Nền tảng Magento có tuân thủ HIPAA không?

Nền tảng Magento có tuân thủ HIPAA không? Chúng tôi muốn sử dụng nó cho một nền tảng thương mại điện tử chăm sóc sức khỏe.

Thẳng thắn tuân thủ HIPAA rất giống như tuân thủ PCI, thẳng thắn. Vì vậy - bất kỳ hệ thống hoặc nền tảng nào, ngay cả khi được thiết kế tuân thủ, đều có thể trở nên không tuân thủ nếu nó không được thiết lập hoặc bảo trì chính xác.

Một điều mà chưa ai đề cập ở đây, điều rất quan trọng với việc tuân thủ HIPAA là khái niệm về thông tin sức khỏe được bảo vệ bởi PHI.

PHI được định nghĩa, đại khái là thông tin sức khỏe có thể nhận dạng cá nhân (bao gồm thông tin nhân khẩu học) được thu thập, tạo hoặc nhận bởi nhà cung cấp dịch vụ chăm sóc sức khỏe, chương trình sức khỏe, chủ lao động hoặc cơ quan chăm sóc sức khỏe.

Theo HIPAA, tất cả PHI phải được xử lý một cách thô bạo với cùng các yêu cầu và biện pháp phòng ngừa bảo mật vì dữ liệu thẻ tín dụng theo các điều khoản PCI. Điều này bao gồm, thực sự là các yêu cầu thông báo - nếu PHI bị xâm phạm, bạn có thể có các yêu cầu tương tự (hoặc cao hơn) để thông báo cho các cá nhân bị ảnh hưởng như bạn muốn nếu dữ liệu thẻ tín dụng của họ bị đánh cắp từ trang web của bạn.

PHI đã được các tòa án giải thích rất rộng để bao gồm cả tên của một bệnh nhân. Vì vậy, nếu bạn đang thiết lập một nền tảng Thương mại điện tử chăm sóc sức khỏe, bạn đang cần phải mã hóa khá nhiều thứ bạn lưu trữ, theo tên của bệnh nhân. Đây không phải là thứ mà Magento, hoặc bất kỳ nền tảng thương mại điện tử nào khác, làm theo mặc định.

Tin tốt là - nó không phải là thách thức. Khi bạn hiểu những gì bạn cần mã hóa và bảo vệ, bạn có thể thiết kế tiện ích mở rộng Magento để xử lý nó. Thành thật nhất, phần khó nhất là quấn đầu quanh tất cả các bit dữ liệu khác nhau mà bạn phải bảo mật và mã hóa, và khi bạn có danh sách đó, bạn chỉ cần thiết lập các biện pháp bảo vệ thích hợp cho nó.

Tôi sẽ nói rằng Magento Enterprise sẽ trình bày một cơ sở tốt hơn cho một dự án như thế này. Một số yếu tố Tuân thủ PCI được tích hợp trong Doanh nghiệp, đặc biệt là những thứ như nhật ký kiểm toán / hành động của quản trị viên, sẽ đi một chặng đường dài hướng tới việc bạn tuân thủ HIPAA.

Hợp đồng lập trình đầu tiên của tôi, trở lại vào những năm 90, là trong ngành y tế, và tôi đã ở đó vì HIPAA lần đầu tiên được tung ra (thời gian vui vẻ). Vì vậy, nếu bạn có bất kỳ câu hỏi HIPAA nào khác, hãy cho tôi biết. Tôi không phải là luật sư, nhưng tôi có thể giúp chỉ cho bạn hướng đi đúng đắn trong việc xây dựng nền tảng Thương mại điện tử tuân thủ HIPAA nếu bạn quan tâm đến điều đó.

Câu hỏi tuyệt vời.

Thực hiện một số nghiên cứu nhanh, có vẻ như có 7 bước để tuân thủ.

1. Mã hóa vận chuyển: Luôn được mã hóa khi được truyền qua Internet
2. Sao lưu: Không bao giờ bị mất, tức là nên được sao lưu và có thể được phục hồi
3. Ủy quyền: Chỉ có thể truy cập bởi nhân viên có thẩm quyền bằng cách sử dụng các điều khiển truy cập được kiểm toán, duy nhất
4. Tính toàn vẹn: Không bị giả mạo hoặc thay đổi
5. Mã hóa lưu trữ: Nên được mã hóa khi nó đang được lưu trữ hoặc lưu trữ
6. Thải bỏ: Có thể được xử lý vĩnh viễn khi không còn cần thiết
7. Omnibus / HITECH: Được đặt trên các máy chủ web của một công ty mà bạn có Thỏa thuận liên kết kinh doanh HIPAA (hoặc được lưu trữ tại nhà và các máy chủ đó được bảo mật đúng theo yêu cầu quy tắc bảo mật của HIPAA).

Nguồn: https://luxsci.com/blog/what-makes-a-web-site-hipaa-secure.html

Tôi không tin Magento, thực sự có thể đáp ứng các yêu cầu này. Tôi nghĩ rằng điều này sẽ có nhiều hơn về chiến lược công nghệ và nhà cung cấp dịch vụ lưu trữ của bạn.

Nhanh chóng đi qua 7 bước trên.

1. SSL (có được loại tốt nhất hiện có)
2. Đây là một chiến lược bạn cần nói chuyện với chủ nhà của bạn.
3. Đây là tất cả trên công ty của bạn và máy chủ của bạn.
4. Đây là tất cả trên các nhà phát triển của bạn.
5. Đây là tất cả trên máy chủ của bạn.
6. Đây là tất cả trên máy chủ của bạn.
7. Đây là tất cả trên máy chủ của bạn.

Nếu tôi là bạn, tôi sẽ liên hệ với một số Nhà cung cấp dịch vụ lưu trữ Magento lớn hơn và thảo luận về những thách thức này với họ. Mặc dù tôi sẽ không đưa ra đề xuất nào nên đi, tôi có những trải nghiệm tích cực với Nexcess, Rackspace và Sonassi Hosting. Tôi chắc chắn ít nhất một trong số các nhà cung cấp này (nếu không phải tất cả) đã giao dịch với khách hàng của HIPAA hiện tại hoặc trong quá khứ.