Ist die Magento-Plattform HIPAA-konform?

7

Ist die Magento-Plattform HIPAA-konform? Wir möchten es für eine E-Commerce-Plattform im Gesundheitswesen verwenden.

user22876
quelle
Können Sie uns einen Link zu weiteren Informationen über HIPAA geben? Alles was ich fand war hhs.gov/ocr/privacy
Sander Mangel
Magento wurde nicht unter Berücksichtigung der HIPAA-Konformität entwickelt, obwohl die meisten Anforderungen eher von der Implementierung als von der Software abhängen. Ein zertifiziertes HIPAA-Audit könnte die Frage wahrscheinlich beantworten.
Benmarks

Antworten:

6

Ehrlich gesagt ist die HIPAA-Konformität der PCI-Konformität sehr ähnlich. Daher kann jedes System oder jede Plattform, selbst wenn es konform ausgelegt ist, nicht mehr konform sein, wenn es nicht ordnungsgemäß eingerichtet oder gewartet wird.

Eine Sache, die hier noch niemand erwähnt hat und die für die Einhaltung der HIPAA sehr wichtig ist, ist das Konzept der PHI-geschützten Gesundheitsinformationen.

PHI wird grob definiert als individuell identifizierbare Gesundheitsinformationen (einschließlich demografischer Informationen), die von einem Gesundheitsdienstleister, einem Gesundheitsplan, einem Arbeitgeber oder einer Clearingstelle für das Gesundheitswesen gesammelt, erstellt oder empfangen werden.

Unter HIPAA müssen alle PHI ungefähr mit den gleichen Anforderungen und Sicherheitsvorkehrungen behandelt werden, wie Kreditkartendaten unter PCI-Bedingungen. Dies schließt tatsächlich Benachrichtigungsanforderungen ein. Wenn die PHI gefährdet ist, müssen Sie möglicherweise dieselben (oder höhere) Anforderungen erfüllen, um die betroffenen Personen zu benachrichtigen, wie wenn Ihre Kreditkartendaten von Ihrer Website gestohlen würden.

PHI wurde von den Gerichten sehr weit ausgelegt, um sogar den Namen eines Patienten aufzunehmen. Wenn Sie also eine E-Commerce-Plattform für das Gesundheitswesen einrichten, müssen Sie so ziemlich alles, was Sie speichern, bis auf den Namen des Patienten verschlüsseln. Dies ist nicht etwas, was Magento oder eine andere E-Commerce-Plattform standardmäßig tut.

Die gute Nachricht ist - es ist nicht so herausfordernd. Sobald Sie verstanden haben, was Sie zum Verschlüsseln und Schützen benötigen, können Sie eine Magento-Erweiterung entwerfen, um damit umzugehen. Ehrlich gesagt ist es am schwierigsten, sich mit all den verschiedenen Daten zu beschäftigen, die Sie sichern und verschlüsseln müssen. Sobald Sie diese Liste haben, können Sie einfach die richtigen Schutzmaßnahmen dafür einrichten.

Ich werde sagen, dass Magento Enterprise eine bessere Basis für ein solches Projekt bieten wird. Einige der in Enterprise integrierten PCI-Konformitätselemente, insbesondere das Administratoraktions- / Überwachungsprotokoll, tragen wesentlich dazu bei, dass Sie HIPAA-konform sind.

Meine ersten Programmier-Gigs in den 90ern waren in der Medizinbranche und ich war dabei, als HIPAA zum ersten Mal eingeführt wurde (lustige Zeiten). Wenn Sie weitere Fragen zur HIPAA haben, lassen Sie es mich wissen. Ich bin kein Anwalt, aber ich kann Ihnen helfen, die richtige Richtung für den Aufbau einer HIPAA-kompatiblen E-Commerce-Plattform einzuschlagen, wenn Sie daran interessiert sind.

Joshua S Warren
quelle
4

Gute Frage.

Nach einigen kurzen Recherchen scheint es 7 Schritte zu geben, die konform sind.

  1. Transportverschlüsselung: Wird immer verschlüsselt, wenn sie über das Internet übertragen wird
  2. Backup: Geht nie verloren, sollte also gesichert werden und kann wiederhergestellt werden
  3. Autorisierung: Nur für autorisiertes Personal mit eindeutigen, geprüften Zugriffskontrollen zugänglich
  4. Integrität: Wird nicht manipuliert oder verändert
  5. Speicherverschlüsselung: Sollte beim Speichern oder Archivieren verschlüsselt werden
  6. Entsorgung: Kann dauerhaft entsorgt werden, wenn sie nicht mehr benötigt wird
  7. Omnibus / HITECH: Befindet sich auf den Webservern eines Unternehmens, mit dem Sie eine HIPAA Business Associate-Vereinbarung abgeschlossen haben (oder es wird intern gehostet und diese Server sind gemäß den Anforderungen der HIPAA-Sicherheitsregeln ordnungsgemäß gesichert).

Quelle: https://luxsci.com/blog/what-makes-a-web-site-hipaa-secure.html

Ich glaube nicht, dass Magento allein diese Anforderungen erfüllen kann. Ich denke, dies würde mehr von Ihrer Technologiestrategie und Ihrem Hosting-Anbieter abhängen.

Gehen Sie schnell die 7 Schritte oben durch.

  1. SSL (erhalten Sie die beste verfügbare Art)
  2. Dies ist eine Strategie, die Sie benötigen, um mit Ihrem Gastgeber zu sprechen.
  3. Dies ist alles auf Ihre Firma und Ihren Gastgeber.
  4. Das liegt ganz bei Ihren Entwicklern.
  5. Das ist alles auf Ihrem Host.
  6. Das ist alles auf Ihrem Host.
  7. Das ist alles auf Ihrem Host.

Wenn ich Sie wäre, würde ich mich an einige der größeren Magento-Hosting-Anbieter wenden und diese Herausforderungen mit ihnen besprechen. Ich werde zwar keine Empfehlungen abgeben, aber ich habe positive Erfahrungen mit Nexcess, Rackspace und Sonassi Hosting gemacht. Ich bin sicher, dass mindestens einer dieser Anbieter (wenn nicht alle) sich derzeit oder in der Vergangenheit mit HIPAA-Kunden befasst hat.

kab8609
quelle