该法案于1996年通过,并没有直接提及互联网——但这并不意味着它不适用。事实上,如果你打算这么做的话任何东西与人们受保护的健康信息(PTI)在线,你需要一个符合HIPAA的高标准的网站。
HIPAA网页设计入门清单
当您为您的站点打下基础时,为了符合HIPAA,您需要记住以下要点。
- 安全套接字层(SSL)保护
- 完全数据加密(特别是在传输期间)
- 全数据备份与加密
- 所有数据的永久删除选项
- 管理员和用户的受限、特定访问权限
- 定期修改密码
- 数据泄露协议
- 任命HIPAA合规官
- 突出,在现场公布HIPAA政策
- HIPAA业务伙伴协议与网站主机和其他供应商
对于符合hipaa标准的网站,你需要采取更多的预防措施,但这10个是你的业务最重要的起点。
现在,让我们单独看看每种品质。
1.SSL保护
SSL保护是一种网络协议,包括客户端身份验证、服务器身份验证以及两者之间的加密通信。这意味着无论何时有人登录到你的网站或管理他们的帐户,一切都是安全加密的。
换句话说,如果他们窃取或拦截了这些信息,就没有人能够理解这些信息。
2.全数据加密
虽然SSL保护处理用户和服务器加密,但您还需要加密存储的任何数据。
这对于用户和服务器之间的通信也很重要,因为您必须在传输过程中加密所有数据,以确保如果数据被拦截,其他人无法读取。
3.全数据备份
一旦从客户端获得信息,就需要存储必要的信息并对其进行加密。基本上,只有一个人应该能够看到他们提交到您的站点的信息,那就是用户。
如果您的备份存储安全性存在明显的缺陷,那么您就没有遵守HIPAA。
4.永久删除数据
HIPAA还要求您删除所有与您的业务不再相关的数据。所以,如果你的客户离开了你的服务,转向了你的竞争对手,你必须从你的服务器上永久删除他们的所有信息。
“永久”在这里是一个关键的词。如果你从你的服务器上删除某人的信息,你就没有机会恢复它。当有人离开你的公司时,他们的信息也会消失。
5.限制访问
简而言之,受限访问意味着只有管理员可以访问管理功能。
此外,只有特定的用户可以访问他们的数据,他们也可以只有访问自己的数据。同样,只有管理员才能对站点进行更改。这一点尤其重要,因为任何微小的更改——即使是对用户资料的更改——都可能构成违反HIPAA严格规定的行为。
6.定期修改密码
大多数时候,这只是一个好主意。但有了HIPAA,它就是法律。您必须定期更改管理员和用户的密码,以适当保护您的数据。
不定期更新或更改密码构成违反HIPAA的标准。
7.数据泄露协议
即使你的网站有最安全、最顶级的安全措施,数据泄露还是需要协议的.
为泄露的数据建立应急计划可以确保在泄露发生时可以迅速消除。这也是向用户展示你已经为任何事情做好了准备的好方法。
希望您永远不会遇到真正的数据泄露,但您需要有一个计划并实践它,以防泄露发生。
8.HIPAA合规官
HIPAA合规官是你选择的一个人,以确保你的网站不断更新HIPAA所做的任何更改。
这意味着他们必须了解HIPAA的现行法律,任何潜在的即将出台的法律,以及哪些法律不再适用。这个官员(如果你有一个大的网站的话,可以是多个官员)让你每天都遵守规定,同时也保证你的用户数据的安全。
没有指定的官员,你几乎肯定会错过关键的更新,达不到HIPAA的严格标准。
9.在网上发布HIPAA政策
因为你遵守所有HIPAA规定,所以你需要在你的网站上说明。
这样做可以告诉您的用户,您了解法律,您遵守法律,并且他们的信息总是安全的。
10.HIPAA业务伙伴协议与网站主机
作为一个符合hipaa的网站,你必须商业伙伴协议与您使用的任何供应商。这包括您的站点主机。
这就是为什么许多站点主机不能与符合hipaa的站点一起工作的原因。一个需要这么多安全措施的网站需要更多的工作、监管和成本。因此,你几乎肯定会为符合hipaa的网站支付比标准网站更多的钱。但是如果您想要成功,您的站点主机至少需要一个。
现在我们已经看了符合hipaa的网站的10个因素,让我们看看他们是如何与标准网站相比较的。
标准的网站如何比较?
不佳。
典型的网站在传输信息时不会加密,也不需要使用数据备份来保护信息。它们还可能存在授权问题、漏洞或后门,使管理员和用户容易受到攻击。
大多数网站也不包括故障保护,显示何时有人访问或篡改了数据,这对任何符合hipaa的网站都是必不可少的。
它们也不加密存储的数据,通常也没有永久删除数据的选项,而且大多数服务器主机在不改变定价(甚至整个业务)的情况下无法遵守HIPAA的标准。
简而言之,标准的网站就是这样不符合HIPAA标准。
这对你意味着什么
如果你想让你的网站通过hipaa认证,你需要监督你的网站的每一个细节,以确保你是合规的。如果你不这样做,你就有违反HIPAA标准的风险,这是一个严重的问题,有几个原因。
首先,也是最明显的,这是法律。
其次,当人们看到或听说你违反了HIPAA的标准时,这会损害你的声誉。
最后,这会降低人们对你的信任。医疗保健是一个竞争激烈的行业,如果你的竞争对手在遵守HIPAA方面的记录毫无瑕疵,你就不能承担任何违约的后果。他们会看起来更好,而且他们会毫不费力地从你那里分流客户。
WebFX知道HIPAA的标准
在WebFX,我们有才华的网页设计师团队与几乎每个行业的客户都有过合作,包括医疗保健——因此我们对HIPAA的标准有经验。即使有所有的规定,我们已经帮助客户通过hipaa投诉网站获得成功,我们也可以为您做同样的事情!
你想要一个安全、可靠、功能强大的网站吗?联系我们今天开始规划您的企业符合hipaa网站!
