Como proteger dados padrão do SQL Server e arquivos de log confidenciais (HIPAA)

Navegue suas respostas
11

Estou lidando com informações eletrônicas de saúde protegidas (ePHI ou PHI) e os regulamentos da HIPAA exigem que apenas usuários autorizados possam acessar o ePHI. A criptografia no nível da coluna pode ser valiosa para alguns dos dados, mas eu preciso fazer pesquisas parecidas com os campos PHI, como nome.

Transparent Data Encryption (TDE) é um recurso do SQL Server 2008 para criptografar bancos de dados e arquivos de log. Pelo que entendi, isso impede que alguém que obtém acesso aos arquivos MDF, LDF ou de backup seja capaz de fazer qualquer coisa com os arquivos porque eles são criptografados. A TDE está apenas nas versões corporativa e de desenvolvedor do SQL Server e a empresa é proibitiva em termos de custo para o meu cenário específico. Como posso obter proteção semelhante no SQL Server Standard? Existe uma maneira de criptografar o banco de dados e arquivos de backup (existe uma ferramenta de terceiros)? Ou tão bom, existe uma maneira de evitar que os arquivos sejam usados se o disco estiver conectado a outra máquina (linux ou windows)?

O acesso de administrador aos arquivos da mesma máquina é bom, mas eu só quero evitar problemas se o disco for removido e conectado a outra máquina. Quais são algumas das soluções para isso que estão lá fora?

    
por Quesi 23.06.2011 / 21:33

2 respostas

8

A sugestão geral para a HIPAA é seguir o Padrão de segurança de dados do PCI (PCI-DSS), exceto em todos os lugares eles dizem "Informações do titular do cartão" ou "Informações da conta" que você diz "PHI". Minha empresa (setor de saúde, lidando com PHI) usa o PCI-DSS como nosso principal ponto de partida, junto com uma boa dose de bom senso (por exemplo, certificando-se de que os dados PERMANECEM criptografados (ou restritos a redes seguras) ) em todos os momentos).

A criptografia em nível de coluna de algum tipo é quase sempre uma boa ideia ao lidar com dados confidenciais e, considerando o custo potencial de uma ação judicial, ela está no topo das coisas a considerar.

    
por 23.06.2011 / 22:20
3

Você precisa proteger o PHI, o que exigiria que você criptografasse os dados na tabela do banco de dados. Criptografar os dados no nível da coluna, se sua melhor aposta. A pesquisa nesses campos será cara, mas esse é o custo da alta segurança.

Eu falo sobre uma variedade de opções de criptografia de dados no capítulo 2 do meu livro " Protegendo o SQL Server "

    
por 23.06.2011 / 21:49

Tags

Como você acompanha os softwares / sistemas / serviços instalados / usados na infraestrutura de servidores da sua organização? [fechadas] Sudo !! equivalente no PowerShell