在尝试使用ASP.NET MVC设计S3应用程序并保持与HIPAA兼容时,我面临一些问题。
我最初的计划是要求与我的Web服务器建立SSL连接,对服务器上的图像进行加密,然后使用我的私钥将其发送到s3。
这是我明显的担忧:
说图片将被加密,因为您将通过https连接到我的服务器仍然不能保证所有浏览器都不会缓存数据。
甚至不可能考虑带有到期选项的“查询字符串”,因为数据将在存储到s3之前先被加密,然后再次在我的服务器的内存中被解密。
我认为我唯一的选择是编写/购买某种ActiveX组件,该组件不会将图像公开为简单的html图像源,也不会将我的应用程序编写为客户端WinForm应用程序。
最佳答案
从表面上看,云计算似乎不太可能符合HIPAA。当实例由其他系统管理员托管在其他人的硬件上时,肯定无法满足the Security Rule吗?
但是,亚马逊已经针对该主题发布了白皮书:Creating HIPAA-compliant Medical Data Applications with AWS。这是一本值得一读的书,似乎可以解决主要问题。它的确以免责声明结尾:
当然,从Das Interwebs随机获取的任何建议也同样适用。