我正在针对HIPAA Compliance应用程序使用带mySql的Ruby on Rails 4.2，并且我需要了解此应用程序的技术数据库要求。

我们真的需要对所有数据库值(例如患者姓名等)进行加密吗？

是如果您想使Rails应用程序符合HIPAA规范，则必须加密与患者和医生有关的所有详细信息(姓名，电子邮件，电话，地址)。

在此下面的2个Ruby gem 对您非常有帮助。

attr_encrypted:https://github.com/shuber/attr_encrypted

paper_trail:https://github.com/airblade/paper_trail

HIPAA是一项不寻常的法律，因为它提出了很多建议(可解决的项目)和一些主张(必填的项目)，但最终要由每个组织自行确定他们需要做些什么才能合规。产生了很大的灵活性，也带来了很大的不确定性。通常，要符合HIPAA，网站必须至少确保以下所有 protected 健康信息(ePHI):

传输加密:始终加密，因为它是通过Internet传输的

备份:永不丢失，即应备份并可以恢复

授权:仅由授权人员使用独特的，经过审核的访问控制访问。

完整性:未被篡改或更改

存储加密:在存储或存档时应加密

处置:可以在不再需要时永久处置

Omnibus/HITECH:位于与您有HIPAA商业伙伴协议(protocol)的公司的Web服务器上(或托管在内部，并且根据HIPAA安全规则要求对这些服务器进行了适当的保护)。