STARTTLS对HIPAA是否足够？

Question

在内部电子邮件服务器与外部收件人之间通信期间使用STARTTLS是否足以满足HIPAA准则？如果是的话，是否需要强制使用TLS？

Answer 1

一般情况下不会。

如果您正在配置电子邮件客户端，并在SMTP连接上设置STARTTLS，则电子邮件将只在您和您的电子邮件服务器之间加密，而不是在收件人的电子邮件服务器之间加密，而不是在收件人与其电子邮件服务器之间加密。

大多数公司不通过电子邮件发送HIPPA覆盖的数据，因为它在传输过程中非常不安全(对于大多数服务器配置而言)。那些这样做的人，通常在电子邮件本身(S/哑剧或PGP)上使用加密；对于普通用户来说，这是非常困难的设置。

我所见过的普遍接受的做法是通过电子邮件链接到一个网站。网站被TLS加密，客户必须证明他们的身份。这基本上是安全的端到端(用户错误不能承受)。

如果你是一家小公司，你的选择基本上是放弃电子通信，或者雇佣一家专门从事HIPPA兼容通信的电脑公司。如果您是大公司的一员，请询问您的网络管理员、审计师或HIPPA合规顾问。

Answer 2

我假设发送的电子邮件包含HIPAA覆盖的数据。

简单的回答可能不是。你可能需要使用端到端加密。

然而，真正的答案是，你应该找一个HIPAA审计师，或者一个对立法都有深刻了解的人，以及审计师和法官是如何理解它的。

当涉及到这样的事情时，请不要随机地从互联网上得到任何答案，这样的事情，一个轻微的错误，除了让你停业可能会给人们带来严重的困难。

Answer 3

您需要与HIPAA安全专家交谈，但是EPHI标准将涵盖TLS。然而，您是正确的，因为它必须是被迫的，您将不得不拒绝拒绝tls的连接。

与正常管理员可能认为的相反，hipaa规则本身并不是关于安全性的。他们只是简单地阐述了一些参议员认为意味着安全的要求。正如克里斯·S( Chris )正确指出的那样，加密客户端必须证明自己的身份，但这并不是标准的一部分。电子邮件通常不会被加密，因为它被传输到用户系统--然而这并不是必需的(目标系统上的存储是这样的)--但是，将它存储在exchange服务器上受密码保护的PST中是足够的，因为它不是明文。这并不意味着你不能或不应该做正确的事情，它只是意味着从律师的角度来看，这一要求得到了满足。

IMHO -21 the第11部分和HIPAA -都需要进行认真的检修，而不是来自那些认为互联网是一系列管道的人。