问保护敏感用户数据、医疗保健SaaS

EN

听起来你有点不知所措，对安全漏洞的期望是不可接受的。前往US HHS Web Site - Health Information Privacy，至少开始阅读美国的数据管理需求。

到目前为止，您列出的内容几乎没有问题。

首先，你可能需要做更多的事情，而不仅仅是加盐和散列你的密码。你应该使用像bcrypt这样的自适应散列算法。通常哈希被设计为非常快，这不是一个非常安全的属性，因为它启用了暴力攻击。像bcrypt这样的东西被设计得慢得多，以防止这些攻击(但仍然足够快，不会导致性能问题)。

接下来，您不能以纯文本存储医疗数据。许多医疗机构甚至不会考虑使用你的软件，除非所有的“静态”数据都是加密的。这意味着您需要以加密的形式存储所有数据。这显然也适用于发送数据。

有关更多信息，请查看HIPAA，它讨论了您可以、不能和不应该对医疗数据做什么。如果您想在任何地方销售此软件，满足HIPAA要求几乎肯定是一个要求。

从更个人化的角度来看，您应该考虑遵循Healthcare Industry堆栈交换建议。这将是一个提出这样的问题的好地方，有许多健康It领域的专家提供帮助。