多租户数据库- HIPAA

Question

我们计划开发一个EHR/计费软件，我们知道HIPAA的规则和条例。我们当前的应用程序架构使用共享数据库和所有客户端(Provider/Practice)数据。

我想知道HIPAA是否建议在隔离每个客户端的数据库(提供者/实践)-即是一个单一的数据库为每个客户端安全违反HIPAA的规则和条例？

Answer 1

HIPAA没有明确禁止共享基础设施。

如果您要成为一家中立的公司，为众多实践提供SaaS，这种架构将很好。确保您的逻辑安全性是一流的，这样任何客户端都不能访问任何其他客户端的数据。这是相当容易的，但需要是一个深思熟虑的、有记录的和可证明的过程。确保自动化测试到位，以执行这些审核，大量测试您的数据访问层，等等。

此外，确保您的存储是加密的。