O Firebase é compatível com o HIPAA?

Você está procurando uma infraestrutura compatível com a HIPAA? Aqui está um tutorial detalhado explicando as vantagens e limitações do uso do Firebase para processar dados PHI.

O artigo fornecerá inicialmente uma visão geral da HIPAA, os documentos legais necessários para cumprir os regulamentos de saúde e o tipo de dados que devem ser protegidos.

Além disso, explorará as vantagens de usar o Google Cloud Platform, Firestore e Cloud Functions para cumprir os requisitos da HIPAA e as limitações de outros serviços do Firebase em relação ao processamento de dados PHI.

Principais aprendizados

• A HIPAA exige um Contrato de Associado Comercial para processar dados de PHI;
• Os usuários podem assinar um Contrato de Associado Comercial com o Google Cloud Platform;
• O BAA não abrange todos os serviços do Firebase, mas o Firestore e o Cloud Functions.​

O que é HIPAA?

HIPAA significa Health Insurance Portability and Accountability Act, e os Estados Unidos o instituíram em 1996. Ele fornece privacidade de dados e requisitos de segurança para proteger informações médicas.

A lei abrange qualquer organização que lida diretamente com informações de saúde protegidas e inclui prestadores de serviços de saúde, planos de saúde e câmaras de compensação de saúde.

A lista de informações médicas protegidas é vasta e inclui nome do paciente, data de nascimento, endereço, Seguro Social, identificadores biométricos, condições físicas e mentais, etc.

De acordo com a Statista, as violações de dados de saúde têm aumentado nos últimos anos. Eles passaram de 250 em 2015 para 712 em 2021.

A Regra de Notificação HIPAA exige que as entidades cobertas e os parceiros de negócios notifiquem uma violação de dados de PHI não seguros.

O que é um BAA – Business Associate Agreement?

As entidades cobertas pela HIPAA geralmente realizam negócios com provedores não regulamentados, como empresas de contabilidade, provedores de nuvem, consultores etc.

Um Business Associate Agreement é um contrato legal entre uma entidade coberta e uma organização (ou indivíduo) que receberá, transmitirá ou armazenará dados de PHI. Aqui está um exemplo de um BAA.

Quais são alguns exemplos de aplicativos que podem exigir o cumprimento dos regulamentos HIPAA?

• Aplicativos de saúde em geral
• Aplicações hospitalares
• Portais de pacientes
• Painel de resultados
• Rastreador de sintomas
• Formulários de admissão do paciente
• Aplicativos de bate-papo
• etc.

O Firebase é compatível com HIPAA?

O Firebase faz parte do pacote de serviços do Google Cloud e fornece uma plataforma de desenvolvimento de aplicativos de ponta a ponta. Oferece produtos como bancos de dados, notificações, APIs, funções, análises, etc.

Um BAA é necessário entre a entidade coberta e o provedor de nuvem que oferece suporte a aplicativos relacionados à saúde como parte dos requisitos da HIPAA. O Firebase não tem um BAA diretamente, mas no Google Cloud Platform.

O contrato de associado comercial do Google Cloud abrange todas as regiões, caminhos de rede e pontos de presença. O BAA não abrange todos os produtos do GCP e está limitado aos produtos listados na página de conformidade da HIPAA.

Conforme detalhado abaixo, serviços como Firestore e Cloud Functions fazem parte do contrato de parceiro comercial do GCP. O BAA não cobre outros serviços como Realtime Database, Messaging, Crashlytics, etc., na data em que estou escrevendo este artigo.

Além do armazenamento de dados, outro aspecto essencial do desenvolvimento de um aplicativo está relacionado à autenticação de usuários. O Firebase fornece o Firebase Authentication para login em várias plataformas gratuitamente, mas, infelizmente, o BAA do GCP não cobre este produto.

De acordo com este post do Reddit, os usuários podem obter autenticação compatível com HIPAA usando a identidade do Google em vez do serviço de autenticação do Firebase.

De acordo com este post do StackOverflow, usar o Firestore com seu próprio método de autenticação é uma forma alternativa de atender aos requisitos da HIPAA.

