¿Es posible ejecutar aplicaciones en Heroku que son compatibles con HIPAA? Más específicamente, necesito dos aplicaciones, una que almacena información de miembros y otra que almacena información de salud privada de los miembros. Tengo la intención de encriptar los datos sensibles utilizando tanto asimétrica y simétrica clave de cifrado asimétrico para las teclas que enlazan miembros con sus datos confidenciales en la otra aplicación, y simétrica para campos específicos en los miembros de aplicación, tales como nombre, dirección de correo electrónico y teléfono. Mi principal preocupación es que cualquier persona en Heroku pueda romper el cifrado asimétrico, ya que tienen acceso a ambas aplicaciones (y a las claves privadas). ¿Estoy en lo cierto al preocuparme por esto o la infraestructura de Amazon EC2 impide que el personal de Heroku acceda a ambas aplicaciones?HIPAA
HIPAA
Respuesta
Amazon tiene un libro blanco sobre HIPAA cumplimiento de AWS (sólo Google AWS HIPAA) donde hablan de su buena fe HIPAA. Por ejemplo, los administradores de sistemas de AWS no tienen acceso de inicio de sesión directo a las imágenes del sistema operativo del cliente.
A lo mejor de mi conocimiento, Heroku no ha compartido detalles de cómo asegurar sus cuentas individuales de los clientes.
Heroku me ha dicho que no firmarán acuerdos de socios comerciales en este momento, por lo que si almacena cualquier PHI en el servidor no es posible cumplir con HIPAA.
¿Si almacena PHI en qué servidor? El servidor heroku postgres? –
Sí en el servidor PG. Podría almacenar la PHI en AWS S3 ya que firmarían un BAA, sin embargo, sus datos seguirían enrutando a través de Heroku. Mejor simplemente configurar el servidor en AWS EC2 directamente (Amazon firma BAA ahora). –
cumplimiento de HIPAA implica una serie de diferentes áreas, incluyendo algo más que tecnología. Específicamente con respecto a los requisitos tecnológicos dentro de HIPAA, hay un montón de requisitos, pero el que obviamente no puede cumplir con Heroku es este:
164.314 Requisitos de la organización. (B) (B) De acuerdo con 164.308 (b) (2), asegúrese de que los subcontratistas que crean, reciben, mantienen o transmiten información médica protegida electrónicamente en nombre del socio comercial acuerden cumplir con los requisitos aplicables de esta subparte al celebrar un contrato u otro acuerdo que cumpla con esta sección;
Usted necesita un BAA de Heroku. HIPAA no distingue entre datos cifrados y no cifrados cuando define subcontratistas y socios comerciales. Para tener una buena idea de todo lo que se requiere de HIPAA, aquí hay una lista completa: https://catalyze.io/hipaa/. Espero que ayude.
Es posible que desee mencionar que usted es el fundador de catalze ... –
Heroku ha anunciado sus cuentas Shield que proporcionarán HIPAA compliance.
Desde el enlace
The Shield Private Dyno includes an encrypted ephemeral file system
and restricts SSL termination from using TLS 1.0 which is considered
vulnerable. Shield Private Postgres further guarantees that data is
always encrypted in transit and at rest. Heroku also captures a high
volume of security monitoring events for Shield dynos and databases
which helps meet regulatory requirements without imposing any extra
burden on developers.
que pueden o no pueden obviar la necesidad de BAA, memorandos de entendimiento, etc.
- 1. Proveedores de Membresía y Cumplimiento HIPAA
- 2. ¿Puede crear una aplicación web de Amazon S3 compatible con HIPAA?
- 3. Senderos de auditoría e implementación de SOX/HIPAA/etc, mejores prácticas para datos confidenciales
- 4. La sobrecarga de una función nativa de PHP para cifrar los datos de HIPAA
- 5. Deshabilitar el botón de dictado en el teclado del iPhone 4S/nuevo iPad
- 6. C# ASP.NET Enviar correo electrónico a través de TLS
que tienen el papel blanco y ya envió Heroku la misma pregunta. Ninguna respuesta todavia. Gracias sin embargo. –
Finalmente escuché de Heroku. Dicen que los empleados tienen acceso a los datos, pero no se les permite acceder a ellos sin el consentimiento del propietario. También dicen que es una ofensa incendiable que un empleado lo haga sin consentimiento. –
Le escribí a Heroku sobre HIPAA, dijeron que actualmente no firman BAA. "Esperamos llegar a un lugar donde podamos firmar esos acuerdos y ofrecer un producto compatible con HIPAA, pero todavía no hemos llegado y no tenemos una ETA" (sin embargo, no estoy seguro de si esto significa de manera concluyente que Heroku no puede ser parte de un sistema compatible con HIPAA, pero probablemente sí lo haga) –