问题标签 [hipaa]

这个问题的出现是因为非常具体的 HIPAA 要求。涵盖实体 (CE) 例如医生不能使用云存储提供商 (CSP)，除非他们与 CSP 签订了商业伙伴协议(BAA)，即使数据已加密且 CSP 无权访问。我不是安全专家，但如果有 BAA，大多数网络主机的安全性都会 IMO 满足 HIPAA。

对于不存储电子受保护健康信息 (e-PHI) 的视频、ISP 和 USPS 的其他电子等效物有一个管道例外。

我不知道为什么，但是将签署 BAA 的网络主机收取 100-300 美元/月的非常基本的托管其他网站的费用为 5-15 美元/月。我认为他们是在利用对 CE 的无知，认为有很多钱在四处晃荡，放射学确实如此，但初级保健却不是。

G-Suite将执行 BAA，这使 G-Suite 成为一种价格合理的解决方案，用于收集受保护的健康信息 (PHI) 患者输入，同时保持 CE 符合 HIPAA。值得注意的是，“HIPAA 合规性”只是 CE 和电子病历的财产，而不是其他软件或网站的财产。任何其他声称“符合 HIPAA 合规性”的产品或服务都是在歪曲自己。

我发现 Google 协作平台不像大多数网络主机那样用户友好。安装 WP 插件或添加 SSL 证书等操作更少。或者，也许谷歌只是在解释如何使用托管在那里的网站实际做某事方面做得很糟糕。无论如何，在为业余爱好者管理软件和 WP 插件的网络主机上运行网站似乎更容易。我愿意接受这方面的教育。（24 小时后——我做了很多自学——见下面的答案。）

基本的 HIPAA 隐私要求相当简单：

• CE 可以使用 PHI 来处理和执行基本功能，但不得与无权使用它的任何人共享它。

基本的 HIPAA 安全要求也很简单：

1. 进行安全风险分析。
2. 实施合理的安全措施和
3. 记录为什么采取或不采取各种措施。

有些要素是必需的，有些则必须简单地处理、评估和记录。

例如，2FA 和数据加密一样是“可寻址的”，但需要进行分析、物理安全和员工培训。

所以我的问题是嵌入在另一个网络主机上的网站中的 G-Suite 表单是否会在该网络主机上存储任何数据，或者是否全部返回 G-Suite，例如 G-Drive，它是安全的并由 BAA 覆盖?

我有一个 SQL DB，其中包含PHI托管在AWS. 我想访问这些数据以执行分析，但是，我必须首先对数据进行去标识化以符合HIPAA.

我应该如何处理这个？我想到了几种方法：

1. 只需使用命令对数据库进行去标识化。SQL
2. 从现在开始，每次添加数据库时，将该数据的去识别版本添加到另一个数据库。然后访问此数据库进行分析。
3. 从现在开始，每次添加数据库时，将该数据的去识别版本添加到该数据库中的另一个表中。然后使用 SQL 命令访问此表以进行分析。

使用哪种方法来保持对 HIPAA 的合规性最好？或者，还有更好的方法？

谢谢！

我正在为一项与健康相关的应用程序确定技术堆栈。我们的目标是同样符合 HIPAA 要求。

绝对 Native 是一个不错的选择，但我正在从开发和维护的角度寻找具有成本效益的选择，这就是为什么要研究Flutter Framework的原因。它满足了大部分功能和技术需求。

我需要的答案，

• Flutter 框架本身有什么不符合 Hippa 的吗？
• 我目前看不到但人们在合规方面面临的任何挑战？
• 不使用 Firebase、Crashlytics 等流行的第三方？当然，在添加新包时，我们会进行分析，然后我们会添加它。

AWS 通常使用在创建实例时分配的 SSH 密钥来促进通过 ssh 访问 EC2 实例。然后，这些密钥通常会在管理团队之间共享以维护实例。为数千个 EC2 实例管理这些密钥本质上是困难的，因为密钥轮换很繁重，而且对谁可以使用密钥没有限制。

因此，在团队成员之间共享 EC2 ssh 密钥是否符合 HIPAA 和/或 Sox 标准？

我知道 Instance Connect 通过使用 IAM 在控制 ssh 访问方面做得更好，但令人惊讶的是，我还没有看到很多公司使用 Instance Connect。即使在需要 HIPAA 或 Sox 合规性的公司中，共享 ssh 密钥似乎也很普遍。

一切尽在标题中。

我一直在寻找一段时间，但无法得到明确的答案：像 Google 本身在其文档中声明它符合 HIPAA 标准。

如果不。为什么？什么是不合规的，有没有办法解决它？例如，通过在用户创建页面之外阻止 google cookie。

我正在设计一个使用Identity Platform和Firestore来存储客户的 PHI 记录的移动应用程序。Identity Platform和Firestore都被称为 Google Cloud BAA 涵盖的产品。该架构解决方案是否也适合 HIPAA？我在 Cloud Architecture Center https://cloud.google.com/architecture/authenticating-users-to-firestore-with-identity-platform-and-google-identities找到了一个教程，并希望确保该示例符合 HIPAA 要求.

我正在构建一个需要存储一些患者数据的项目，它应该符合 HIPAA 合规性，因为它是医疗信息。

是否可以在 2021 年使用 Cloud Firestore 或实时数据库等 Firebase 数据库来做到这一点？如果是这样，我如何为 Cloud Firestore 签署 BAA？

如果我的客户拥有 HIPAA 要求涵盖的数据，我可以使用自治数据仓库和/或自治事务处理吗？

我们的基础架构托管在 Google Cloud 上，并通过 Cloud SQL 使用 postgresql 实例

我需要为 HIPAA 合规性配置日志记录。我已阅读 Google 文档中的 2 篇文章：

https://cloud.google.com/logging/docs/audit/configure-data-access#config-console https://cloud.google.com/sql/docs/postgres/pg-audit#overview

第一个讨论从 IAM 中启用审计日志，这里我可以选择 Cloud SQL 并为数据和管理员启用 r+w 日志

第二个谈论 PgAudit 并设置以下标志pgaudit.log=all

我有一些问题：

1. IAM 日志和 PgAudit 有何不同，我应该同时启用两者还是这样做有冗余？
2. 对于使用 PgAudit 的 HIPAA 合规性，我应该记录all还是有其他有意义的值