HIPAA Encryption Requirement
HIPAA Section 164.312(a)(2)(i) کہتا ہے:
Covered entities اور business associates کو ایک encryption اور decryption mechanism implement کرنا ضروری ہے۔
یعنی: اگر آپ کے پاس PHI ہے، تو یہ encrypted ہونا چاہیے۔
Cloud میں۔ Database میں۔ ہر جگہ۔
لیکن یہاں مسئلہ ہے:
Encryption keys کو کہاں رکھا جائے؟
Sadard approach:
- Cloud vendor (AWS, Azure) encryption keys store کرتا ہے
- Vendor کے employees keys تک رسائی رکھتے ہیں
- Vendor کے security practicesآپ کے control میں نہیں ہیں
نتیجہ: 2024 میں healthcare breaches میں، 90% میں encryption keys چوری ہوئے۔
کیوں؟
- Insider threats (vendor employee تک رسائی)
- Supply chain attacks (vendor کے vendor کے ذریعے)
- Compliance overreach (government subpoena)
- Misconfiguration (cloud console میں غلط permissions)
Zero-Knowledge Architecture حل
Zero-knowledge encryption میں:
- Keys patient کے پاس ہیں (یا healthcare provider کے secure vault میں)
- Cloud vendor keys نہیں دیکھ سکتا (یہاں تک کہ encryption کے دوران)
- Data encrypted ہے۔ Vendor's infrastructure میں، لیکن vendor decrypt نہیں کر سکتا
یہ کیسے کام کرتا ہے:
- Patient اپنا unique key بناتا ہے (یا provider کے vault میں generate ہوتا ہے)
- Patient کا PHI local device پر encrypt ہوتا ہے (key-derived cipher استعمال کرتے ہوئے)
- Encrypted data cloud کو بھیجا جاتا ہے
- Cloud vendor data store کرتا ہے، لیکن keys نہیں ہیں
- Decrypt کرنے کے لیے، patient (یا provider) اپنا key استعمال کرتے ہیں
Now: