HIPAA Backend как услуга

Вы ищете бэкенд как сервис, соответствующий требованиям HIPAA? Здесь представлено подробное руководство, объясняющее преимущества и ограничения использования бэкенда в качестве сервиса для обработки данных PHI.

В этой статье мы кратко расскажем о HIPAA, ее требованиях, покрываемых организациях и необходимых юридических соглашениях с поставщиками облачных услуг.

Далее будут рассмотрены преимущества и ограничения использования решения BaaS – Backend as a Service для размещения и обработки защищенной медицинской информации.

Обзор HIPAA

Администрация Билла Клинтона представила закон HIPAA в 1996 году. Аббревиатура HIPAA означает Health Insurance Portability and Accountability Act (Закон о переносимости и подотчетности медицинского страхования) – федеральный закон США, определяющий стандарты и гарантии защиты медицинской информации пациентов.

Что такое “покрываемые организации”?

Покрываемые организации – это организации, которые должны соблюдать правила HIPAA для защиты конфиденциальности данных PHI. Существует три типа покрываемых организаций, о которых подробно рассказано ниже:

Какой тип данных защищают требования HIPAA?

Вообще говоря, HIPAA защищает все конфиденциальные данные пациента, включая имя, дату рождения, номер социального страхования, результаты обследований и т. д.

Является ли провайдер облачных вычислений покрываемой организацией?

Поставщики облачных услуг не являются покрываемыми организациями, а являются деловыми партнерами в соответствии с законом HIPAA. Ниже приведено определение делового партнера в соответствии с 45 CFR § 160.103.

Исходя из приведенного выше определения, HIPAA будет рассматривать поставщика облачных услуг как субподрядчика, который получает, передает и хранит данные PHI.

Что такое BAA – соглашение о сотрудничестве с бизнесом?

BAA – это юридическое соглашение между организацией с покрытием и бизнес-ассоциированным лицом, в котором подробно описывается доступ к данным PHI, меры безопасности, процесс уничтожения данных и положения о прекращении действия договора.

Обзор бэкенда как услуги

Backend as a Service или BaaS – это облачный сервис, который помогает разработчикам и организациям автоматизировать разработку бэкенда с помощью готовых строительных блоков и управляет серверной инфраструктурой.

Преимущества использования платформы backend as a service заключаются в ускорении процесса разработки, повышении продуктивности команды разработчиков и снижении затрат на проектирование. Ограничения связаны с менее гибкой средой кодирования и отсутствием доступа на уровне сервера.

Каковы основные особенности бэкенда как услуги?

Наиболее важными характеристиками бэкенда как сервиса являются готовая модель данных, API, бессерверные функции и хранилище.

Сертифицированы ли поставщики бэкэнд-услуг по стандарту HIPAA?

Сертификация HIPAA для поставщиков облачных вычислений, таких как платформы “бэкэнд как услуга”, не предусмотрена. Покрываемые организации и поставщики облачных вычислений будут работать по модели совместной ответственности.

Например, поставщики облачных услуг будут отвечать за защиту инфраструктуры, такой как аппаратное обеспечение, сети, хранилища и т. д.

Примерами ответственности клиентов являются соответствующие политики безопасности, процедуры доступа к системе, процессы регистрации аудита и т. д.

В чем преимущества использования бэкенда как услуги для разработки приложения, соответствующего требованиям HIPAA?

Требования HIPAA сложны, их выполнение потребует больших инженерных усилий, и их трудно выполнить.

Например, разработчики приложений могут извлечь выгоду из использования мобильного бэкэнда для размещения медицинских данных, регулируемых HIPAA, от шифрования данных в состоянии покоя и при передаче, процедур резервного копирования, брандмауэров и процедур аварийного восстановления.

Платформы BaaS или mBaaS работают с веб-приложениями и мобильными приложениями и подходят для обеих реализаций. Передача выполнения HIPAA бэкэнда поставщику BaaS позволяет сэкономить время и средства и избежать хлопот, связанных с реализацией каждого этапа непосредственно у поставщика инфраструктуры.

Ищете бэкэнд, соответствующий требованиям HIPAA, в качестве услуги?

Back4App – отличный вариант для разработки больничных приложений, порталов для пациентов, общих приложений для здравоохранения и т.д.

Компания полагается на инфраструктуру AWS и применяет следующие меры предосторожности для защиты данных PHI:

• Полностью резервированная архитектура для производственных приложений, обрабатывающих данные PHI;
• Центры обработки данных в США;
• Шифрование данных при передаче;
• Шифрование данных в состоянии покоя;
• Многорегиональное резервное копирование;
• Восстановление после катастроф;
• И т.д.

Чтобы узнать больше, пожалуйста, запланируйте конференц-звонок, используя эту ссылку в календаре, или напишите нам на [email protected].

Заключение

В этой статье представлен обзор HIPAA, основные требования безопасности и соответствия, определения и примеры данных, которые должны быть защищены.

В ней также показано, какой тип договора требуется заключить между организацией, на которую распространяется действие закона, и поставщиком облачных услуг, какова модель ответственности сторон и каковы преимущества использования BaaS для реализации HIPAA.

И наконец, он продемонстрировал примеры мер защиты, применяемых в Back4App для приложений, связанных с HIPAA.