是否可以在 Heroku 上运行符合 HIPAA 的应用程序?更具体地说,我需要两个应用程序,一个存储会员信息,另一个存储会员的私人健康信息。我打算使用非对称和对称密钥加密来加密敏感数据——非对称密钥用于将成员与其在另一个应用程序上的敏感数据链接起来,而对称密钥用于成员应用程序中的特定字段,例如姓名、电子邮件地址和电话。我主要担心 Heroku 的任何人都可以破解非对称加密,因为他们可以访问这两个应用程序(和私钥)。我担心这一点是正确的,还是 Amazon EC2 的基础设施阻止 Heroku 员工访问这两个应用程序?
问问题
3694 次
4 回答
7
亚马逊有一份关于 HIPAA 与 AWS 合规性的白皮书(只是谷歌 AWS Hipaa 合规性),他们在其中谈论了他们的 HIPAA 善意。例如,AWS 系统管理员没有对客户操作系统映像的直接登录访问权限。
据我所知,Heroku 没有分享他们如何保护个人客户账户的细节。
于 2010-11-29T23:07:43.827 回答
3
HIPAA 合规性涉及许多不同的领域,不仅包括技术。特别是关于 HIPAA 中的技术要求,有很多要求,但 Heroku 最明显不能满足的要求是这个:
164.314 组织要求。(B) (B) 根据 164.308(b)(2),确保代表业务伙伴创建、接收、维护或传输受保护的电子健康信息的任何分包商同意遵守本子部分的适用要求订立符合本条的合约或其他安排;
您需要 Heroku 的 BAA。HIPAA 在定义分包商和业务伙伴时不区分加密数据和未加密数据。为了更好地了解 HIPAA 所需的所有内容,这里有一个完整的列表 - https://catalyze.io/hipaa/。希望有帮助。
于 2014-06-06T21:01:41.263 回答
2
Heroku 告诉我他们目前不会签署商业伙伴协议,因此如果您在服务器上存储任何 PHI,就不可能符合 HIPAA。
于 2014-04-03T20:29:09.207 回答
1
Heroku 已宣布他们的 Shield 帐户将提供 HIPAA合规性。
从链接
The Shield Private Dyno includes an encrypted ephemeral file system
and restricts SSL termination from using TLS 1.0 which is considered
vulnerable. Shield Private Postgres further guarantees that data is
always encrypted in transit and at rest. Heroku also captures a high
volume of security monitoring events for Shield dynos and databases
which helps meet regulatory requirements without imposing any extra
burden on developers.
这可能会或可能不会消除对 BAA、MOU 等的需求。
于 2018-01-18T20:39:26.647 回答