YC 最近有一家名为 Truevault.com 的初创公司似乎很有趣,它允许您通过 API 将 JSON 文档存储在他们的数据库中,并且符合 HIPAA 标准。
我正在开发一个医疗保健应用程序,我想知道在 HIPAA 合规性方面哪个策略更好:
1) Heroku + Truevault - 最初部署更容易,但 Heroku 不会签署商业伙伴协议,所以即使我没有将 PHI 存储在 heroku 服务器上或暂时存储在那里,也不确定这是否真的符合 HIPAA。
2) 在 Amazon EC2 上运行所有内容 - 亚马逊将签署 BAA,所以这里没有问题,但必须自己进行服务器维护(而不是)
3) Heroku + Amazon S3 数据库 - 在 Heroku 上运行服务器,但将所有内容存储在 S3 上,Amazon 签署 BAA
任何有经验的人最合规又实用?提前致谢。
Aptible正在开发一个平台来做到这一点,即尽可能自动化 HIPAA 合规性,培训您自己需要做的事情,并让您在标准数据库和生态系统上构建系统。他们目前处于私人测试阶段。
免责声明:我与他们没有任何关系,但我今天确实遇到了创始人,他们是一群平易近人、聪明的人。
在不了解您的应用程序如何工作的细节的情况下,您很可能必须在 EC2 和其他亚马逊 Web 服务上运行您的所有应用程序。
Heroku 节点基本上是 EC2 实例,顶部有一点自动化,使其更像是一个平台而不是基础设施。但是,如果您所在的领域要求您的数据处理方式符合法律规定,那么无法完全控制可能是一件坏事。您可以使用 Chef 和 Puppet 等工具完成 heroku 的大部分自动化操作。
此外,如果您确实使用 EC2,请确保在 VPC 中配置您的基础设施是可行的方法。增加了一些额外的工作,但让您可以更好地控制对不同实例的网络访问。
S3 并不是真正的数据库,它是一个对象存储。它基本上是一个键/值存储,其键看起来像文件路径。它可以存储一些非常非常大的值。