Когда форма G-Suite встроена на внешний веб-сайт, хранятся ли какие-либо данные формы на хост-сайте?

Question

Этот вопрос возникает из-за очень специфических c требований HIPAA. Покрываемая организация (CE), например, врач не может использовать поставщика облачного хранилища (CSP), если у них нет соглашения бизнес-партнера (BAA) с CSP, , даже если данные зашифрованы и CSP не имеет доступа. Я не эксперт по безопасности, но безопасность большинства веб-хостов будет соответствовать IMO HIPAA, ЕСЛИ был BAA.

Есть исключение канала для видео, интернет-провайдеров и других электронных c эквивалентов USPS, которые не хранят электронные c Защищенная медицинская информация (e-PHI.)

Я не знаю почему, но веб-хосты, которые подпишут , будут платить BAA $ 100-300 / мес. Я думаю, что они охотятся на невежество СЕ с ощущением, что вокруг немало денег, правда радиологии, но не для первичной помощи.

G-Suite выполнит BAA, что делает G-Suite недорогим решением для сбора информации о пациентах с защищенной медицинской информацией (PHI), в то же время поддерживая CE в соответствии с HIPAA. Стоит отметить, что «Соответствие HIPAA» является ТОЛЬКО собственностью CE и медицинской документации Electroni c, а не другого программного обеспечения или сайтов. Любой другой продукт или услуга, заявляющая о «соответствии HIPAA», искажает сам себя.

Я считаю, что Сайты Google не так удобны для пользователя, как большинство веб-хостингов. Меньше ручного труда для таких вещей, как установка надстроек WP или добавление сертификатов SSL. Или, может быть, Google просто ужасно объясняет, как на самом деле делать что-то с размещенным там сайтом. В любом случае, кажется, проще запустить веб-сайт на веб-хосте, который настроен для управления программным обеспечением и плагинами WP для любителей. Я хочу получить образование по этому вопросу. (24 часа спустя - я много занимался самообразованием, см. Ответ ниже.)

Основные c требования конфиденциальности HIPAA довольно просты:

• CE могут использовать PHI для обработки и выполнения основных функций, но не должны делиться ею с теми, кто на это не имеет права.

Основа c Требования безопасности HIPAA также просты:

1. Проведите анализ угроз безопасности.
2. Внедрить разумные меры безопасности и
3. Документировать, почему были приняты различные меры.

Некоторые элементы требуются, другие должны быть просто рассмотрены, оценены и задокументировано.

Например, 2FA является «адресуемым», как и шифрование данных, но требуется проведение анализа, физической безопасности и обучения сотрудников.

Так что мой вопрос в том, хранит ли форма G-Suite, встроенная в веб-сайт на другом веб-хосте, любые данные на этом веб-хосте, или все это go возвращается к G-Suite, например, G-Drive, где он защищен и защищен BAA?

Answer 1

Проблема, когда вы очень мало знаете о топи c, заключается в том, что вы не знаете, что спросить. Я знаю много о HIPAA, немного о HTML. Я провел гораздо больше исследований, и есть как минимум два ответа.

Краткий ответ: НЕТ, встроенный фрейм - это HTTPS-фрейм iframe, связанный с G-Suite. Форма в iframe является окном в docs.google.com, поэтому данные никогда не сбрасываются с docs.google.com, где он защищен BAA G-Suite. Хост-сайт фактически является каналом.

 <iframe src="https://docs.google.com/forms......…</iframe>

Примечание https

Внедрение формы не создает нарушения HIPAA.

Второй ответ: G-Suite имеет свой собственный Система управления контентом и конструктор сайтов, который требует очень мало технических навыков. Таким образом, нет необходимости устанавливать Wordpress или что-либо еще, вы просто перетаскиваете мышью, чтобы создать сайт. Все бэк-энды сделаны для вас. Duh. И они выполняют BAA, всего за 6 долларов в месяц . Так что G-Suite намного проще, на самом деле настолько прост, что это может сделать только ребенок. Их справочные страницы оставляют желать лучшего.

Итог - для небольших организаций G Suite - это очень экономичное решение для веб-сайтов, которое не создает нарушения HIPAA. Wi sh Я знал это вчера!

К вашему сведению: HIPAA-совместимые облачные сервисы