HIPAAに準拠したHerokuでアプリを実行することは可能ですか?具体的には、メンバー情報を保存するアプリと、メンバーの個人の健康情報を保存するアプリの2つが必要です。非対称キー暗号化と対称キー暗号化の両方を使用して機密データを暗号化する予定です。メンバーを他のアプリの機密データとリンクするキーでは非対称であり、名前、メールアドレス、電話などのメンバーアプリの特定のフィールドでは対称です。私の主な懸念は、Herokuの誰もが両方のアプリ(および秘密鍵)にアクセスできるため、非対称暗号化を破ることができるということです。これについて心配するのは正しいですか、それともAmazon EC2のインフラストラクチャにより、Herokuスタッフが両方のアプリにアクセスできなくなりますか?
3694 次
4 に答える
7
Amazonには、AWSへのHIPAAコンプライアンス(Google AWS Hipaaコンプライアンスのみ)に関するホワイトペーパーがあり、HIPAAの善意について説明しています。たとえば、AWSシステム管理者は顧客のOSイメージに直接ログインアクセスできません。
私の知る限り、Herokuは個々の顧客アカウントを保護する方法の詳細を共有していません。
于 2010-11-29T23:07:43.827 に答える
3
HIPAAコンプライアンスには、テクノロジーだけでなく、さまざまな分野が含まれます。特にHIPAA内の技術要件に関しては、多くの要件がありますが、Herokuで最も明らかに満たすことができないのは、次の要件です。
164.314組織の要件。(B)(B)164.308(b)(2)に従い、ビジネスアソシエイトに代わって電子的に保護された健康情報を作成、受信、維持、または送信する下請け業者が、このサブパートの該当する要件に準拠することに同意することを確認しますこのセクションに準拠する契約またはその他の取り決めを締結することによって。
HerokuのBAAが必要です。HIPAAは、下請け業者とビジネスアソシエイトを定義するときに、暗号化されたデータと暗号化されていないデータを区別しません。HIPAAに必要なすべてのことを理解するために、ここに包括的なリストがあります-https ://catalyze.io/hipaa/。お役に立てば幸いです。
于 2014-06-06T21:01:41.263 に答える
2
Herokuは、現時点ではビジネスアソシエイト契約に署名しないと言っています。そのため、サーバーにPHIを保存すると、HIPAAに準拠することはできません。
于 2014-04-03T20:29:09.207 に答える
1
Herokuは、HIPAAコンプライアンスを提供するShieldアカウントを発表しました。
リンクから
The Shield Private Dyno includes an encrypted ephemeral file system
and restricts SSL termination from using TLS 1.0 which is considered
vulnerable. Shield Private Postgres further guarantees that data is
always encrypted in transit and at rest. Heroku also captures a high
volume of security monitoring events for Shield dynos and databases
which helps meet regulatory requirements without imposing any extra
burden on developers.
それはBAA、MOUなどの必要性を取り除くかもしれないし、しないかもしれません。
于 2018-01-18T20:39:26.647 に答える