Bancos de dados NoSQL para PHI?

Navegue suas respostas
7

As rápidas soluções NoSQL baseadas em documentos - MongoDB , Cassandra, CouchDB, etc. - são apropriadas para dados de PHI? Eles têm vantagens de desempenho em relação ao RDBMS, com certeza, mas em geral parece menos maduro.

Comecei a projetar um sistema baseado no MongoDB, mas li sobre as recentes controvérsias em Reddit e Hacker News cercando alegações de perda de dados com o MongoDB me deram uma pausa ...

A polêmica alegou que o MongoDB (parece ser um dos mais populares NoSQLs) realmente perdeu dados. A implicação é que, com os muitos anos de experiência com RDBMSs, o MySQL ou o PostgreQL são apostas mais seguras.

Com os requisitos técnicos e regulamentares mais altos em saúde, quanta confiança posso realmente atribuir ao MongoDB?

Alguém já teve sucesso com o uso dessas soluções de banco de dados em projetos que exigem conformidade com HIPAA?

    
por Ming-Chih Kao 07.11.2011 / 05:28

5 respostas

10

Não vejo por que isso seria um problema. Na verdade, eu diria que a maior parte da TI da área de saúde é executada em uma solução NoSQL chamada MUMPS. Você só precisa ter cuidado com a forma como foi implementado, mas o argumento para usar uma solução NoSQL faz muito sentido na área da saúde. Você pode ler mais sobre o MUMPS e possivelmente ser substituído pelas soluções NoSQL mencionadas acima:

Tenho certeza de que muitos gostariam que MUMPS saísse e que uma das soluções que você descreveu seja colocada em prática. Embora, até agora, não posso dizer que vi alguém fazer isso ainda.

    
por 07.11.2011 / 06:32
4

Para adicionar à resposta de @ linda, o banco de dados é apenas outra camada na pilha de componentes que cria um aplicativo. A segurança desse sistema é baseada na combinação de todos os componentes.

Resumindo:

MongoDB, MySQL, Postgres, etc ... Eles são apenas formas de organizar bits para armazenamento / recuperação. Não há necessariamente mais falhas de segurança em um ou outro simplesmente porque um é relacional e outro é orientado a objeto.

Se você estiver implementando um novo EMR ou migrando, fale com seus profissionais de TI sobre os detalhes do projeto antes de tomar decisões sobre o CXO! Eu experimentei muitos contos de gerenciamento fazendo grandes e desastrosas decisões sem a entrada de TI.

Para conformidade com HIPAA, todas as informações pt precisam ser criptografadas 'em trânsito' e 'em repouso'. - Fonte

Além disso, acredito que a Epic também use Cache em alguns de seus produtos. É um banco de dados de objetos.

    
por 08.11.2011 / 19:11
2

Não é muito sobre qual ferramenta você usa para armazenar os dados, mas sim como proteger esses dados. Não vejo nenhum motivo para que uma solução NoSQL não possa ser protegida em um nível apropriado, assim como uma solução de RDBMS poderia ser feita de uma maneira completamente insegura .

Coisas a considerar para proteger os dados (isso não é de forma alguma uma lista exaustiva):

  • Acesso ao servidor (físico e netsecurity)
  • Acesso aos dados no servidor (direitos de acesso)
    • Criptografia
  • (eu vi debates sobre se é necessário criptografar os dados)
por 07.11.2011 / 17:34
2

Há um esforço (por um amigo) para desenvolver uma camada para manipulação de PHI em MongoDB chamada RESTCat que pode ser apropriado para o que você está especificamente tentando fazer.

O MondoDB provavelmente não é tão estável quanto o MySQL, mas o MUMPS é provavelmente mais estável por várias décadas do que qualquer sistema SQL atualmente disponível.

Veja Cache (proprietário) ou GTM (código-fonte aberto no Linux)

Aqueles que defendem o MUMPS argumentam que os dados de saúde são mais hierárquicos do que os tabulares (muitos de muitos para muitos relacionamentos), o que os torna mais strongs na área da saúde. Dado o domínio MUMPS na TI da Saúde, é difícil argumentar.

    
por 10.11.2011 / 07:33
1

O MongoDB oferece o MongoDB Enterprise Edition, onde, além da autenticação e da criptografia em repouso, oferece auditoria para qualquer atividade do usuário. A regra de segurança da HIPAA aconselha a auditar qualquer atividade do usuário com o ePHI. Links úteis:
link
link

    
por 06.07.2017 / 17:46

Tags

Quando os contadores de bytes do iptables estão limpos? Como calcular o custo / benefício das despesas de hardware? (passar para a virtualização, upgrades, etc.)