开源 数据查询 工具
医疗保健正在经历一场革命。 在一个受到严格监管的古老行业中,免费和开放源代码软件的使用使它在看到大量进步方面处于独特的位置。
我在一家杂乱无章的医疗保健初创公司工作,在这家公司中 ,节省成本是重中之重。 我们面临的主要挑战是如何根据《医疗保险条例》的规定,安全有效地管理姓名,地址,保险信息等个人识别信息(PII)和最近进行临床拜访的原因之类的个人健康信息(PHI)。 HIPAA是1996年颁布的《健康保险携带与责任法案》,2003年在美国成为强制性法律。
简而言之,HIPAA是根据医疗保健数据传输和安全方面的安全性需求而制定的一组美国法规。 标题1、3、4和5与医疗保健行业和保险法规有关,标题2保护患者隐私和PHI / PII的安全。 标题2规定了如何以及向谁公开医疗信息(患者,医疗提供者和相关工作人员),并且还宽松地描述了必须使用的技术安全性,并提出了许多建议。
制定该法律是为了在一定时间内管理数字数据的可移植性(尽管在原始法规中已添加了一些更新),但是该法律无法预见已引入的技术进步的种类,因此通常缺乏详细说明。确切地如何确保患者数据的安全。 审计人员希望看到尽力而为,经精心制作和受人尊敬的文档,这通常是含糊不清但引人注目的挑战,并且始终存在。 但是没有法规说我们不能使用开源软件,这使我们的生活更加轻松。
我们的协议栈由Python组成,具有易于使用的开源安全性和加密程序包,这些程序包通常已经融入了Python Web框架的要求(在我们的案例中是Klein,它是使用Twisted构建的框架,Twisted是Python的异步网络框架)。 在前端,我们有AngularJS 。 我们使用的一些免费安全Python软件包包括cryptography , itsdangerous , pycrypto以及与之无关的Magic - wormhole ,这是我和我的团队都非常喜欢加密的安全文件发送工具,它基于Twisted和Python cryptography软件包构建。
这些工具是我们在前端和服务器端均符合HIPAA要求的组成部分,如以下示例中所述。 随着FOSS的成熟和资金的投入(向Mozilla基金会大喊大叫以资助PyPI项目 ,所有Python开发人员都依赖的打包存储库),营利性企业不仅可以使用并贡献大量资金,开源,但也使其安全。
我们早期的挑战之一是如何使用Amazon Web Services(AWS)消息队列队列SQS (简单队列服务)将数据从我们的应用程序服务器传输到我们的数据接口服务器(在SQS加密流量端到端之前)。 我们将数据获取/发送实例与Web应用程序实例分开,以使数据和应用程序彼此不通信。 如果攻击者获得访问权限,这将降低安全面。 因此,SQS的目的是传输我们从合作伙伴那里获得的用于持续护理的数据,并将其临时存储在应用程序内存中,以及我们从应用程序发送回我们的数据和接口引擎的数据,以添加到医疗保健网络的患者图表中病历系统。
典型的符合HIPAA的安装要求对传输中的所有数据进行加密,但是当时,SQS没有兼容HIPAA的选项。 因此,我们使用了GNU Privacy Guard (GnuPG),它可能难以使用,但在正确应用时是可靠的并且在密码上是安全的。 这样可以确保使用我们为此服务创建的密钥对存储在应用程序服务器上任何时间段内的所有数据进行加密。 当数据从应用程序传输到数据接口时,我们使用仅存在于两个组件上的密钥对其进行加密和解密。
尽管使用开源软件比以往任何时候都容易,但我们仍在努力做出贡献。 即使公司律师和市场营销人员确定了公开和公开OSS项目的最佳和最安全的方式,我们还是从其他点点滴滴中寻找其他人在寻找我们提出的确切解决方案。 我很高兴能够更好地了解我们 发布的项目 ,将更多的开源代码提供给需要的人,并鼓励其他人以实物回馈。
在医疗保健领域进行创新有很多障碍,我推荐出色的EMR和HIPAA博客,该博客提供了一个很棒的,可访问的每日新闻,介绍了多少组织在技术,物流和人际方面解决了这些障碍。
翻译自: https://opensource.com/article/18/8/foss-hippa-healthcare-open-source-tools
开源 数据查询 工具
1996
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
