Достаточно ли STARTTLS для HIPAA
Является ли использование STARTTLS во время связи между внутренним сервером электронной почты и внешним получателем достаточным для соответствия рекомендациям HIPAA? Если это так, требуется ли принудительное использование TLS?
4 ответа
Как правило, нет.
Если вы настраиваете почтовый клиент и настраиваете STARTTLS для SMTP-соединения, то электронная почта будет зашифрована только между вами и вашим почтовым сервером; не на почтовом сервере получателя и не между получателем и его почтовым сервером.
Большинство компаний не отправляют данные, покрытые HIPPA, по электронной почте, потому что они изначально небезопасны во время передачи (для большинства конфигураций сервера). Те, которые используют, обычно используют шифрование на самой электронной почте ( S / MIME или PGP); что чрезвычайно сложно для обычных пользователей в настройке.
Общепринятая практика, которую я видел, это отправка ссылки на веб-сайт по электронной почте. Веб-сайт зашифрован TLS, и клиент должен подтвердить свою личность. Это в основном безопасный сквозной (ошибка пользователя не выдерживает).
Если вы небольшая компания, вы можете отказаться от электронных коммуникаций или нанять компьютерную компанию, которая специализируется на HIPPA-совместимых коммуникациях. Если вы являетесь частью более крупной компании, обратитесь к администратору сети, аудиторам или консультанту по соблюдению HIPPA.
Вам необходимо поговорить со специалистом по безопасности HIPAA, однако стандарты EPHI будут охватывать TLS. Однако вы правы в том, что вам придется принудительно отклонить соединение, которое отклоняет tls.
Вопреки тому, что здравомыслящий администратор может подумать, что регаты Hipaa не касаются безопасности как таковой. Они просто прописывают некоторые требования, которые, по мнению некоторых сенаторов, означают безопасность. Например, как правильно заметил Крис С., клиенты шифрования должны подтвердить свою личность, однако это не является частью стандарта. Электронная почта, как правило, не шифруется, поскольку она передается в пользовательскую систему - однако это специально не требуется (хранилище в целевой системе) - однако либо ее сохранение в защищенном паролем PST на сервере обмена достаточно, поскольку она не является открытым текстом. Это не означает, что вы не можете или не должны поступать правильно, это просто означает, что с точки зрения юристов требование было выполнено.
ИМХО и 21CFR часть 11, и HIPAA оба нуждаются в серьезном капитальном ремонте, и не от людей, которые думают, что Интернет представляет собой серию трубок
Я предполагаю, что отправляемое электронное письмо содержит данные, покрываемые HIPAA.
Краткий ответ, вероятно, нет. Скорее всего, вам необходимо использовать сквозное шифрование.
Однако реальный ответ заключается в том, что вам следует поговорить с аудитором HIPAA или с кем-то, кто глубоко понимает как законодательство, так и то, как аудиторы и судьи его понимают.
Пожалуйста, не принимайте никаких случайных ответов из Интернета, когда речь идет о таких вещах, где небольшая ошибка, в дополнение к тому, что вы вывели из бизнеса, может вызвать серьезные трудности для людей.
Я не вижу возможности комментировать, поэтому я задам свой вопрос о Джиме Б. в форме ответа. Сожалею. Я нахожу следующий язык неясным, и, возможно, вы могли бы уточнить:
Электронная почта, как правило, не шифруется, поскольку она передается в пользовательскую систему - однако это специально не требуется (хранилище в целевой системе) - однако либо ее сохранение в защищенном паролем PST на сервере обмена достаточно, поскольку она не является открытым текстом.
Вы хотите сказать, что шифрование при передаче электронной почты с внутреннего сервера на настольный ПК пользователя (или мобильное устройство) явно не требуется?
И под "хранением в целевой системе [специально требуется]" подразумевается ли электронная почта, которая должна храниться на ПК получателя в зашифрованном формате? Или это письмо должно быть удалено с почтового сервера, когда пользователь загружает его, чтобы прочитать? или что везде, где хранится электронная почта, она должна храниться в зашифрованном формате?