YC最近有一家名为Truevault.com的创业公司,它允许您通过API将JSON文档存储在他们的数据库中,并且符合HIPAA标准。
我正在开发医疗保健应用程序,我想知道哪种方法在HIPAA合规方面更好:
1)Heroku + Truevault - 最初更容易部署,但Heroku不会签署业务伙伴协议,因此即使我不将PHI存储在heroku服务器上或临时存储在那里,也不确定这是否真的是HIPAA复杂的。< / p>
2)在Amazon EC2上运行所有内容 - 亚马逊将签署BAA,所以这里没有问题,但必须自己进行服务器维护(而不是)
3)Heroku + Amazon S3数据库 - 在Heroku上运行服务器,但将所有内容存储在S3,亚马逊以签署BAA
任何有经验的人都会更加合规而又实用吗?提前谢谢。
答案 0 :(得分:5)
Aptible正在开发一个平台来做到这一点,即尽可能自动化HIPAA合规性,培训您自己需要做的事情,并让您在标准数据库和生态系统上构建系统。他们目前处于私人测试阶段。
免责声明:我与他们没有联系,但我今天确实遇到了创始人,他们是一个平易近人,聪明的人。
答案 1 :(得分:3)
如果不了解您的应用程序的工作原理,您可能需要在EC2和其他亚马逊网络服务上运行所有应用程序。
Heroku节点基本上是EC2实例,顶部有一点自动化,使其更像是一个平台而不是基础设施。但是,如果您在一个需要合法处理数据处理的领域工作,那么没有完全控制可能是件坏事。您可以使用Chef和Puppet等工具完成heroku的大部分自动化操作。
此外,如果您确实使用EC2,请确保您的基础架构在VPC中配置是可行的方法。广告一些额外的工作,但让您更好地控制对不同实例的网络访问。
S3实际上不是一个数据库,它是一个对象存储。它基本上是一个键/值存储,其键看起来像文件路径。它可以存储一些非常大的值。