Come spedire, crittografare e inviare informazioni per l'uso da parte di utenti non tecnici? [chiuso]

1

Un mio amico medico vuole inviare rapporti via email ai suoi pazienti, ma non lo fa perché vuole solo che sia visualizzato dal paziente. Qualche raccomandazione? Sto pensando che le possibili soluzioni potrebbero essere:

  1. E-mail crittografata : Crittografare l'email utilizzando le chiavi private / pubbliche. Penso che questo potrebbe essere troppo difficile per il paziente destinatario.

  2. Allegato crittografato : Crittografare il file (non l'e-mail) utilizzando alcuni software e una frase per la chiave e fornire la frase al paziente di persona o al telefono. Il paziente (che sicuramente usa Windows o Apple e non Linux), tuttavia, dovrebbe avere accesso al software.

    Immagino che un collegamento per scaricare il software funzionerebbe, ma probabilmente non desiderabile. Windows e Apple hanno questa funzionalità incorporata? O magari comprimerlo e crittografarlo, oppure avvolgere il file in alcuni dei file eseguibili quando viene cliccato per estrarlo?

O forse qualcos'altro?

email  encryption 
user1032531
fonte
a) basta inviare l'e-mail, l'utente deve già autenticarsi quando riceve le e-mail b) impostare una pagina Web con l'autenticazione basata sul paziente
Ipor Sircer
Se si desidera crittografare l'allegato, utilizzare software esistente come WinZip, ma qualsiasi altra soluzione sarebbe più complicata evitando di farlo correttamente e crittografando l'e-mail stessa
Ramhound
@Ramhound E in che modo un paziente dall'altra parte si occuperà della crittografia dei file Zip? Nella mia esperienza, male nella migliore delle ipotesi. E con le password trasmesse per telefono? Boy howdy! Mess city!
JakeGould
Devi solo aprire l'archivio. Winzip gestisce la crittografia. Non ho detto che fosse una buona idea, ma le alternative sono più complicate delle implementazioni di crittografia delle e-mail
Ramhound
4
Se pensi che i destinatari non saranno in grado di decomprimere o decrittografare un allegato, allora sei fondamentalmente SOL quando si tratta di e-mail. Se il medico non si fida della posta elettronica, non utilizzare l'e-mail; utilizzare un server Web, report in PDF e accessi per i pazienti.
Ƭᴇcʜιᴇ007

Risposte:

1
  1. finestre Ufficio , LibreOffice e altre suite per ufficio offrono a Salva come.. dialogo con Parola d'ordine come opzione Salva il messaggio come documento con password e allega l'e-mail.

Writer Save As dlg Writer Password dlg

SIGNORINA Ufficio / Open Office / LibreOffice DOCX tutti usano Microsoft Enhanced RSA e AES Cryptographic Provider (piuttosto che il più sicuro Provider crittografico Microsoft AES ), che fornisce la crittografia RSA e triple-DES, ma non AES-256 o superiore. Pertanto, la crittografia DOCX ha solo una forza moderata, e può o non può essere conforme HIPAA .

  1. Le applicazioni di compressione come 7-Zip e PeaZip offrono la crittografia fino a AES-256 e può crittografare e comprimere più documenti contemporaneamente, ad es. TIFF a raggi X, DOC di sintesi OV ecc. Questo è più sicuro e anche più efficiente rispetto all'utilizzo della crittografia di ciascuna applicazione. È anche più semplice per il destinatario che dovrebbe inserire solo una password per aprire tutti i file nell'archivio. È stata la mia esperienza che i vari strumenti Zip sono anche compatibili, anche attraverso il sistema operativo - ad esempio, 7-Zip i file crittografati con il sistema operativo Windows possono essere aperti in Ubuntu responsabile dell'archivio .

7-Zip encryption dlg

Come dichiari, la password dovrebbe essere fornita tramite un mezzo diverso dall'email, ad es. fax o telefono. Il migliore potrebbe essere chiamare il destinatario dopo l'e-mail viene ricevuta e resta al telefono per parlare attraverso il processo di decodifica.

DrMoishe Pippik
fonte
Windows Office e LibreOffice sono compatibili e funzionerebbero anche con l'equivalente di Apple? Non tutti hanno 7-Zip, ecc, il che potrebbe renderlo difficile, ma penso che sia una buona opzione.
user1032531
LibreOffice può salvare i file nei formati DOC e DOCX, quindi sarebbe compatibile. Anche la crittografia di vari strumenti Zip sembra essere compatibile, dalle mie osservazioni, anche attraverso il sistema operativo: ad esempio, i file 7-Zip crittografati con il sistema operativo Windows possono essere aperti nel gestore degli archivi di Ubuntu.
DrMoishe Pippik
1
La sua banale forza bruta costringe una password di documento Word. È necessario assicurarsi che il documento sia effettivamente crittografato se non si utilizza Office per crittografare il documento
Ramhound
Non è vero per il formato DOCX, che è formato PKZIP e crittografato. Forse vero per il formato DOC antico. Dai un'occhiata agli stessi file DOCX salvati senza crittografia vs. enciclopedia.
DrMoishe Pippik
0

Per prima cosa suggerisci questo:

"Cripta l'email usando chiavi private / pubbliche."

