Heroku HIPAA合规性

Question

是否可以在Heroku上运行兼容HIPAA的应用程序？更具体地说，我需要两个应用程序，一个存储成员信息，另一个存储成员的私人健康信息。我打算同时使用非对称密钥加密和对称密钥加密来加密敏感数据-非对称密钥用于连接成员与其他应用程序上的敏感数据的密钥，对称密钥用于成员应用程序中的特定字段，如姓名、电子邮件地址和电话。我主要担心的是Heroku的任何人都可以破解非对称加密，因为他们可以同时访问应用程序(和私钥)。我对此的担忧是正确的吗，还是亚马逊EC2的基础设施阻止Heroku员工同时访问这两个应用程序？

Answer 1

亚马逊有一份关于HIPAA与AWS合规性的白皮书(就是google AWS Hipaa合规性)，他们在白皮书中谈到了他们的HIPAA诚意。例如，AWS系统管理员无法直接登录访问客户操作系统映像。

据我所知，Heroku没有分享他们如何保护个人客户账户的细节。

Answer 2

HIPAA合规性涉及许多不同的领域，包括不仅仅是技术。特别是关于HIPAA中的技术要求，有一堆要求，但你最明显不能用Heroku满足的是这一点：

164.314组织要求。(B) (B)根据164.308(b)(2)款，确保代表业务伙伴创建、接收、维护或发送电子受保护健康信息的任何分包商同意通过签订符合本节的合同或其他安排来遵守本分部分的适用要求；

你需要一个Heroku的BAA证书。HIPAA在定义分包商和业务伙伴时不区分加密和未加密数据。为了更好地了解HIPAA所需的所有功能，这里有一个全面的列表- https://catalyze.io/hipaa/。希望这能有所帮助。

Answer 3

Heroku告诉我，他们目前不会签署商业伙伴协议，所以如果你在服务器上存储任何PHI，就不可能符合HIPAA。