我正在设计一个使用Identity Platform和Firestore来存储客户的 PHI 记录的移动应用程序。Identity Platform和Firestore都被称为 Google Cloud BAA 涵盖的产品。该架构解决方案是否也适合 HIPAA?我在 Cloud Architecture Center https://cloud.google.com/architecture/authenticating-users-to-firestore-with-identity-platform-and-google-identities找到了一个教程,并希望确保该示例符合 HIPAA 要求.
问问题
25 次
1 回答
0
在本机上,一旦登录,用户就能够读取和访问与身份平台相关联的信息,这还包括与用户相关联的任何自定义声明。除此之外,用户通常由他们的 UID 标识,并且只有基本信息存储在他们的身份验证对象(电子邮件、电话号码)上,这些都不符合 HIPAA 要求。
HIPAA 主要与医疗记录本身相关联,这是个人信息、文档和其他记录存储在您的数据库(实时数据库、Firestore、存储)中的位置
允许访问这些文档将使您的架构符合 HIPAA 标准,并且可以通过多种方式完成,包括云功能、从项目应用程序内部直接访问或加密电子邮件。
构建符合 HIPAA 的数据库的结构是将所有记录数据作为子节点添加到用户 UID:例如users/user_id/records.json
users:{
user_id:{
profile:{
address: "blank street",
name: "John Smith"
},
records:{
record_id:{
date:"some date"
doctor: "Jane Dohne"
other:"fields"
}
}
}
安全规则
{
"rules": {
"users": {
"$uid": {
".read": "auth != null && auth.uid == $uid"
}
}
}
}
于 2021-08-04T04:07:44.637 回答