我正在处理电子保护健康信息(ePHI或PHI),HIPAA法规要求只有授权用户才能访问ePHI.列级加密可能对某些数据有价值,但我需要能够像搜索某些PHI字段(如名称)一样.
透明数据加密(TDE)是sql Server 2008的一项功能,用于加密数据库和日志文件.据我所知,这可以防止获得MDF,LDF或备份文件访问权限的人对文件执行任何操作,因为它们是加密的. TDE仅适用于sql Server和企业版的企业版和开发版,对于我的特定场景而言,成本过高.如何在sql Server Standard上获得类似的保护?有没有办法加密数据库和备份文件(是否有第三方工具)?或者同样好,有没有办法防止文件被使用,如果磁盘连接到另一台机器(Linux或Windows)?
解决方法
HIPAA的一般建议是遵循
PCI Data Security Standard(PCI-DSS),除非他们说“持卡人信息”或“帐户信息”,你说“PHI”.我的公司(医疗行业,处理PHI)使用PCI-DSS作为我们的主要起点,以及健康的常识(例如确保数据STAYS始终加密(或限制在安全网络中)).
在处理敏感数据时,某种类型的列级加密几乎总是一个好主意,并且考虑到诉讼的潜在成本,需要考虑的因素很高.
