HIPAA et stockage

des procédures de sauvegarde et de restauration, et bien entendu qui peut demander au service informatique de restaurer les données.

Tous les schémas de protection de données n’imposent pas ce niveau de sécurité d’accès. Mais dans un environnement régi par HIPAA, la sécurité d’accès doit être la priorité de toute solution de protection, sauvegarde et restauration de données. Il faut donc traduire les diverses exigences de HIPAA en matière de protection administrative, physique et technique, en actions liées au stockage. Cela va du genre de stratégies et de procédures écrites appliquées au stockage en réseau, aux possibilités de cryptage de données de type physique, au niveau du serveur de stockage.

Les exigences de HIPAA affectent les stratégies de stockage pendant tout le cycle de vie de l’équipement, du moment de l’introduction dans le réseau jusqu’à la manière dont l’équipement est utilisé, dans le but de protéger la confidentialité des données stockées sur ce matériel. En matière de gestion du stockage, l’une des principales préoccupations de HIPAA est de protéger les données stockées contre tout accès non autorisé. Tout le reste est secondaire, parce que si la condition première n’est pas remplie, l’entreprise peut être poursuivie. Cette mission de protection des données stockées concerne clairement les administrateurs. Ils doivent veiller à effacer les traces qu’un fichier laisse dans l’ordinateur.

Fichiers temporaires, copies de fichiers sur les ordinateurs client, bandes de sauvegarde retirées, ou toute autre trace d’anciennes données, doivent être effacés. Il ne suffit pas de supprimer tous les fichiers, mais aussi des informations telles que les références aux fichiers, tous les éléments de données aléatoires sur disque, et les ACL. Bien que la protection des données contre tout accès non autorisé soit toujours dans l’esprit de l’administrateur, les exigences de HIPAA compliquent considérablement les pratiques de stockage courantes.

Même une suppression de fichier n’est plus aussi simple, et les stratégies et procédures de stockage doivent incarner cette réalité. Tout simplement, les exigences de HIPAA changent l’état d’esprit en matière de gestion du stockage et affectent toutes les activités informatiques en réseau. Compte tenu de l’environnement médical moderne, cela signifie que les règles et procédures de gestion du stockage s’appliquent horizontalement en traversant les diverses applications verticales.