【发布时间】:2010-11-30 05:06:38
【问题描述】:
我想知道是否有任何标准用于加密数据库中的敏感数据,这些标准符合 SOX 或 HIPAA。或者是否需要 SQLServer 中的加密功能?或在业务逻辑中处理。
我们有任何想法或链接。
【问题讨论】:
标签: sql-server encryption hipaa
【发布时间】:2010-11-30 05:06:38
【问题描述】:
首先,Google 的 HIPAA 合规性
还有这个http://www.hipaa.ihs.gov/index.cfm?module=compliance_packet
最后,咨询贵公司的法律顾问。由于您的整个 HIPAA 合规策略都是基于 StackOverflow 上的响应,因此未能妥善保护 PHI 将使您的公司在败诉时损失数百万美元。
【讨论】:
在我所在的一家公司,为了保护信用卡合规,他们创建了一个密钥,然后用大锤摧毁了该硬盘驱动器,因此没有人可以获取创建该密钥的信息。
虽然他们使用的是 Oracle DB,但他们创建了自己的密钥来加密信用卡。
对于 HIPAA 合规性,我不相信数据库完成的任何加密,因为它可能没有您需要的安全性,而且您的公司可能会出现任何故障。
最好的办法是自己控制密钥,而不是在数据库或服务器中拥有密钥。
在应用程序或服务器应用程序启动时需要输入密钥,但是,正如 S.Lott 指出的那样,您的法律顾问将需要参与审查设计,以确保所有问题都已涵盖。
【讨论】:
SQL Server 2008 加密 API 已通过通用标准合规性认证:Common Criteria Certification。
【讨论】: