我曾希望得到关于存储HIPAA合规性以及Amazon S3文件存储安全性的数据库加密密钥的最佳方式的建议。我一直在搜索stackoverflow和谷歌搜索一般,但我不能完全掌握我是特别是做的就足够了。我不想让自己的行为与规定的方法有所不同,从而使我的应用程序不安全。符合HIPAA的Heroku数据库和亚马逊S3加密密钥存储
目前,我有一个Rails应用程序,它使用gem attr_encrypted加密数据库中的敏感患者标识数据,如名称,ssn,地址等。我还将签名和患者图片的图像存储在Amazon S3中使用服务器端加密。我知道我不应该在应用程序或任何可能受版本控制的文件中对数据库加密密钥进行硬编码,但是我可以将它保存在heroku的env config变量中吗?这些如何保证?它们与数据库有多独立(如果有人进入heroku并窃取了数据库的副本,那么ENV变量也会以某种方式受到攻击?)?我目前将我的AWS密钥保存在heroku env变量中,是否安全?另外,什么是用于加密的最佳密码短语?我目前在一本书中随机使用了2个句子。
请让我知道,如果我对我所概述的任何程序非常天真,并且如果我问天真的问题,我会提前道歉。我希望成为符合HIPAA标准的公司,但是除此之外,我希望我能够超越HIPAA的要求,因为从我的理解来看,HIPAA合规并不总是=实际上是安全的。
谢谢大家!
HIPPA是否需要双因素认证?无论如何,你应该联系Heroku;如果没有他们的参与,我不会看到你如何能够满足HIPPA审计要求。就我个人而言,我不认为这是一个好主意。 – Eli
对于密码,我会从/ dev/random中获取数据。 –
嗨@FrederickCheung,谢谢你的回复。根据jamieb的附录,我使用/ dev/urandom来产生64个字符(无特殊字符)的字符串。 cat/dev/urandom | tr -dc'a-zA-Z0-9'|折-w 64 | head -n 1.在你看来,这足以作为密码吗?谢谢! –