苏州为存储私人患者信息的公司工作的IT管理员必须使系统符合HIPAA。HIPAA合规性是医疗保健行业的主要安全标准之一。目标是保护患者信息，并确保技术遵循最佳做法来保护索赔、账单和患者记录。以下是数据库和服务器应遵循的四个主要安全领域。

内容

您的每个数据库和服务器都应该有一个可以访问患者信息的用户列表。在这些人可以访问数据之前，他们必须进行身份验证。这意味着他们必须有用户名和密码才能访问系统。用户名不应为空，管理员应实施密码规则，如复杂性和长度。

身份验证通过多种方式控制，如Active Directory或LDAP。AD和LDAP使您可以结合应用程序和企业网络的身份验证。这意味着登录网络的用户无需重新输入用户名和密码即可访问应用程序。无论您使用何种身份验证方法，始终打开审核并限制编辑访问。

授权是有权访问数据的用户列表。身份验证验证这些人是否有访问权限，但授权会将权限分配给特定用户。例如，您可能希望客户服务代表能够读取除社会保险号码以外的患者信息。您可以在应用程序和数据库中创建指定此访问限制的角色。大多数管理员创建组以帮助管理具有不同授权权限的大量用户。

当您存储敏感数据时，应该很少有人能够访问某些数据。HIPAA法规要求对数据进行限制，如社会保险号码、信用卡号码以及患者和医生的通信。

审核会占用大量存储资源，因此在打开审核之前，请确保有足够的存储空间。当有人输入用户名和密码时，审核记录成功或失败的尝试。这意味着每次用户尝试登录成功或失败时，都会在审核日志中创建一个条目。虽然这有助于您查看谁访问了记录，但它会很快填满存储空间。实施成本很高，但审计是HIPAA的要求。

审计记录还可以帮助您识别网络威胁。多次登录失败都会触发帐户锁定，这样您就可以识别您的网络或数据库是否受到网络攻击。当发生任何诉讼时，它也很有用，可以保护公司免受数据盗窃。审核记录将帮助您了解谁阅读和编辑用户记录。如果授权和身份验证步骤失败，

加密是您的主要防御措施。审核会提醒您出现问题，但加密会为您提供更高级别的防御。所有提供者都必须加密患者私人信息的几个部分。社会安全号码、密码和信用卡号应始终使用加密。除了加密之外，只有少数精选员工应该拥有解密数据的密钥。在一些罕见的情况下，您需要解密记录，但这种情况很少发生。

许多提供商通过创建用于测试的虚拟数据来采取额外的步骤来保护记录。当您的开发人员需要生产数据来运行质量保证和测试脚本时，这一点非常重要。例如，您可以解密社会保障号码，但随后将其替换为不是患者真实社会保障号码的随机号码。这保护了患者数据，但允许开发人员继续使用“真实”数据进行测试。

这四项HIPAA合规法规会影响技术系统，对某些企业来说可能成本高昂，但它们是公司抵御黑客和未经授权的患者数据盗窃的重要组成部分。

Yuri Samoilov在Flickr