Quindi suggerisci questo:

"Cifra il file (non l'e-mail) usando un software e una frase per la chiave, e dai la frase al paziente di persona o al telefono".

Le possibilità che entrambe le soluzioni funzionino per pazienti medi sono del 100% zero. La maggior parte delle persone non capisce cosa sia la crittografia PGP / GPG e l'invio di un allegato crittografato e quindi dare una password al telefono è un disastro in attesa di accadere.

Detto questo, penso che l'unica soluzione che potrebbe praticamente funzionare sarebbe un PDF crittografato con protezione tramite password. Il PDF può essere inviato come allegato e una password può essere passata per telefono, posta o anche e-mail.

Ma questo ha detto anche questo; l'enfasi è mia:

Un mio amico medico vuole inviare rapporti via email ai suoi pazienti, ma non lo fa come lei vuole solo che sia visualizzato dal paziente .

Alla fine della giornata, puoi solo controllare come bloccare qualcosa, ma non puoi impedire a nessuno di vedere il contenuto se la persona dall'altra parte è sciatta con l'archiviazione delle password. Ciò significa che un PDF crittografato è una buona soluzione, ma se il paziente lascia la password su una nota PostIt ™ sulla propria scrivania o la stampa fuori, non c'è nulla che impedisca a chiunque nelle vicinanze di leggere quel contenuto.

Naturalmente, questo è un rischio previsto, ma ho pensato che sarebbe meglio menzionarlo. Alla fine della giornata il meglio che puoi sperare è proteggere il PDF in trasmissione da un medico all'altro; passato che tutte le scommesse sono spente.

E FWIW, l'HIPAA (Legge sulla portabilità e responsabilità in materia di assicurazione sanitaria) consente l'uso delle e-mail comunicare con i pazienti per quanto riguarda la loro assistenza indipendentemente dal fatto che l'e-mail sia crittografata o non crittografata; l'enfasi è mia:

La regola sulla privacy HIPAA consente ai fornitori di servizi sanitari di utilizzare la posta elettronica per discutere problemi di salute e trattamento con i loro pazienti?

Sì. La regola sulla privacy consente ai fornitori di servizi sanitari coperti di comunicare elettronicamente, ad esempio tramite e-mail, con i propri pazienti, a condizione che applichino ragionevoli garanzie in tal senso. Vedi 45 C.F.R. § 164.530 (c). Ad esempio, potrebbe essere necessario prendere alcune precauzioni quando si utilizza la posta elettronica per evitare divulgazioni involontarie, come la verifica dell'accuratezza dell'indirizzo e-mail prima dell'invio o l'invio di un avviso e-mail al paziente per la conferma dell'indirizzo prima di inviare il Messaggio. Inoltre, mentre la Regola di riservatezza non vieta l'uso di e-mail non crittografate per le comunicazioni relative al trattamento tra operatori sanitari e pazienti, dovrebbero essere applicate altre salvaguardie per proteggere ragionevolmente la privacy, ad esempio limitando la quantità o il tipo di informazioni divulgate attraverso il e-mail non cifrata. Inoltre, le entità coperte vorranno garantire che qualsiasi trasmissione di informazioni sanitarie elettroniche protette sia conforme ai requisiti della norma di sicurezza HIPAA a 45 C.F.R. Parte 164, sottoparte C.

Apparentemente Requisiti della norma di sicurezza HIPAA a 45 C.F.R. Parte 164, Sottoparte C può essere trovato da qualche parte qui , ma non riesco a trovare le specifiche.

JakeGould
fonte
Grazie Jake, esaminerò questo. Capisco il tuo punto riguardo il comportamento sciatto della sicurezza personale, ma non si può fare molto. Attualmente, dà fisicamente al paziente il documento, ma chi dice che non lo metterà a faccia in su sulla scrivania al lavoro?
user1032531
@ user1032531 "Attualmente, dà fisicamente al paziente il documento, ma chi dice che non lo metterà a faccia in su sulla scrivania al lavoro?" Esattamente. Ecco perché ho detto, "Certo, è un rischio previsto, ma ho pensato che sarebbe meglio menzionarlo." Perché l'altro aspetto del problema con cui ci si confronta è l'aspettativa di alcune persone che la tecnologia possa magicamente impedire che aspetti chiave del comportamento umano, come la sciatteria, si manifestino in un processo. Alla fine della giornata il meglio che puoi sperare è proteggere il PDF in trasmissione da un medico all'altro; passato che tutte le scommesse sono spente.
JakeGould
1
Le leggi HIPAA sono estremamente severe.
Ramhound
@Ramhound Buon consiglio! Modificherà per aggiungere informazioni ufficiali su questo.
JakeGould
1
Il fornitore che genera il rapporto richiede quasi certamente alcune informazioni dal paziente per autenticarle prima di fornire cure, fornire informazioni, ecc. La maggior parte delle volte sembra essere solo la data di nascita, ma immagino che il fornitore abbia anche per esempio numero di Social Security. Potrebbero usarlo come password per un PDF crittografato e in e-mail in chiaro, dire al destinatario di usare il loro SS # come password. Indicare nell'e-mail che è necessario Acrobat Reader per aprire il PDF e includere un collegamento al programma di installazione di Reader.
Steve Rindsberg
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.