HIPAA合规性云服务器设置

Question

YC最近有一家初创公司，它看起来很有趣，叫做Truevault.com，它允许你通过API在他们的数据库中存储JSON文档，并且是符合HIPAA的。

我正在开发一个医疗保健应用程序，我想知道在HIPAA合规性方面哪种策略更好：

1) Heroku + Truevault -最初更容易部署，但Heroku不会签署业务伙伴协议，所以即使我没有将PHI存储在heroku服务器上或临时存储在那里，我也不确定这是否真的是HIPAA的复杂性。

2)在亚马逊EC2上运行一切-亚马逊将签署协议，所以这里没有问题，但将不得不自己做服务器维护(而不是)

3) Heroku +亚马逊S3数据库-在Heroku上运行服务器，但将所有内容存储在S3上，亚马逊签署协议

有经验的人，什么是最合规但最实用的？提前谢谢。

Answer 1

Aptible正在开发一个平台来实现这一点，即在可能的情况下自动遵守HIPAA，培训你需要自己做的事情，并让你在标准数据库和生态系统上构建系统。他们目前还在私人测试版中。

免责声明:我与他们没有关系，但我今天确实见到了他们的创始人，他们是一群平易近人、聪明的人。

Answer 2

如果不知道你的应用程序是如何工作的，你可能不得不在EC2和其他亚马逊web服务上运行你的所有应用程序。

Heroku节点基本上是带有一点自动化的EC2实例，使其更像是一个平台而不是基础设施。但是，如果您所在的领域要求在处理数据的方式上遵守法律法规，那么没有完全的控制权可能是一件坏事。你可以使用Chef和Puppet这样的工具来完成heroku所做的大部分自动化工作。

此外，如果您使用EC2，请确保在VPC中配置您的基础设施。Ads需要一些额外的工作，但可以让您更好地控制对不同实例的网络访问。

S3不是一个真正的数据库，它是一个对象存储。它基本上是一个键/值存储，其中的键看起来像文件路径。它可以存储一些非常非常大的值。