使用符合HIPAA的GCP数据库或Firestore

Question

我正在建设一个需要存储一些患者数据的项目，它应该与HIPAA合规性工作，因为这是医疗信息。

在2021年，是否可以使用云firestore或实时数据库等firebase数据库来实现这一点？如果是，我如何签署云firestore的BAA？

Answer 1

产品必须符合国际标准化组织/国际电工委员会27001、27017和27018认证以及here中提到的SOC2报告，才能符合HIPAA要求。从this document可以看出，Cloud Firestore满足了所有要求，而Firebase实时数据库没有满足所有要求，并且在this document Cloud Firestore中，列在Google Cloud services for HIPAA的scope下，而Firebase Realtime Database没有列出。因此，云Firestore在HIPAA合规性范围内，而Firebase实时数据库不在范围内。

要执行商业伙伴协议，您应联系您的客户经理，如上所述here。

Answer 2

似乎firestore包含在google cloud BAA中，可以用于HIPAA兼容的工作。但是现在，你不能对它使用firebase auth，因为firebase auth不在google cloud BAA的覆盖范围内。

因此，将firestore与您自己的身份验证结合使用似乎是一种选择。谷歌云身份平台也在BAA的覆盖范围内。more info