当前位置：文江博客话题详情

您可以创建符合 HIPAA 要求的 Amazon S3 Web 应用程序吗？

发布于 2024-08-28 21:06:39 字数 480 浏览 6 评论 0原文

在尝试使用 ASP.NET MVC 设计 S3 应用程序并尝试保持 HIPAA 合规性时，我遇到了一些问题。

我最初的计划是需要与我的 Web 服务器建立 SSL 连接，对我的服务器上的图像进行加密，然后使用我的私钥将它们发送到 s3。

这是我明显的担忧：

当客户端在浏览器中查看图像时，您无法将未加密的图像存储在任何临时文件缓存中。
即使我设置一个 ashx 来一般处理内存中的图像，它也不能存储在缓存中吗？

说图像将被加密，因为您将通过 https 连接到我的服务器，但这仍然不能保证所有浏览器不会缓存数据。

甚至不可能考虑带有过期选项的“查询字符串”，因为数据在存储在 s3 的磁盘上之前将被加密，并且将在我的服务器内存中再次解密。

我认为我唯一的选择是编写/购买某种 ActiveX 组件，该组件不会将图像公开为简单的 html 图像源，也不会将我的应用程序编写为客户端 WinForm 应用程序。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

生死何惧 2024-09-04 21:06:39

从表面上看，云计算似乎不太可能符合 HIPAA。当实例托管在其他人的硬件上时，当然不可能满足安全规则，由其他人的系统管理员管理？

但是，Amazon 已就该主题发布了一份白皮书：创建 HIPAA-符合 AWS 的医疗数据应用程序。这是非常值得一读的，并且似乎解决了主要问题。它确实以免责声明结束：

“本白皮书无意
构成法律建议。你是
建议寻求律师的意见
关于遵守 HIPAA 和
其他可能适用的法律
您和您的企业。”

自然，这同样适用于你从 Das Interwebs 上随机得到的任何建议。

回复收藏 0 原文

别在捏我脸啦 2024-09-04 21:06:39

与其他一些答案相反，云计算和云数据存储实际上可以符合 HIPAA（请注意，它们是在 2010 年编写的，当时这是一个更加艰难的决定）。

为此，您应该考虑两件主要事情：

您必须让云提供商签署 HIPAA 业务伙伴协议 (BAA)
您必须严格遵守系统开发中的安全规则（加密、审计跟踪等）。

以下是一些将签署 BAA 的云提供商：

（直到最近，亚马逊还不愿意签署 BAA，因此即使他们有合规性白皮书，遵循他们的指导方针并没有解决问题 - 不过，一切都已经改变了）。

对于图像存储，AWS有S3，Azure有blob 存储。

至于您对在浏览器中提供图像的担忧，我实际上不确定您必须有多严格，但似乎您可以将图像嵌入到：

Java 虚拟机（JVM）
Flash
Flex
HTML5

它看起来像PracticeFusion 开始使用 Flex 和Flash 正在逐步过渡到 HTML5。

回复收藏 0 原文

倾城°AllureLove 2024-09-04 21:06:39

HIPAA 和信用卡 PCI 合规性基本上不可能实现，或者微不足道 - 这完全取决于您聘请的顾问来告诉您“封闭”网络的含义是什么 - 是数学上的封闭（我认为这是最高形式），还是封闭在墙后，不与外界相连，但很容易用外面人行道上的一些基本设备窃听？

当您与顾问打交道时，事实上，许多计算机设备是租赁的，计算机有 USB 端口及其用户的拍照手机，在任何地方存储加密数据怎么会成为问题呢？如果您在 S3 上存储加密数据，那么 S3 除了随机的垃圾位之外不会存储任何内容。您拥有的某个密钥+垃圾=数据，而这只发生在您的系统中。

我见过“符合 HIPAA 要求”的软件，在装有 XP 的 PC 上运行时无需加密。考虑到有多少笔记本电脑被僵尸网络和击键记录器所拥有，整个事件基本上是一种否认行为。

HIPAA 规则明确规定，数据位于用户计算机上时不必加密：
“必须保护包含 PHI 的信息系统免受入侵。当信息通过开放网络流动时，必须使用某种形式的加密。如果使用封闭系统/网络，现有的访问控制被认为是足够的，并且加密是可选的。”

回复收藏 0 原文

静水深流 2024-09-04 21:06:39

一些评论。通过 https 提供的图像并不总是存储在浏览器缓存中。即便如此，您可以使用标头来控制它。

当您上传图像时，您可以使用您最喜欢的加密技术将其流式传输到内存中并直接传输到数据库中。当用户请求带有加密图像 URL 的页面时，您只需调用控制器，从数据库中获取加密数据，在内存中解密并返回图像。

    [AcceptVerbs(HttpVerbs.Get)]
    public ActionResult ShowImage(string id)
    {
        ImageEntity image = Repository.For<ImageEntity>().Where(a => a.AssetIdd == id).First();

        var decryptedImage = Decrypt(image);

        ImageResult result = new ImageResult(decryptedImage.ImageData, decryptedImage.ContentType);

        return result;
    }

你像这样使用它：

<img src="/Assets/ShowImage/<%=Model.Id%>" alt="" />

A couple comments. Images served via https are not always stored in the browser cache. Even so, you can control this using headers.

When you upload an image you can stream it into memory and directly into a database using your favorite encryption technique. When the user requests a page with a url to an encrypted image, you simply call your controller, grab the encrypted data from the database, decrypt it in memory and return the image.

    [AcceptVerbs(HttpVerbs.Get)]
    public ActionResult ShowImage(string id)
    {
        ImageEntity image = Repository.For<ImageEntity>().Where(a => a.AssetIdd == id).First();

        var decryptedImage = Decrypt(image);

        ImageResult result = new ImageResult(decryptedImage.ImageData, decryptedImage.ContentType);

        return result;
    }

You use it like this:

<img src="/Assets/ShowImage/<%=Model.Id%>" alt="" />

回复收藏 0 原文

可爱暴击 2024-09-04 21:06:39

不可以。由于网络加密要求和网络监控要求之间存在冲突，HIPAA 合规性是不可能的。

回复收藏 0 原文

~没有更多了~

关于作者

遗弃Ｍ

暂无简介

0 文章

0 评论

23 人气

关注发私信

友情链接

文江博客

您可以创建符合 HIPAA 要求的 Amazon S3 Web 应用程序吗？

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（5）

关于作者

相关话题

热门标签

推荐作者

1CH1MKgiKxn9p

ゞ记忆︶ㄣ

JackDx

信远

yaoduoduo1995

霞映澄塘

友情链接

您可以创建符合 HIPAA 要求的 Amazon S3 Web 应用程序吗？

如果你对这篇内容有疑问，欢迎到本站社区发帖提问 参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（5）

关于作者

相关话题

热门标签

推荐作者

1CH1MKgiKxn9p

ゞ记忆︶ㄣ

JackDx

信远

yaoduoduo1995

霞映澄塘

友情链接

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。