在内部电子邮件服务器和外部收件人之间的通信过程中是否使用STARTTLS,足以满足HIPAA指南? 如果是这样,是否需要强制TLS?
一般来说,不。
如果您正在configuration电子邮件客户端,并在SMTP连接上设置STARTTLS,那么电子邮件将在您和电子邮件服务器之间进行encryption; 而不是收件人的电子邮件服务器,而不是收件人和他们的电子邮件服务器之间。
大多数公司不会通过电子邮件发送涵盖HIPPA的数据,因为在传输期间(大多数服务器configuration),它始终是不安全的。 那些做的,通常在电子邮件本身使用encryption( S / MIME或PGP ); 这对于普通用户来说是非常困难的。
我见过的普遍接受的做法是通过电子邮件链接到网站。 该网站是TLSencryption,客户必须certificate自己的身份。 这基本上是端到端的安全(用户错误不能承受)。
如果你是一个小公司,你的select基本上是放弃电子通信,或聘请一个专门从事HIPPA兼容通信的电脑公司。 如果您是大公司的一员,请咨询您的networkingpipe理员,审计人员或HIPPA合规顾问。
我假设发送的电子邮件包含HIPAA覆盖的数据。
简短的答案可能不是。 您可能需要使用端到端encryption。
然而,真正的答案是你应该与HIPAA的审计员或对法律有深刻理解的人以及审计师和法官如何理解这一点的人交谈。
请不要随意从网上随便回答这样的事情,如果发生了一点小错误,除了让你失业外,还会给人们带来严重的困难。
您需要与HIPAA安全专家交谈,但EPHI标准将涵盖TLS。 然而,你是正确的,它必须被迫,你将不得不拒绝连接,拒绝tls。
相反,理智的pipe理者可能会认为,注册局并不关心安全本身。 他们简单地列出了一些参议员认为意味着安全的要求。 例如Chris S正确地指出encryption客户端应该certificate他们的身份,但是这不是标准的一部分。 电子邮件通常在传输到用户系统时不会被encryption – 但是这并不是必需的(目标系统上的存储是),但是将其存储在交换服务器上的密码保护PST中是足够的,因为它不是明文。 这并不意味着你不能或不应该做正确的事情,这只是说从律师的angular度来看,这个要求已经实现了。
恕我直言,21CFR第11部分和HIPAA都需要认真检修,而不是从互联网是一系列pipe
我没有看到评论的方法,所以我会以答案的forms提出我的问题。 抱歉。 我发现下面的语言不清楚,也许你可以澄清:
电子邮件通常在传输到用户系统时不会被encryption – 但是这并不是必需的(目标系统上的存储),但是要么将其存储在交换服务器上的密码保护PST中是足够的,因为它不是明文。
你是说encryption作为电子邮件正在从内部服务器传输到用户的桌面PC(或移动设备)没有明确的要求?
而“目的地系统上的存储是[特别要求]”是指电子邮件必须以encryption格式存储在收件人的PC上? 或者,当用户下载阅读邮件时,邮件必须从邮件服务器上删除? 或者无论电子邮件存储在哪里,都必须以encryption格式存储?