根据 Oracle 的说法, Oracle 的Configuration Manager提供了“40% 更快的问题解决”,是否违反HIPAA或需要特定配置才能遵守?
这个问题涉及包含受保护医疗保健信息 (PHI) 的数据库。问题范围仅涵盖 OCM 而不是更广泛的 Oracle 支持访问数据库的范围。
以下来自 Oracle的内容描述了 OCM 收集的内容:
Oracle Configuration Manager 可以自动收集 Oracle 产品安装的配置信息,并将这些信息上传到 Oracle 的支持系统。Oracle Configuration Manager 收集的配置信息包括:
• 安装的补丁
• 部署平台、日期、版本和类型
• 部署的组件和应用程序
• 配置文件的内容
• 关于网络配置的信息请注意,Oracle Configuration Manager 收集的信息仅限于配置信息。该实用程序不收集敏感数据,例如实际客户数据(即配置信息以外的任何数据,包括实际应用程序或数据库事务)、密码哈希值、登录事件等。My Oracle Support 说明728985.1提供了所有的列表Oracle Configuration Manager 收集的数据。
根据hss.gov,以下信息受 HIPAA 保护:
隐私规则保护涵盖实体或其业务伙伴以任何形式或媒体(无论是电子的、纸质的还是口头的)持有或传输的所有“可识别个人身份的健康信息”。隐私规则称此信息为“受保护的健康信息 (PHI)”。 12
“可识别个人身份的健康信息”是指与以下相关的信息,包括人口统计数据:
• 个人过去、现在或未来的身体或心理健康或状况,
• 向个人提供的医疗保健,或
• 过去、现在或将来为向个人提供医疗保健而支付的费用,并且可以识别个人身份或有合理依据相信它可以用来识别个人身份的信息。13 可识别个人身份的健康信息包括许多常见的标识符(例如,姓名、地址、出生日期、社会安全号码)。
是的,只要以“合理”的方式监控传输的数据。
如果数据库托管 PHI 并且 Oracle 协助管理数据库,您必须与供应商签订书面合同。
您必须将供应商访问记录到数据库中,并确保他们无法访问 PHI。
如果他们访问 PHI,您将必须记录事件并进行报告。
有关 HIPAA IT 政策的更多信息,请参阅http://www.hhs.gov/ocr/privacy/hipaa/administrative/privacyrule/adminsimpregtext.pdf第 38 页。
关于 HIPPA 的事情是,大多数要求都是模糊的,它要求您采取“合理”的步骤来防止 PHI 信息泄露(它将这些项目标记为可寻址)。我自己已经通过了几次 HIPAA 审核。