Backend HIPAA come servizio

Siete alla ricerca di un backend as a service conforme alle norme HIPAA? Ecco una guida dettagliata che spiega i vantaggi e i limiti dell’utilizzo di un backend as a service per elaborare i dati PHI.

Questo articolo spiegherà brevemente l’HIPAA, i suoi requisiti, le entità coperte e gli accordi legali necessari con i fornitori di cloud.

Inoltre, si analizzeranno i vantaggi e i limiti dell’utilizzo di una soluzione BaaS – Backend as a Service per ospitare ed elaborare le informazioni sanitarie protette.

Panoramica sull’HIPAA

L’amministrazione di Bill Clinton ha inizialmente introdotto la legge HIPAA nel 1996. L’acronimo HIPAA significa Health Insurance Portability and Accountability Act, una legge federale degli Stati Uniti che definisce gli standard e le garanzie per proteggere le informazioni sanitarie dei pazienti.

Cosa sono le entità coperte?

Le entità coperte sono le organizzazioni che devono rispettare le norme HIPAA per proteggere la privacy dei dati PHI. Esistono tre tipi di entità coperte, elencati di seguito:

Che tipo di dati proteggono i requisiti HIPAA?

In generale, l’HIPAA protegge tutti i dati sensibili dei pazienti, tra cui nome, data di nascita, numero di previdenza sociale, esami, ecc.

Un fornitore di cloud è un’entità coperta?

I fornitori di cloud NON sono entità coperte ma associati d’affari ai sensi della legge HIPAA. Di seguito è riportata la definizione di Business Associate secondo il 45 CFR § 160.103.

In base alla definizione di cui sopra, l’HIPAA considererà un provider cloud come un subappaltatore che riceve, trasmette e conserva dati PHI.

Che cos’è un BAA (Business Associate Agreement)?

Un BAA è un accordo legale tra un’Entità coperta e un Associato d’affari che specifica l’accesso ai dati PHI, le salvaguardie, il processo di distruzione dei dati e le disposizioni per la risoluzione del contratto.

Panoramica del backend come servizio

Backend as a Service o BaaS è un servizio cloud che aiuta gli sviluppatori e le organizzazioni ad automatizzare lo sviluppo del backend tramite blocchi di costruzione pronti all’uso e a gestire l’infrastruttura del server.

I vantaggi dell’utilizzo di una piattaforma backend as a service si basano su un processo di sviluppo più rapido, un team di sviluppo più produttivo e una riduzione dei costi di progettazione. Le limitazioni riguardano un ambiente di codifica meno flessibile e l’assenza di accesso a livello di server.

Quali sono le caratteristiche principali del backend come servizio?

Le caratteristiche più importanti di un backend come servizio sono un modello di dati pronto all’uso, API, funzioni serverless e storage.

I fornitori di servizi backend as a service sono certificati HIPAA?

Non esiste una certificazione HIPAA per i fornitori di cloud computing, come le piattaforme backend as a service. Le entità coperte e i fornitori di cloud lavoreranno secondo un modello di responsabilità condivisa.

Ad esempio, i fornitori di cloud saranno responsabili della protezione dell’infrastruttura, come l’hardware, la rete, lo storage e così via.

Esempi di responsabilità dei clienti sono le politiche di sicurezza appropriate, le procedure di accesso al sistema, i processi di registrazione degli audit, ecc.

Quali sono i vantaggi dell’utilizzo di un backend as a service per sviluppare un’applicazione conforme alla normativa HIPAA?

I requisiti HIPAA sono complessi, l’implementazione richiede un grande sforzo ingegneristico ed è difficile da eseguire.

Ad esempio, gli sviluppatori di app possono trarre vantaggio dall’utilizzo di un backend mobile per ospitare dati sanitari regolamentati dalla normativa HIPAA, dalla crittografia dei dati a riposo e in transito, dalle routine di backup, dai firewall e dalle procedure di disaster recovery.

Le piattaforme BaaS o mBaaS funzionano su applicazioni web e mobili e sono adatte a entrambe le implementazioni. L’esternalizzazione dell’esecuzione del backend HIPAA a un fornitore BaaS consente di risparmiare tempo e costi e di evitare i problemi legati all’implementazione di ogni fase direttamente presso un fornitore di infrastrutture.

Cercate un backend conforme alle norme HIPAA come servizio?

Back4App è un’opzione eccellente per lo sviluppo di applicazioni ospedaliere, portali per i pazienti, applicazioni sanitarie in generale, ecc.

L’azienda affida l’infrastruttura ad AWS e implementa le seguenti misure di salvaguardia per proteggere i dati PHI:

• Architettura completamente ridondante per le applicazioni di produzione che elaborano dati PHI;
• Centri dati con sede negli Stati Uniti;
• Crittografia dei dati in transito;
• Crittografia dei dati a riposo;
• Backup multiregionale;
• Ripristino in caso di catastrofe;
• ecc.

Per saperne di più, programmate una teleconferenza utilizzando questo link del calendario o inviateci un’e-mail a [email protected].

Conclusione

Questo articolo ha fornito una panoramica dell’HIPAA, dei principali requisiti di sicurezza e conformità, delle definizioni e degli esempi di dati che devono essere protetti.

Ha inoltre illustrato il tipo di contratto richiesto tra un’entità coperta e un fornitore di cloud, il modello di responsabilità tra le parti e i vantaggi dell’utilizzo di un BaaS per l’implementazione HIPAA.

Infine, ha mostrato esempi delle misure di salvaguardia implementate da Back4App per le app legate all’HIPAA.