我想在医疗保健应用程序中使用Firebase云消息传递。我想知道FCM HIPAA是否合规,它是否提供BAA?
答案 0 :(得分:8)
我们刚刚与第三方(使用端到端加密)的Firestore Chat示例应用程序(iOS和Android)完成了HIPAA审核。如果您要实施医疗保健聊天应用程序,请继续阅读。否则,这无关紧要。
挑战:如果您知道E2EE的工作原理,那么您就会意识到,仅凭E2EE就能保护您的患者数据免受Firebase / Firestore的侵害:显然,律师对此并不认同。因此,我们必须实施一种人工数据编辑,以在消息传递后立即从Firestore中删除聊天消息。这使您的应用有资格获得HIPAA的管道例外,因为它仅充当消息传递系统,不存储永久的运行状况数据。这样,您的聊天解决方案就不需要HIPAA。
我们已将该解决方案整理到一个“如何做”博客文章中:https://VirgilSecurity.com/hipaa-firebase-包含可重复使用的示例应用程序的指针。
包含我们的HIPAA审核和第三方数据隐私专家说明的白皮书:https://VirgilSecurity.com/firebase-whitepaper
答案 1 :(得分:3)
根据联合创始人的说法,截至目前,Firebase并不符合HIPAA标准。
您可以在此处查看更新:https://groups.google.com/forum/#!topic/firebase-talk/sg-WCHVXs5k