HIPAA Compliance

• Stai sviluppando un prodotto SaaS per il settore sanitario, un'integrazione EHR/EMR, o qualsiasi sistema che memorizza o trasmette dati dei pazienti
• Hai bisogno di template di infrastruttura AWS (Terraform) che siano HIPAA-eligible fin da subito
• Stai implementando API FHIR o HL7 e hai bisogno di pattern per l'applicazione degli scope OAuth 2.0 e per l'audit logging
• Stai preparando un primo pilot con un'entità coperta e hai bisogno di una checklist di prontezza al lancio che copra BAA, analisi del rischio e requisiti di penetration testing

• La tua applicazione non gestisce dati di pazienti e non ha alcuna connessione con entità coperte o business associate
• Hai bisogno di consulenza legale o di un'attestazione HIPAA formale — questa skill fornisce indicazioni tecniche, non consulenza legale
• Stai lavorando in un ambiente cloud non-AWS e hai bisogno di template di infrastruttura specifici per il provider che vanno oltre ciò che AWS offre

Applica automaticamente tutti i 18 identificatori PHI HIPAA per segnalare quando i dati sanitari combinati con qualsiasi identificatore diventano soggetti a regolamentazione. Copre nomi, codici fiscali, indirizzi IP, date, ID dispositivo e altro ancora.

Fornisce codice Terraform per architetture VPC idonee alla HIPAA Compliance, policy per chiavi KMS, istanze RDS crittografate e configurazioni di bucket S3 con blocco dell'accesso pubblico e versioning abilitato.

Genera pattern Python per log di audit che acquisiscono utente, azione, tipo di risorsa e ID risorsa — senza mai includere valori PHI nelle voci di log. Include utility per la sanitizzazione dei messaggi di errore.

Implementa matrici di accesso alle PHI basate sui ruoli (medico curante, personale di fatturazione, amministratore IT, ricercatore) con l'applicazione di decorator Python a livello API prima del recupero dei dati.

Produce utilità di de-identificazione per ambienti di sviluppo e test utilizzando la tokenizzazione deterministica per preservare l'integrità referenziale, sopprimendo al contempo tutti i 18 identificatori PHI.

Tiene traccia dei Business Associate Agreement richiesti per i servizi AWS e i fornitori terzi (Auth0, Datadog, Sentry, SendGrid, ecc.) e fornisce gate di lancio graduali per i fondatori che si avvicinano al loro primo pilot con una covered entity.

Un fondatore che costruisce una piattaforma di schedulazione pazienti o di telemedicina ottiene un diagramma completo dell'architettura AWS, una baseline Terraform e una checklist BAA prima di scrivere una singola riga di codice applicativo.

Un ingegnere backend che implementa un endpoint FHIR R4 Patient ottiene l'applicazione degli scope OAuth 2.0, la configurazione del rate limiting, il filtraggio dei campi strettamente necessari e la registrazione degli audit log collegati insieme in un esempio FastAPI.

Uno sviluppatore invia una pull request che coinvolge un percorso di dati paziente e utilizza la checklist di revisione del codice della skill HIPAA Compliance per verificare che nessun PHI compaia nei log, nei messaggi di errore, nei parametri URL, nelle chiavi S3 o nelle variabili d'ambiente.

Un team di ingegneria ha bisogno di dati di test realistici senza utilizzare cartelle cliniche reali dei pazienti. La skill genera una pipeline di de-identificazione Safe Harbor che sostituisce tutti gli identificatori preservando al contempo le relazioni di chiave esterna.