FileVault 2符合HIPAA吗？

Question

在我看来，FileVault 2对桌子使用了AES 256位加密。这是否意味着它符合HIPAA“rest数据”标准？还有什么需要我检查的吗？

Answer 1

是的，使用AES-256的全磁盘加密将被视为符合HIPAA的加密.这是因为它是一个FIPS 140-2兼容密码，和根据HIPAA安全规则，使用FIPS 140-2加密的数据被认为是“加密的”。。

至于这是否足以满足“rest中的数据”，这取决于您的组织对HIPAA行为的这一看似模棱两可的部分的解释。

全磁盘加密是一种有助于物理安全的措施。“rest中的数据”可以解释为物理层(在本例中，如果有人窃取Mac，由于数据是加密的)以及位于磁盘上的实际数据文件的可用性。

例如，一些组织可能会考虑将数据库备份闲置在磁盘上，“数据处于静止状态”，并选择使用密码加密这些文件，例如使用7zip和AES-256。一些组织可能会认为全磁盘加密足以达到“rest中的数据”标准。

当涉及到HIPAA安全规则时，这是一个很有争议的领域。如果您担心计算机上没有使用密码或PGP密钥加密的文件，则最好是在加密方面出错。在HIPAA下，如果加密数据受到破坏，这就不需要触发报告/泄露要求，因为数据可能被认为是第三方无法访问的。如果非加密数据被泄露，其中包括恶意软件黑客从启用了完整磁盘加密功能的在线计算机上删除文件，那么这将触发报告要求。由你来权衡风险。