Security

實作者 建議應該 (SHOULD) 了解以下由 HL7 所公布之與 FHIR 交易相關的 安全考量,特別是與以下相關:

PPFHIR 主要提供授權/存取控制的替代方案,其實作細節如下:

注意:PPFHIR 的機制僅提供存取控制之方法,存取控制人員相關規範等細節規範,請參考 FHIR 規範。

就 PPFHIR 而言,安全一致性要求如下:

  • 系統必須(SHALL) 保留各種交易的稽核日誌(audit logs)
  • 系統必須(SHALL) 符合FHIR通訊安全(Communications Security)要求
  • 對於認證和授權,系統必須(SHALL) 支援用於用戶端<–>伺服器互動的 PPFHIR 授權存取控制(Authorization/Access Control)
  • 系統必須(SHALL) 依據國家、地方和機構政策實作同意要求。業務夥伴協定(Business Associate Agreements)建議應該(SHOULD) 記錄系統相互同意的要求。
  • 系統可以(MAY) 透過使用 PPFHIR 加密和相關存取控制來保護資料的機密性。