Oracle配置管理器HIPAA兼容吗？

Question

根据甲骨文的说法，甲骨文的配置管理器提供了一个“以40%的速度解决问题”，违反了HIPAA，还是需要特定的配置才能遵守？

这个问题涉及包含受保护的保健信息(PHI)的数据库。问题范围仅涉及OCM，而不涉及Oracle支持访问数据库的更广泛范围。

下面的来自甲骨文描述了OCM收集的内容：

Oracle配置管理器可以自动收集Oracle产品安装的配置信息，并将这些信息上载到Oracle的支持系统中。正在收集的配置信息包括: ·已安装修补程序·部署平台、日期、版本和type·已部署组件和应用程序-配置文件的内容-关于网络配置的·信息-注意，收集的信息仅限于配置信息。该实用工具不收集敏感数据，如实际客户数据(即配置信息以外的任何数据，包括实际应用程序或数据库事务)、密码哈希值、登录事件等。我的Oracle支持说明728985.1提供了收集的所有数据的列表。

根据hss.gov，以下信息受到HIPAA的保护：

“隐私规则”保护被覆盖实体或其业务伙伴以任何形式或媒体(无论是电子、纸张还是口头)持有或传递的所有“可单独识别的健康信息”。“隐私规则”称此信息为“受保护的健康信息”。12“可单独识别的健康信息”是指与以下方面有关的信息，包括人口统计数据：·个人的过去、现在或未来的身心健康或状况、·向个人提供保健服务、过去、现在或未来向个人提供保健的费用，以及确定个人或有合理依据相信可用于识别个人的个人的信息。13单独可识别的健康信息包括许多共同标识符(例如，姓名、地址、出生日期、社会保障号码)。

Answer 1

是的，只要以“合理”的方式监测正在传输的数据。

如果数据库宿主PHI和oracle正在协助管理数据库，则必须与供应商签订书面合同。

标准:商务助理合同及其他安排。根据第164.306条，被覆盖实体可以允许商业伙伴代表被覆盖实体创建、接收、维护或传输电子受保护的健康信息，前提是被覆盖实体根据第164.314(A)条获得令人满意的保证，即业务伙伴将适当保护信息。通过与符合第164.314(A)节适用要求的书面合同或其他安排，记录本节(b)(1)款所要求的令人满意的保证。

您必须将供应商的访问记录到数据库中，并确保他们不能访问PHI。

(A)授权和(或)监督(可寻址)。执行程序，授权和/或监督使用电子受保护健康信息的工作人员或可能访问这些信息的地点。(C)登录监测(可寻址)。监控登录尝试和报告差异的程序。(B)访问授权(可寻址)。实施允许访问电子受保护健康信息的策略和程序，例如通过访问工作站、事务、程序、进程或其他机制。(a)(1)标准:出入控制。执行维护电子受保护健康信息的电子信息系统的技术政策和程序，以便只允许访问第164.308(A)(4)节中规定的被授予访问权的人员或软件程序。(b)标准:审计控制。实施硬件、软件和/或程序机制，记录和检查包含或使用电子受保护健康信息的信息系统中的活动。

如果他们访问PHI，您必须记录事件并报告。

有关HIPAA策略的更多信息，请参见http://www.hhs.gov/ocr/privacy/hipaa/administrative/privacyrule/adminsimpregtext.pdf第38页。

HIPPA的特点是大多数需求都是模糊的，它要求您采取“合理”的步骤来防止PHI信息的泄露(它将这些项标记为可寻址的)。我自己也经历过几次HIPAA的审计。