Достаточно ли использования STARTTLS во время связи между внутренним почтовым сервером и внешним получателем, чтобы соответствовать требованиям HIPAA? Если да, требуется ли принудительное использование TLS?
В общем, нет.
Если вы настраиваете почтовый клиент и устанавливаете STARTTLS для SMTP-соединения, тогда электронная почта будет зашифрована только между вами и вашим почтовым сервером; не к серверу электронной почты получателя, и не между получателем и его сервером электронной почты.
Большинство компаний не отправляют данные, покрытые HIPPA, по электронной почте, потому что они по своей природе небезопасны во время передачи (для большинства конфигураций серверов). Те, кто это делает, обычно используют шифрование самой электронной почты (S / MIME или PGP); который очень сложно настроить обычным пользователям.
Я видел общепринятую практику отправки по электронной почте ссылки на веб-сайт. Веб-сайт зашифрован TLS, и клиент должен подтвердить свою личность. Это в основном безопасный сквозной режим (без учета ошибок пользователя).
Если вы небольшая компания, вы можете отказаться от электронного общения или нанять компьютерную компанию, специализирующуюся на коммуникации, соответствующей требованиям HIPPA. Если вы являетесь частью более крупной компании, спросите своего сетевого администратора, аудиторов или консультанта по соблюдению требований HIPPA.
Я предполагаю, что отправляемое электронное письмо содержит данные, на которые распространяется HIPAA.
Краткий ответ, вероятно, нет. Вероятно, вам потребуется использовать сквозное шифрование.
Однако реальный ответ заключается в том, что вам следует поговорить с аудитором HIPAA или с кем-то, кто глубоко понимает как законодательство, так и то, как его понимают аудиторы и судьи.
Пожалуйста, не принимайте случайных ответов из Интернета, когда дело доходит до подобных вещей, когда небольшая ошибка, помимо того, что вы уйдете из бизнеса, может вызвать серьезные проблемы для людей.
Вам нужно поговорить со специалистом по безопасности HIPAA, однако стандарты EPHI распространяются на TLS. Однако вы правы в том, что это должно быть принудительно, вам придется отклонить соединение, которое отклоняет tls.
Вопреки тому, что может подумать здравомыслящий администратор, правила hipaa не о безопасности как таковой. Они просто прописывают некоторые требования, которые, по мнению некоторых сенаторов, означают безопасность. Например, как правильно указал Крис С., клиенты шифрования должны подтверждать свою личность, однако это не является частью стандарта. Электронная почта обычно не шифруется, поскольку она передается в систему пользователя, однако это специально не требуется (хранилище в целевой системе), однако либо хранение ее в защищенном паролем PST на сервере обмена является адекватным, поскольку это не открытый текст. Это не значит, что вы не можете или не должны делать то, что правильно, это просто означает, что с точки зрения юристов требование было выполнено.
ИМХО и 21CFR, часть 11, и HIPAA нуждаются в серьезном ремонте, и не от людей, которые думают, что Интернет - это серия трубок.
Я не вижу возможности комментировать, поэтому я задам свой вопрос Джиму Би в форме ответа. Сожалею. Мне кажется, что следующий язык неясен, и, возможно, вы могли бы уточнить:
Электронная почта обычно не шифруется, поскольку она передается в систему пользователя, однако это специально не требуется (хранилище в целевой системе), однако либо хранение ее в защищенном паролем PST на сервере обмена является адекватным, поскольку это не открытый текст.
Вы говорите, что шифрование при передаче электронной почты с внутреннего сервера на настольный компьютер (или мобильное устройство) пользователя явно не требуется?
А под «[требуется] хранение в целевой системе» означает ли вы, что электронная почта должна храниться на компьютере получателя в зашифрованном формате? Или это электронное письмо должно быть удалено с почтового сервера, когда пользователь загружает его, чтобы прочитать? или что где бы ни хранится электронное письмо, оно должно храниться в зашифрованном виде?