers - How to change programmatically the default page for Redirect
在3層設置中哪里可以找到自定義成員資格,角色,配置文件提供程序?
[英]Where to locate custom membership, roles, profile providers in a 3-tier setup?
可以在Web.config中加密system.web / membership / providers嗎?
[英]Possible to encrypt system.web/membership/providers in Web.config?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.