Security
實作者 建議應該 (SHOULD) 了解以下由 HL7 所公布之與 FHIR 交易相關的 安全考量,特別是與以下相關:
- 通訊(Communication)
- 驗證(Authentication)
- 授權/存取控制(Authorization/Access Control)
- 稽核登錄(Audit Logging)
- 數位簽章(Digital Signatures)
- 安全標籤(Security Labels)
- 說明(Narrative)
PPFHIR 主要提供授權/存取控制的替代方案,其實作細節如下:
- PPFHIR GitLab Repository: https://islab.cse.nsysu.edu.tw:6443/islab-public/ppfhir
- PPFHIR 主要由下列兩個機制組成與實現:
- Searchable Attribute-Based Encryption
- Homomorphic Encryption:
注意:PPFHIR 的機制僅提供存取控制之方法,存取控制人員相關規範等細節規範,請參考 FHIR 規範。
就 PPFHIR 而言,安全一致性要求如下:
- 系統必須(SHALL) 保留各種交易的稽核日誌(audit logs)
- 系統必須(SHALL) 符合FHIR通訊安全(Communications Security)要求
- 對於認證和授權,系統必須(SHALL) 支援用於用戶端<–>伺服器互動的 PPFHIR 授權存取控制(Authorization/Access Control)
- 系統必須(SHALL) 依據國家、地方和機構政策實作同意要求。業務夥伴協定(Business Associate Agreements)建議應該(SHOULD) 記錄系統相互同意的要求。
- 系統可以(MAY) 透過使用 PPFHIR 加密和相關存取控制來保護資料的機密性。