Το Πρόβλημα BAA
Όταν εταιρείες υγείας υπογράφουν Συμφωνίες Επιχειρηματικού Εταίρου (BAA) με παρόχους cloud, υποθέτουν ότι αυτό λύνει τη συμμόρφωση HIPAA.
Δεν το λύνει.
Ένα BAA είναι νομική συμφωνία. Δεν αποτρέπει τεχνικές παραβιάσεις. Όταν ένα cloud SaaS αποθηκεύει PHI σε εξωτερικούς διακομιστές:
- Παραβίαση του διακομιστή εκθέτει PHI
- Το CLOUD Act επιτρέπει αμερικανική κυβερνητική πρόσβαση
- Εσωτερικές απειλές στον πάροχο μπορούν να αποκτήσουν πρόσβαση
- Υπαλλήλοι ανάπτυξης ενδέχεται να έχουν πρόσβαση κατά τη διάρκεια εντοπισμού σφαλμάτων
Αρχιτεκτονική Μηδενικής Γνώσης για HIPAA
Η αληθινή συμμόρφωση HIPAA για cloud επεξεργασία PHI απαιτεί:
- Κρυπτογράφηση πριν μετάδοση - PHI κρυπτογραφείται στη συσκευή πελάτη
- Διαχείριση κλειδιών στον πελάτη - ο πάροχος cloud δεν έχει ποτέ κλειδιά
- Αδύνατη πρόσβαση παρόχου - μαθηματική εγγύηση, όχι μόνο πολιτική
- Εντοπισμός σφαλμάτων χωρίς αποκρυπτογράφηση - αρχεία καταγραφής χωρίς φανερά δεδομένα
Το anonym.legal Ικανοποιεί την Αυστηρότερη Ερμηνεία HIPAA
Για επεξεργασία cloud PHI:
- Ανωνυμοποιήστε πρώτα τοπικά (εφαρμογή επιφάνειας εργασίας ή επέκταση browser)
- Μόνο αποαναγνωρισμένα δεδομένα μεταδίδονται σε διακομιστές anonym.legal
- Τα tokens χαρτογραφούνται κρυπτογραφημένα - μόνο εσείς μπορείτε να αποαναγνωρίσετε
- Η κλειδαποθήκη μας ποτέ δεν αποθηκεύει κλειδιά σε plaintext
Για εντελώς τοπική επεξεργασία:
-
Εφαρμογή επιφάνειας εργασίας: χωρίς cloud, χωρίς transmission, χωρίς BAA απαιτείται
Πηγές: