Можно ли запускать приложения на Heroku, совместимые с HIPAA? В частности, мне нужны два приложения, в которых хранится информация о членах, а другая - хранится конфиденциальная информация о членах. Я намерен шифровать конфиденциальные данные, используя асимметричное и симметричное шифрование ключей, несимметричное для ключей, которые связывают участников с их конфиденциальными данными в другом приложении, и симметрично для определенных полей в приложении участников, таких как имя, адрес электронной почты и телефон. Моя главная проблема заключается в том, что любой, кто в Heroku может нарушить асимметричное шифрование, поскольку у них есть доступ к обоим приложениям (и к закрытым ключам). Правильно ли я беспокоюсь об этом, или инфраструктура Amazon EC2 не позволяет сотрудникам Heroku получить доступ к обоим приложениям?
Соответствие требованиям HIPAA компании Heroku
Ответ 1
У Amazon есть сводная информация о соответствии HIPAA AWS (только соответствие Google AWS Hipaa), где они рассказывают о своих истинах HIPAA. Например, системные администраторы AWS не имеют прямого доступа к образам ОС ОС.
Насколько я знаю, Heroku не делится информацией о том, как они защищают свои индивидуальные клиентские счета.
Ответ 2
Heroku сказал мне, что они не будут подписывать соглашения о бизнес-ассоциировании на данный момент, поэтому, если вы храните любой PHI на сервере, невозможно быть совместимым с HIPAA.
Ответ 3
Соответствие HIPAA включает в себя ряд различных областей, в том числе больше, чем просто технологии. В частности, в отношении требований к технологиям в HIPAA существует множество требований, но тот, который вы, очевидно, не можете встретить с Heroku, является следующим:
164.314 Организационные требования. (B) (B) В соответствии с пунктом 164.308 (b) (2) убедитесь, что любые субподрядчики, которые создают, получают, обслуживают или передают электронную охраняемую медицинскую информацию от имени бизнес-партнера, соглашаются соблюдать применимые требования этого подраздела заключая договор или другую договоренность, которая соответствует этому разделу;
Вам нужен БАД от Героку. HIPAA не различает зашифрованные и незашифрованные данные, когда он определяет субподрядчиков и бизнес-партнеров. Для хорошего понимания всего, что требуется от HIPAA, здесь приводится полный список - https://catalyze.io/hipaa/. Надеюсь, что это поможет.
Ответ 4
Heroku анонсировала свои учетные записи Shield, которые предоставят HIPAA соответствие.
Из ссылки
The Shield Private Dyno includes an encrypted ephemeral file system
and restricts SSL termination from using TLS 1.0 which is considered
vulnerable. Shield Private Postgres further guarantees that data is
always encrypted in transit and at rest. Heroku also captures a high
volume of security monitoring events for Shield dynos and databases
which helps meet regulatory requirements without imposing any extra
burden on developers.
Это может или не может устранить необходимость в BAA, MOU и т.д.