这是一个不同的转折点——我将调度信息推送给第一响应者,例如消防、警察和 EMS。但它们都可能包括医疗信息和 PII。
我的目标是让第一响应者更容易获得关键信息,因此我希望在车辆中提供它,或者在必要时在智能手机上提供。这就是我不确定我的职责是什么的地方。我想通过浏览器提供信息。我很好奇 a) 这种情况是否属于 HIPAA 的领域,并且 b) 在应用程序设计(浏览器组件)中是否有我需要遵循的指导方针。我有信心的后端是安全的。但我不知道我需要在前端做些什么来防止意外甚至恶意窃取/访问这些数据(通过拿起电话,或瞥一眼肩膀......
有什么建议吗?谢谢!
...属于 HIPAA 的领域?
如果您正在处理 PHI,那么答案可能是肯定的。查看美国政府卫生与公众服务部安全规则指导材料中的此页面,了解更多信息。
在应用程序设计(浏览器组件)中我需要遵循哪些准则?我有信心的后端是安全的。
您应该考虑进行风险评估(参见上面提到的页面,尤其是 NIST 特别出版物 800-66 的链接)。有信心是件好事,但你需要有文件证明你已经彻底。关于应用程序设计,两个很好的来源是《编写安全代码》和《OWASP 》一书(以OWASP 前十名作为起点)。
在您的风险评估期间,您将关注威胁(例如“从某人的肩膀上看”),并且您必须评估这种情况发生的可能性及其所代表的风险。
虽然我不是律师,但你当然应该问律师这个问题。我的观点是,在以前的工作中对 HIPAA 非常熟悉,我敢说这几乎肯定属于 HIPAA 对供应商的规定(即完整的一揽子交易)。如果不是,它几乎肯定属于第三方服务提供商。我以前的工作只需要担心第三方服务提供商的角色,所以我不太了解完整需求的细节。
我们会参考产品的功能进行大量产品评估。我们不会根据编码进行评估。我们总是要求产品架构师和产品经理通过认证的 HIPAA 隐私安全专家 CHPSE) 培训,以便他们对隐私和安全规则有清晰的了解,然后评估产品如何满足法规要求。很多时候,我们都经历过必须进行重大设计更改以确保产品符合 HIPAA 要求。作为业务伙伴还必须确保公司遵守政策、程序、灾难计划等。