HIPAA 合规云托管的基本步骤

---

HIPAA 是美国的一项国家标准化法律，旨在防止滥用患者的健康信息。美国所有与健康相关的企业都必须遵守这些规定。在云计算的背景下，HIPAA 合规性要求遵守一系列规则并确保不会发生数据泄露。这些规则总结如下：

• 加密非动态数据。

• 拥有审计跟踪。

• 确保数据不会丢失

• 确保高（理想情况下 100%）可用性

• 强大的分层安全控制和身份管理

• 用于访问控制的多因素身份验证

• 使用加密 VPN

• 业务关联协议 (BAA) 是强制性的

• 此外，建议使用 SSL 证书和 SSAE 18 证书。

实现 HIPAA 合规性的步骤

尽管由于没有官方的 HIPAA 认证，因此无法确定某个网站是否符合 HIPAA 标准，但在追求 HIPAA 合规性方面，仍然有一些重要的措施需要遵循。

步骤 1 - 拥有强大的防火墙和安全管理系统。

HIPAA 合规性要求系统范围内的防火墙，以及身份管理系统和用于访问的多因素身份验证。为此，使用符合 HIPAA 标准的基础设施即服务来处理安全问题可能是一个更好的主意。

步骤 2 - 避免使用公共云或混合云

使用公共云通常会导致许多安全漏洞。为了避免这些问题，最好获得一台专用服务器。

步骤 3 - 通过 VPN 进行安全通信

发送和接收数据的整个过程都应通过加密的 VPN 隧道进行保护。

步骤 4 - 对执行的每个操作进行审计

对数据上执行的每个操作都必须进行安全审计、记录并存储在分类账中。

步骤 5 - 确保 100% 的可用性

HIPAA 指南的另一项检查是，服务器应具有 100% 的正常运行时间，以便患者和医院可以 24x7 访问数据，并且不会有任何中断。为此，始终建议使用一台或多台服务器作为备用，以便如果一台服务器发生故障，仍然不会出现停机时间。

步骤 6 - 协议和认证

HIPAA 要求业务关联方（即开发人员）与使用其服务的实体（即医疗保健企业）签订协议。此协议称为 BAA，必须规定 BA 的责任，以确保数据的完全保护，BA 不得使用任何存储的数据，并且 BAA 遵循所有必要的 HIPAA 规定。

SSL 证书 - 安全套接字层 (SSL) 是一种数字证书，用于验证网站的身份。

SSAE 证书 - 鉴证业务标准声明 18 证书是用于审计组织的服务标准。

步骤 7 - 备份数据

HIPAA 还要求必须保护非动态数据并在符合 HIPAA 标准的异地位置进行存储。

步骤 8 - 数据处置

不再使用的应予删除，以免有任何恢复的可能性。

步骤 9 - 定期评估

必须定期评估上述所有步骤，并且评估过程必须有良好的记录。

结论

HIPAA 合规性最初看起来可能很麻烦，但它仅仅是关于确保数据安全和维护患者隐私。这些安全功能对于任何应用程序（不仅仅是医疗保健应用程序）来说都是行业标准。这些也可以自动化，但作为额外措施，建议由人工来监督这些因素。