从数据库设计开始，是否有任何 HIPPA 审计跟踪实施的最佳实践。

Does anyone know if the provided SQL and Active Directory Membership Providers in ASP.NET 2.0+ are HIPAA compliant?

Clarification:

I understand that HIPAA mandates patient information be secured and that certain policies be put in place to secure access to that information. Can Microsoft's SQL and AD Membership Providers be used for handling the authentication of users accessing this information? I expect there to be some policies that need to be established like password length and complexity but is there anything inherit about the way they store information that would invalidate them for the purposes of authorization? Any gotchas or things to look out for?

除了 Altova Mapforce 之外，还有哪些开发工具可用于映射 HIPAA X12，例如 837、835、277？

我想知道是否有任何标准用于加密数据库中符合 SOX 或 HIPAA 的敏感数据。或者是否需要 SQLServer 中的加密功能？或在业务逻辑中处理。

我们有任何想法或链接。

我是一名顾问，帮助一家小型医疗实践管理软件提供商迁移到网络。我们正在寻找具有 HIPAA 合规性经验并支持 MS Web 堆栈 (IIS/.NET/SQL Server) 的主机

这里有人可以推荐这样的托管公司吗？

在尝试使用 ASP.NET MVC 设计 S3 应用程序并尝试保持 HIPAA 兼容时，我遇到了一些问题。

我最初的计划是要求 SSL 连接到我的 Web 服务器，加密我服务器上的图像，然后使用我的私钥将它们发送到 s3。

这是我明显的担忧：

1. 当客户端在浏览器中查看图像时，您不能将未加密的图像存储在任何临时文件缓存中。
2. 即使我设置了一个 ashx 来一般处理内存中的图像，这不能存储在缓存中吗？

说图像将被加密，因为您将通过 https 连接到我的服务器，但仍然不能保证所有浏览器都不会缓存数据。

甚至不可能考虑带有过期选项的“查询字符串”，因为数据将在存储在 s3 的磁盘上之前被加密，并且将再次在我的内存中的服务器上被解密。

我认为我唯一的选择是编写/购买某种 ActiveX 组件，它不会将图像公开为简单的 html 图像源或将我的应用程序编写为客户端 WinForm 应用程序。

我有一个 XSD 和一个由 XSD.EXE 生成的类，用于反序列化 XML 文档。出于某种原因，XML 文档中相当深的一个节点无法反序列化，我找不到它为什么会这样做......

这是我反序列化的方式：

XSD 的相关部分如下所示：

'LS_Header_TS271A1_2110C' 到 'LE_Trailer_TS271A_2110C' 无法反序列化

这三个片段是：

最后一个正确循环的生成类是：

[System.SerializableAttribute()] [System.Diagnostics.DebuggerStepThroughAttribute()] [System.ComponentModel.DesignerCategoryAttribute("code")] [System.Xml.Serialization.XmlTypeAttribute(AnonymousType=true, Namespace="http://schemas. microsoft.com/BizTalk/EDI/X12/2006")] [System.Xml.Serialization.XmlRootAttribute(Namespace="http://schemas.microsoft.com/BizTalk/EDI/X12/2006", IsNullable=false)]公共部分类 TS271A1_2110C_Loop {

}

对于熟悉该标准的人来说，这特别是 HIPAA 271，我无法反序列化 2120C 循环。对于你们其他人，我认为这对具体问题并不重要......

