HIPAA Compliance

• Você está construindo um produto SaaS para saúde, integração com EHR/EMR ou qualquer sistema que armazene ou transmita dados de pacientes
• Você precisa de templates de infraestrutura AWS (Terraform) que sejam elegíveis para HIPAA prontos para uso
• Você está implementando APIs FHIR ou HL7 e precisa de padrões de aplicação de escopos OAuth 2.0 e registro de auditoria
• Você está se preparando para um primeiro piloto com uma entidade coberta e precisa de um checklist de prontidão para lançamento cobrindo BAAs, análise de riscos e requisitos de testes de penetração

• Sua aplicação não lida com dados de pacientes e não tem nenhuma conexão com entidades cobertas ou associados de negócios
• Você precisa de aconselhamento jurídico ou atestado formal de HIPAA Compliance — esta skill fornece orientação técnica, não assessoria jurídica
• Você está trabalhando em um ambiente de nuvem não-AWS e precisa de modelos de infraestrutura específicos do provedor além do que a AWS oferece

Aplica automaticamente todos os 18 identificadores PHI da HIPAA para sinalizar quando dados de saúde combinados com qualquer identificador passam a ser regulamentados. Abrange nomes, CPFs, endereços IP, datas, IDs de dispositivos e muito mais.

Fornece código Terraform para arquitetura de VPC elegível ao HIPAA Compliance, políticas de chaves KMS, instâncias RDS criptografadas e configurações de buckets S3 com bloqueio de acesso público e versionamento habilitados.

Gera padrões de log de auditoria em Python que capturam usuário, ação, tipo de recurso e ID do recurso — sem jamais incluir valores de PHI nas entradas de log. Inclui utilitários de sanitização de mensagens de erro.

Implementa matrizes de acesso a PHI baseadas em funções (médico responsável, equipe de faturamento, administrador de TI, pesquisador) com aplicação por decoradores Python na camada de API antes da recuperação dos dados.

Produz utilitários de desidentificação para ambientes de desenvolvimento e teste usando tokenização determinística para preservar a integridade referencial enquanto suprime todos os 18 identificadores de PHI.

Rastreia os Acordos de Parceiro de Negócios (Business Associate Agreements) exigidos para serviços AWS e fornecedores terceiros (Auth0, Datadog, Sentry, SendGrid, etc.) e fornece gates de lançamento em estágios para fundadores que estão se aproximando do seu primeiro piloto com entidade coberta.

Um fundador que está desenvolvendo uma plataforma de agendamento de pacientes ou telessaúde recebe um diagrama completo de arquitetura AWS, uma baseline em Terraform e uma checklist de BAA antes de escrever uma única linha de código de aplicação.

Um engenheiro de backend implementando um endpoint de Patient FHIR R4 obtém aplicação de escopos OAuth 2.0, configuração de limitação de taxa, filtragem de campos mínimos necessários e registro de auditoria integrados em um exemplo com FastAPI.

Um desenvolvedor envia um pull request que afeta um caminho de dados de pacientes e utiliza o checklist de revisão de código da skill HIPAA Compliance para verificar se nenhuma PHI aparece em logs, mensagens de erro, parâmetros de URL, chaves do S3 ou variáveis de ambiente.

Uma equipe de engenharia precisa de dados de teste realistas sem utilizar registros reais de pacientes. A skill gera um pipeline de desidentificação Safe Harbor que substitui todos os identificadores enquanto preserva os relacionamentos de chave estrangeira.