O chat do Firebase é coberto pela HIPAA? Esta é uma pergunta comum feita por desenvolvedores.

A Virgil Security publicou um interessante que detalha como criar um aplicativo de bate-papo compatível com HIPAA usando o Firebase e um SDK criptografado de ponta a ponta. A forma como funciona é simples e elegante; ele criptografa dados no dispositivo do usuário e transfere apenas dados criptografados. Dessa forma, nenhum fornecedor poderá acessar os dados PHI. Para saber mais, leia o white paper.

Existe uma alternativa ao Firebase compatível com a HIPAA?

Se você estiver procurando por uma alternativa compatível com HIPAA para o Firebase, confira o Back4App. É uma plataforma low-code com produtos que incluem armazenamento de dados, APIs, funções sem servidor, SDKs, armazenamento de arquivos, etc.

A empresa oferece aos clientes a capacidade de executar BAAs em seus planos de recursos dedicados. Para mais informações, agende uma chamada.

Alguns exemplos das disposições de segurança disponíveis no Back4App são:

• Infraestrutura compatível com HIPAA

O Back4App usa a infraestrutura da AWS para processar, armazenar e transmitir informações de saúde protegidas. Como provedor de SaaS, o Back4App assina um BAA com a AWS e as entidades cobertas que usam o Back4App assinarão um contrato diretamente conosco.

• Criptografia de dados em repouso

A HIPAA exige a criptografia do PHI dos pacientes quando os dados estão em repouso. Assim, os dados armazenados em máquinas virtuais, sistemas de armazenamento de objetos, etc., exigem criptografia. O Back4App faz isso criptografando discos rígidos, buckets S3, backups etc.

• Criptografia de dados em trânsito

A HIPAA exige a criptografia do PHI dos pacientes quando os dados estão em trânsito. A comunicação dentro da infraestrutura do Back4App acontecerá usando os certificados SSL apropriados para garantir que não haja trânsito de dados PHI sem protocolos de criptografia adequados.

• Replicação de dados

Para obter alta disponibilidade e infraestrutura confiável, o Back4App executa um ambiente totalmente redundante para aplicativos de produção que exigem a assinatura de um BAA.

A arquitetura abrange um cluster de banco de dados com duas ou mais instâncias sincronizando dados em tempo real. Ele também oferece suporte a um cluster de aplicativos com duas ou mais instâncias processando solicitações.

• Desastres e Recuperação

O Back4App permite que os clientes façam backup de seus dados em várias regiões para garantir a continuidade dos negócios se uma região inteira da AWS ficar inoperante.

• Autenticação multifator

MFA ou autenticação multifator é um procedimento de autenticação que obriga o usuário a entregar dois ou mais elementos de validação para acessar uma conta.

Conclusão

A HIPAA fornece requisitos de privacidade e segurança de dados para proteger informações médicas desde 1996 e se aplica a entidades como prestadores de serviços de saúde, planos de saúde e câmaras de compensação.

Abrange informações médicas como nome do paciente, data de nascimento, endereço, SSN, identificadores biométricos, condições físicas e mentais, etc.

As entidades cobertas pela HIPAA que realizam negócios com provedores não regulamentados, como plataformas em nuvem, devem assinar um BAA definindo as regras que regerão o relacionamento e as salvaguardas para proteger as informações de saúde.

O Google Cloud Platforms oferece um conjunto de produtos compatíveis com HIPAA em todas as regiões, caminhos de rede e pontos de presença. A lista inclui Firestore e Cloud Functions, que são dois produtos essenciais do Firebase.

Outros produtos Firebase não fazem parte do contrato de parceiro comercial do GCP, não são adequados para lidar com informações de saúde protegidas e não são compatíveis com HIPAA.

O Back4App é uma alternativa confiável do Firebase HIPAA e pode assinar BAAs com clientes que desejam armazenar dados de PHI em seus planos de recursos dedicados. Para saber mais, por favor A empresa oferece aos clientes a capacidade de executar BAAs em seus planos de recursos dedicados.

FAQ