Backend HIPAA como serviço

Você está procurando um backend como serviço em conformidade com a HIPAA? Aqui está um guia detalhado que explica as vantagens e limitações do uso de um backend como serviço para processar dados PHI.

Este artigo explicará brevemente a HIPAA, seus requisitos, as entidades cobertas e os acordos legais necessários com os provedores de nuvem.

Além disso, ele explorará os benefícios e as limitações do uso de uma solução BaaS (Backend as a Service) para hospedar e processar informações de saúde protegidas.

Visão geral da HIPAA

O governo de Bill Clinton introduziu inicialmente a lei HIPAA em 1996. O acrônimo HIPAA significa Health Insurance Portability and Accountability Act (Lei de Portabilidade e Responsabilidade do Seguro de Saúde), uma lei federal dos Estados Unidos que define os padrões e as salvaguardas para proteger as informações de saúde dos pacientes.

O que são entidades cobertas?

As entidades cobertas são as organizações que devem estar em conformidade com as regras da HIPAA para proteger a privacidade dos dados PHI. Há três tipos de entidades cobertas detalhadas abaixo:

Que tipo de dados são protegidos pelos requisitos da HIPAA?

De modo geral, a HIPAA protege todos os dados confidenciais dos pacientes, incluindo nome, data de nascimento, número do seguro social, exames etc.

Um provedor de nuvem é uma entidade coberta?

Os provedores de nuvem NÃO são entidades cobertas, mas associados comerciais de acordo com a lei HIPAA. Abaixo está a definição de um associado comercial de acordo com o 45 CFR § 160.103.

Com base na definição acima, a HIPAA tratará um provedor de nuvem como um subcontratado que recebe, transmite e mantém dados de PHI.

O que é um BAA – Contrato de Associado Comercial?

Um BAA é um acordo legal entre uma Entidade Coberta e um Associado Comercial que detalha o acesso aos dados de PHI, as proteções, o processo de destruição de dados e as disposições para a rescisão do contrato.

Visão geral do backend como serviço

Backend as a Service ou BaaS é um serviço em nuvem que ajuda os desenvolvedores e as organizações a automatizar o desenvolvimento de backend por meio de blocos de construção prontos para uso e gerencia a infraestrutura do servidor.

Os benefícios de usar uma plataforma de backend como serviço dependem de um processo de desenvolvimento mais rápido, de uma equipe de desenvolvimento mais produtiva e de custos de engenharia reduzidos. As limitações estão relacionadas a um ambiente de codificação menos flexível e a nenhum acesso em nível de servidor.

Quais são os principais recursos do backend como serviço?

Os recursos mais importantes de um backend como serviço são um modelo de dados pronto para uso, APIs, funções sem servidor e armazenamento.

Os provedores de back-end como serviço são certificados pela HIPAA?

Não há certificação HIPAA para provedores de computação em nuvem, como plataformas de backend como serviço. As Entidades Cobertas e os provedores de nuvem trabalharão sob um modelo de responsabilidade compartilhada.

Por exemplo, os provedores de nuvem serão responsáveis por proteger a infraestrutura, como hardware, rede, armazenamento etc.

Exemplos de responsabilidades dos clientes são políticas de segurança adequadas, procedimentos de acesso ao sistema, processos de registro de auditoria, etc.

Quais são as vantagens de usar um backend como serviço para desenvolver um aplicativo em conformidade com a HIPAA?

Os requisitos da HIPAA são complexos, a implementação exigirá muito esforço de engenharia e é difícil de ser executada.

Por exemplo, os desenvolvedores de aplicativos podem se beneficiar do uso de um backend móvel para hospedar dados de saúde regulamentados pela HIPAA, desde a criptografia de dados em repouso e em trânsito, rotinas de backup, firewalls e procedimentos de recuperação de desastres.

As plataformas BaaS ou mBaaS funcionarão em aplicativos da Web e móveis e são adequadas para ambas as implementações. A terceirização da execução de back-end da HIPAA para um provedor de BaaS economiza tempo e custos e evita os problemas de implementar cada etapa diretamente em um provedor de infraestrutura.

Procurando um backend como serviço compatível com HIPAA?

O Back4App é uma excelente opção para o desenvolvimento de aplicativos hospitalares, portais de pacientes, aplicativos gerais de saúde etc.

A empresa confia na infraestrutura da AWS e implementa as seguintes salvaguardas para proteger os dados PHI:

• Arquitetura totalmente redundante para aplicativos de produção que processam dados PHI;
• Centros de dados baseados nos EUA;
• Criptografia de dados em trânsito;
• Criptografia de dados em repouso;
• Backups em várias regiões;
• Recuperação de desastres;
• Etc.

Para saber mais, agende uma teleconferência usando este link do calendário ou envie-nos um e-mail para [email protected].

Conclusão

Este artigo apresentou uma visão geral da HIPAA, os principais requisitos de segurança e conformidade, definições e exemplos de dados que devem ser protegidos.

Ele também ilustrou o tipo de contrato necessário entre uma entidade coberta e um provedor de nuvem, o modelo de responsabilidade entre as partes e as vantagens de usar um BaaS para a implementação da HIPAA.

Por fim, mostrou exemplos das proteções implementadas na Back4App para aplicativos relacionados à HIPAA.