Heroku HIPAA Соответствие

Question

Можно ли запускать на Heroku приложения, совместимые с HIPAA? В частности, мне нужно два приложения, одно из которых хранит информацию об участниках, а другое - частную информацию о здоровье участников. Я намерен зашифровать конфиденциальные данные с использованием как асимметричного, так и симметричного шифрования ключей - асимметричного для ключей, связывающих участников с их конфиденциальными данными в другом приложении, и симметричного для определенных полей в приложении участников, таких как имя, адрес электронной почты и телефон. Моя главная проблема заключается в том, что любой человек в Heroku может нарушить асимметричное шифрование, так как он имеет доступ как к приложениям (так и к закрытым ключам). Правильно ли меня беспокоить, или инфраструктура Amazon EC2 не позволяет сотрудникам Heroku получить доступ к обоим приложениям?

Answer 1

У Amazon есть официальный документ о соответствии HIPAA требованиям AWS (просто google AWS Hipaa), где они рассказывают о своих добросовестных решениях HIPAA.Например, системные администраторы AWS не имеют прямого доступа к образам ОС клиента.

Насколько мне известно, Heroku не поделилась информацией о том, как они защищают свои индивидуальные учетные записи клиентов.

Answer 2

Соответствие HIPAA включает в себя ряд различных областей, в том числе не только технологии.В частности, в отношении технологических требований в рамках HIPAA, существует множество требований, но наиболее очевидно, что вы не можете удовлетворить Heroku:

164.314 Организационные требования.(B) (B) В соответствии с 164.308 (b) (2), убедитесь, что все субподрядчики, которые создают, получают, поддерживают или передают электронную защищенную медицинскую информацию от имени делового партнера, соглашаются соблюдать применимые требования этого подразделазаключив договор или иное соглашение, соответствующее данному разделу;

Вам необходим BAA от Heroku.HIPAA не различает зашифрованные и незашифрованные данные, когда определяет субподрядчиков и деловых партнеров.Для полного понимания всего, что требуется от HIPAA, вот полный список - https://catalyze.io/hipaa/. Надеюсь, что поможет.

Answer 3

Heroku сказал мне, что в настоящее время они не будут подписывать Соглашения с деловыми партнерами, поэтому, если вы храните какую-либо PHI на сервере, невозможно обеспечить соответствие HIPAA.

Answer 4

Heroku объявил о своих учетных записях Shield, которые обеспечат соответствие HIPAA .

По ссылке

 The Shield Private Dyno includes an encrypted ephemeral file system
 and restricts SSL termination from using TLS 1.0 which is considered 
 vulnerable. Shield Private Postgres further guarantees that data is 
 always encrypted in transit and at rest. Heroku also captures a high 
 volume of security monitoring events for Shield dynos and databases 
 which helps meet regulatory requirements without imposing any extra 
 burden on developers.

Это может или не может устранить необходимость в BAA,МОВ и т. Д.