我已经验证了我需要的节点在 XSD 和我正在解析的实际 XML 文件中都存在。关于下一步看哪里的任何建议？

我与 EDI 票据交换所建立了联系，我使用 BizTalk 2009 向其发送 X12 270 文档。这些 270 的“信息源”可以是两个之一，具体取决于各种因素。对于一个信息源，票据交换所需要我的 GS02 中的一个值，而对于另一个，它们需要不同的 GS02 值。

我看到我可以在我的派对管理中为 270 设置多个条目，但我不知道如何让发送端口知道要使用哪个条目。

有没有其他人遇到过这个？

如果是这样，有没有办法动态地做到这一点，还是我需要一些其他的解决方法？

我有一些空闲时间，我正在考虑选择一个新项目来娱乐。我是一名大学生，每年我们都会举办在线推介比赛。我想为这个距现在大约 9 个月的音高比赛创建一个项目。问题是该项目需要非常高的安全性并且竞争非常激烈。

我需要做的事情： 1. 存储 HIPAA 或 ePHI (.pdf|.gif|.jpg|.doc) 2. 强大的访问控制 3. 支持大量用户和文件（100 万+） 4. 完整审计报告（哦 ePhi，你真痛苦） 5. 加密

建议的解决方案
0) 将 Web 应用程序放在防火墙后面的安全专用服务器上

1) 将文件存储在一个名为“secure_files/”的文件中，然后使用 mod_rewrite 限制对该目录的访问。

类似的东西：

如果用户有权限，则使用 php 脚本打开文件。那么我可以使用：

2) 使用 CI 会话类将“用户”添加到会话中。

控制器检查是否设置了会话：

3）在多个网络服务器之间轮换。我从来没有这样做过，所以我不知道该怎么做。我不知道如何处理多个数据库服务器。有什么想法/建议吗？

4) 使用 Oracle Enterprise Standard 数据库审计。我希望我可以使用 MySQL，但我找不到任何审计支持。我可以使用 MySQL 并使用 PITA。有没有人在 MySQL 中使用过时间点架构 (PITA)？你能分享你的经验吗？

5）所以很明显我可以用单向加盐散列来散列密码。但是我需要加密一切吗？另外，我根本看不到 AES_ENCRYPT(str,key_str) 如何提高安全性。我想这可能会阻止管理员查看数据库？我可以/应该加密“secure_files/”文件夹中的所有内容吗？我可以只使用像 BitLocker 这样的全盘加密吗？

基本上我可以用php和CI实现网上银行级别的安全吗？除了毫无价值的“你的白痴去付钱给专家，因为你什么都不知道”的建议之外，你还能提出任何其他建议吗？

感谢您花时间阅读本文。

---

从 Redux Auth 采用

关于单向哈希。我说加密的错误。我通常会做类似的事情：

salt_length = '9'; } 公共函数哈希（$password = false）{ $salt_length = $this->salt_length; if ($password === false) { return false; } $salt = $this->salt(); $密码= $盐。substr(hash('sha256',$salt . $password), 0, -$salt_length); 返回$密码；} 私有函数 salt() { return substr(md5(uniqid(rand(), true)), 0, $this->salt_length); } } ?>

背景资料：

我是一个开发人员团队的一员，该团队运行一个存储和检索 HIPAA（医疗）数据的 Web 应用程序。最近，HIPAA 指南进行了更新，其中包含一项政策，该政策要求所有可识别的客户信息在“静止”（存储在数据库中且未被访问）时进行加密。

最初的问题

我们必须解决的第一个问题是确定双向加密数据的最佳方式，以确保数据在发生泄露时安全。

初始解决方案

我们想出的最快解决方案是在将数据插入数据库之前使用mcrypt对其进行加密。

新问题

我们正在开发的应用程序相当老旧（就像 Web 应用程序一样），并且使用了大量的过程编程以及严重依赖mysql_query函数来插入、更新、检索和删除数据。我们没有时间或奢侈地将我们的代码翻译成数据库抽象层。因此，实现此加密/解密系统的唯一方法是手动编辑所有 CRUD 查询以使用通过mcrypt加密的数据。这是非常低效且极易出错的。

我们提出的解决方案

我们决定解决问题的最快和最有效的方法是用我们自己的设计之一覆盖本机mysql_query函数。在我们的新函数中，我们将在将查询发送到服务器/返回结果集之前加密/解密数据值。

你们进来的地方

1. 这是解决我们最初问题的最佳解决方案吗？
2. 您如何覆盖现有的核心 PHP 函数？