Поставщики членства и соответствие HIPAA
Я не могу говорить непосредственно с проектом MVC ASP.NET, но вообще говоря, платформы MVC прибыли для доминирования сеть разработка приложений, потому что
-
Они предлагают формальное разделение между Операциями Базы данных, "Бизнес-логикой" и Представлением
-
, Они предлагают достаточно гибкости в представлении, чтобы позволить разработчикам настраивать свой HTML/CSS/Javascript для работы в нескольких браузерах, и будущие версии тех браузеров
, Это - этот последний бит, это - важное. С Веб-формами и подобными технологиями, Вы полагаетесь на своего поставщика для записи HTML/CSS/Javascript для Вас. Это - мощный материал, но у Вас нет гарантии, что текущая версия Веб-форм собирается работать со следующим поколением веб-браузеров.
Это - питание представления. Вы получаете полный контроль над HTML своего приложения. Оборотная сторона, Вы потребность, которая будет дисциплинироваться достаточно, чтобы сохранить логику в Ваших представлениях к минимуму и сохранить шаблон кода столь простым, как Вы возможно можете.
Так, это - компромисс. Если Веб-формы работают на Вас, и MVC не, то продолжают использовать Веб-формы
3 ответа
It depends on what you want to do with them, but in short, yes. HIPAA is all about standards for securing your data; the standards aren't particularly harsh, so long as you have a way in place to provide for security. In that way, it's a lot like ISO 9001; so long as you define a security policy and stick with it, you're okay. The mentioned providers are effectively tools.
That said, you may need to do some additional things with your data to assure that it's only clearly accessible from your application; some level of pre-encryption would probably be appropriate. Just understand that it probably doesn't need to be HEAVY encryption; very light would do, so long as you're consistent with the application of it.
Я очень надеюсь;) В настоящее время мы используем поставщика членства 2.0 с ADAM LDAP в медицинской страховой компании, в которой я работаю. HIPAA и PHI - вот название игры, и эта настройка прошла через наш юридический отдел.
Я бы сказал, что "из коробки" он не HIPAA-совместим.
Чтобы выяснить это, нужно создать новое веб-приложение с просто default.aspx и, возможно, страница входа в систему. Затем щелкните инструмент «Конфигурация ASP.NET» на панели инструментов обозревателя решений, чтобы запустить приложение настройки (вы также можете сделать это из IIS, если ваш сайт размещен там). Установите значения по умолчанию, выбрав использование AspNetSqlProvider для всех функций.
Это создаст ASPNETDB.MDF в папке App_Data. Щелкните его правой кнопкой мыши и выберите «Открыть». Это откроет его в Server Explorer, где вы сможете просмотреть все созданные таблицы.
Вы обнаружите, что пароль хранится в хешированном виде в таблице aspnet_Membership , а не в виде обычного текста. Который' это хорошо. Однако адрес электронной почты также сохраняется в открытом виде. Если я помню свое обучение HIPAA четыре года назад, это PII, и, по крайней мере, должен притворяться особенным. На самом деле, любой, у кого есть доступ к базе данных, может найти адрес электронной почты любого члена.
Редактировать на основе обновления:
Если вы говорите только об использовании их для аутентификации и авторизации, я бы сказал, что вы: снова в порядке. Вам нужно будет игнорировать адрес электронной почты.
мы говорим только об их использовании для аутентификации и авторизации, я бы сказал, что вы в порядке. Вам нужно будет игнорировать адрес электронной почты. мы говорим только об их использовании для аутентификации и авторизации, я бы сказал, что вы в порядке. Вам нужно будет игнорировать адрес электронной почты.