HIPAA 合規雲託管的基本步驟

---

HIPAA 是美國的一項國家標準化法律，旨在防止濫用患者的健康資訊。美國所有與健康相關的企業都必須遵守這些規定。在雲計算的背景下，HIPAA 合規性要求遵守一系列規則並確保不會發生資料洩露。這些規則總結如下：

• 加密非動態資料。

• 擁有審計跟蹤。

• 確保資料不會丟失

• 確保高（理想情況下 100%）可用性

• 強大的分層安全控制和身份管理

• 用於訪問控制的多因素身份驗證

• 使用加密 VPN

• 業務關聯協議 (BAA) 是強制性的

• 此外，建議使用 SSL 證書和 SSAE 18 證書。

實現 HIPAA 合規性的步驟

儘管由於沒有官方的 HIPAA 認證，因此無法確定某個網站是否符合 HIPAA 標準，但在追求 HIPAA 合規性方面，仍然有一些重要的措施需要遵循。

步驟 1 - 擁有強大的防火牆和安全管理系統。

HIPAA 合規性要求系統範圍內的防火牆，以及身份管理系統和用於訪問的多因素身份驗證。為此，使用符合 HIPAA 標準的基礎設施即服務來處理安全問題可能是一個更好的主意。

步驟 2 - 避免使用公共雲或混合雲

使用公共雲通常會導致許多安全漏洞。為了避免這些問題，最好獲得一臺專用伺服器。

步驟 3 - 透過 VPN 進行安全通訊

傳送和接收資料的整個過程都應透過加密的 VPN 隧道進行保護。

步驟 4 - 對執行的每個操作進行審計

對資料上執行的每個操作都必須進行安全審計、記錄並存儲在分類賬中。

步驟 5 - 確保 100% 的可用性

HIPAA 指南的另一項檢查是，伺服器應具有 100% 的正常執行時間，以便患者和醫院可以 24x7 訪問資料，並且不會有任何中斷。為此，始終建議使用一臺或多臺伺服器作為備用，以便如果一臺伺服器發生故障，仍然不會出現停機時間。

步驟 6 - 協議和認證

HIPAA 要求業務關聯方（即開發人員）與使用其服務的實體（即醫療保健企業）簽訂協議。此協議稱為 BAA，必須規定 BA 的責任，以確保資料的完全保護，BA 不得使用任何儲存的資料，並且 BAA 遵循所有必要的 HIPAA 規定。

SSL 證書 - 安全套接字層 (SSL) 是一種數字證書，用於驗證網站的身份。

SSAE 證書 - 鑑證業務標準宣告 18 證書是用於審計組織的服務標準。

步驟 7 - 備份資料

HIPAA 還要求必須保護非動態資料並在符合 HIPAA 標準的異地位置進行儲存。

步驟 8 - 資料處置

不再使用的應予刪除，以免有任何恢復的可能性。

步驟 9 - 定期評估

必須定期評估上述所有步驟，並且評估過程必須有良好的記錄。

結論

HIPAA 合規性最初看起來可能很麻煩，但它僅僅是關於確保資料安全和維護患者隱私。這些安全功能對於任何應用程式（不僅僅是醫療保健應用程式）來說都是行業標準。這些也可以自動化，但作為額外措施，建議由人工來監督這些因素。