是否可以在符合HIPAA标准的Heroku上运行应用程序?更具体地说,我需要两个应用程序,一个用于存储成员信息,另一个用于存储成员的私人健康信息。我打算使用非对称和对称密钥加密非对称加密敏感数据,以便将成员链接到其他应用程序上的敏感数据,并对成员应用程序中的特定字段进行对称,例如姓名,电子邮件地址和电话。我主要担心Heroku的任何人都可以打破非对称加密,因为他们可以访问这两个应用程序(和私钥)。我是否正确地关注这一点,或者Amazon EC2的基础设施是否阻止Heroku员工访问这两个应用程序?
答案 0 :(得分:7)
亚马逊有一份关于HIPAA与AWS合规的白皮书(只是谷歌AWS Hipaa合规性),他们在那里谈论他们的HIPAA真诚。例如,AWS系统管理员无法直接登录客户操作系统映像。
据我所知,Heroku没有分享他们如何保护个人客户账户的详细信息。
答案 1 :(得分:3)
HIPAA合规涉及许多不同领域,包括不仅仅是技术。特别是关于HIPAA中的技术要求,有很多要求,但是你最明显不能满足Heroku的要求是:
164.314组织要求。 (B)(B)根据164.308(b)(2),确保代表业务伙伴创建,接收,维护或传输电子保护健康信息的任何分包商同意遵守本子部分的适用要求签订合同或符合本条的其他安排;
你需要Heroku的BAA。 HIPAA在定义分包商和业务伙伴时不区分加密和未加密数据。为了更好地了解HIPAA所需的所有内容,这里有一个全面的列表 - https://catalyze.io/hipaa/。希望有所帮助。
答案 2 :(得分:2)
Heroku告诉我他们目前不会签署业务伙伴协议,所以如果你在服务器上存储任何PHI,就不可能符合HIPAA。
答案 3 :(得分:1)
Heroku已宣布他们的盾牌帐户将提供HIPAA compliance。
从链接
The Shield Private Dyno includes an encrypted ephemeral file system
and restricts SSL termination from using TLS 1.0 which is considered
vulnerable. Shield Private Postgres further guarantees that data is
always encrypted in transit and at rest. Heroku also captures a high
volume of security monitoring events for Shield dynos and databases
which helps meet regulatory requirements without imposing any extra
burden on developers.
这可能会也可能不会消除对BAA,谅解备忘录等的需求。