browser - 您可以创建符合HIPAA要求的Amazon S3 Web应用程序吗？

Question

在尝试使用ASP.NET MVC设计S3应用程序并保持与HIPAA兼容时，我面临一些问题。

我最初的计划是要求与我的Web服务器建立SSL连接，对服务器上的图像进行加密，然后使用我的私钥将其发送到s3。

这是我明显的担忧:

当客户端在浏览器中查看图像时，不能在任何临时文件缓存中存储未加密的图像。

即使我设置了ashx来一般处理内存中的图像，也无法将其存储在缓存中吗？

说图片将被加密，因为您将通过https连接到我的服务器仍然不能保证所有浏览器都不会缓存数据。

甚至不可能考虑带有到期选项的“查询字符串”，因为数据将在存储到s3之前先被加密，然后再次在我的服务器的内存中被解密。

我认为我唯一的选择是编写/购买某种ActiveX组件，该组件不会将图像公开为简单的html图像源，也不会将我的应用程序编写为客户端WinForm应用程序。

Answer 1

从表面上看，云计算似乎不太可能符合HIPAA。当实例由其他系统管理员托管在其他人的硬件上时，肯定无法满足the Security Rule吗？

但是，亚马逊已经针对该主题发布了白皮书:Creating HIPAA-compliant Medical Data Applications with AWS。这是一本值得一读的书，似乎可以解决主要问题。它的确以免责声明结尾:

"This white paper is not intended to constitute legal advice. You are advised to seek the advice of counsel regarding compliance with HIPAA and other laws that may be applicable to you and your business."

当然，从Das Interwebs随机获取的任何建议也同样适用。