Базы данных NoSQL для PHI?
Подходят ли быстрые решения NoSQL на основе документов - MongoDB, Cassandra, CouchDB и т. Д. - для данных PHI? Они имеют преимущества в производительности по сравнению с RDBMS, но в целом выглядят менее зрелыми.
Я начал проектировать систему, основанную на MongoDB, но чтение недавних противоречий в Reddit и Hacker News, касающихся заявлений о потере данных с MongoDB, дало мне паузу...
Противоречие утверждало, что MongoDB (кажется, один из самых популярных NoSQL) фактически потерял данные. Подразумевается, что благодаря многолетнему опыту работы с RDBMS MySQL или PostgreQL являются более безопасными ставками.
С высокими техническими и нормативными требованиями в сфере здравоохранения, насколько я могу доверять MongoDB?
У кого-нибудь был успех с использованием этих решений для баз данных в проектах, требующих соответствия HIPAA?
5 ответов
Я не понимаю, почему это будет проблемой. На самом деле, я бы сказал, что большая часть информационных технологий здравоохранения работает на NoSQL-решении под названием MUMPS. Вам просто нужно быть осторожным, как это было реализовано, но аргумент в пользу использования решения NoSQL действительно имеет большой смысл в здравоохранении. Вы можете прочитать больше о MUMPS, и, возможно, его заменит упомянутые выше решения NoSQL: http://www.emrandhipaa.com/emr-and-hipaa/2011/10/18/analysis-of-mumps-in-healthcare-emr/
Я уверен, что многие хотели бы, чтобы MUMPS исчез, а одно из описанных вами решений было реализовано. Хотя до сих пор не могу сказать, что видел, как кто-то это делал.
Чтобы добавить ответ @linda, база данных - это просто еще один слой в стеке компонентов, которые создают приложение. Безопасность этой системы основана на сочетании всех компонентов.
Нижняя линия:
MongoDB, MySQL, Postgres и т. Д.... Это всего лишь способы организации битов для хранения / поиска. В одном или другом недостатке безопасности не обязательно больше недостатков просто потому, что один реляционный, а другой объектно-ориентированный.
Если вы внедряете новую EMR или мигрируете, обязательно поговорите со своими ИТ-специалистами о специфике проекта, прежде чем принимать какие-либо решения CXO! Я слышал слишком много историй о том, как менеджмент принимал масштабные и катастрофические решения без участия ИТ.
Для соответствия HIPAA вся информация pt должна быть зашифрована "в пути" и "в состоянии покоя". - Источник
Кроме того, я считаю, что Epic также использует Cache в некоторых своих продуктах. Это объектная база данных.
(Друг) пытается разработать слой для обработки PHI над MongoDB под названием RESTCat, который может подходить для того, что вы конкретно пытаетесь сделать.
MondoDB, вероятно, не так стабилен, как MySQL и все, но MUMPS, вероятно, более устойчив на несколько десятилетий, чем любая доступная в настоящее время система SQL.
Посмотрите на Cache (проприетарный) или GTM (с открытым исходным кодом в Linux)
Те, кто предпочитает MUMPS, утверждают, что данные о здравоохранении более иерархичны, чем табличные (много-много взаимосвязей), что делает их более сильными в здравоохранении. Учитывая доминирование MUMPS в сфере здравоохранения, с этим трудно спорить.
Дело не столько в том, какой инструмент вы используете для хранения данных, сколько в том, как вы защищаете эти данные. Я не вижу никакой причины, по которой решение NoSQL не может быть защищено до соответствующего уровня, так же как решение СУБД может быть выполнено совершенно небезопасным способом.
Что нужно учитывать при защите данных (это далеко не полный список):
- Доступ к серверу (физический и сетевой безопасности)
- Доступ к данным на сервере (права доступа)
- Шифрование (я видел споры о том, нужно ли шифровать данные)
MongoDB предлагает MongoDB Enterprise Edition, где помимо аутентификации и шифрования в состоянии покоя предлагается аудит для любой пользовательской активности. Правило безопасности HIPAA рекомендует проводить аудит любой пользовательской активности с ePHI. Полезные ссылки:
https://www.mongodb.com/blog/post/making-hipaa-compliant-applications-mongodb
https://docs.mongodb.com/manual/security/