HIPAA Compliance

• Вы создаёте SaaS-продукт для здравоохранения, интеграцию EHR/EMR или любую систему, которая хранит или передаёт данные пациентов
• Вам нужны шаблоны AWS-инфраструктуры (Terraform), соответствующие требованиям HIPAA «из коробки»
• Вы реализуете FHIR или HL7 API и нуждаетесь в шаблонах контроля областей действия OAuth 2.0 и журналирования аудита
• Вы готовитесь к первому пилотному проекту с подпадающей под регулирование организацией и вам нужен контрольный список готовности к запуску, охватывающий BAA, анализ рисков и требования к тестированию на проникновение

• Ваше приложение не обрабатывает данные пациентов и не связано с покрытыми организациями или бизнес-партнёрами
• Вам нужна юридическая консультация или официальное подтверждение соответствия HIPAA — этот навык предоставляет техническое руководство, а не юридическую помощь
• Вы работаете в облачной среде, отличной от AWS, и вам нужны специфические для провайдера шаблоны инфраструктуры, выходящие за рамки того, что предлагает AWS

Автоматически применяет все 18 идентификаторов PHI в соответствии с HIPAA Compliance, чтобы определять случаи, когда медицинские данные в сочетании с любым идентификатором становятся регулируемыми. Охватывает имена, номера социального страхования (SSN), IP-адреса, даты, идентификаторы устройств и многое другое.

Предоставляет код Terraform для VPC-архитектуры, соответствующей требованиям HIPAA Compliance, политик ключей KMS, зашифрованных экземпляров RDS, а также конфигураций S3-бакетов с блокировкой публичного доступа и включённым версионированием.

Генерирует шаблоны журналирования аудита на Python, которые фиксируют пользователя, действие, тип ресурса и идентификатор ресурса — без включения значений PHI в записи журнала. Включает утилиты для очистки сообщений об ошибках.

Реализует матрицы доступа к PHI на основе ролей (лечащий врач, сотрудник отдела выставления счетов, IT-администратор, исследователь) с применением Python-декораторов на уровне API до получения данных.

Создаёт утилиты деидентификации для сред разработки и тестирования, используя детерминированную токенизацию для сохранения ссылочной целостности при подавлении всех 18 идентификаторов PHI.

Отслеживает необходимые Соглашения делового партнёра (BAA) для сервисов AWS и сторонних поставщиков (Auth0, Datadog, Sentry, SendGrid и др.), а также предоставляет поэтапные критерии готовности к запуску для основателей, приближающихся к первому пилотному проекту с участием покрываемых организаций.

Основатель, создающий платформу для записи пациентов или телемедицины, получает полную схему архитектуры AWS, базовую конфигурацию Terraform и чеклист BAA ещё до написания первой строки прикладного кода.

Бэкенд-инженер, реализующий эндпоинт FHIR R4 Patient, получает в одном примере на FastAPI: применение ограничений области доступа OAuth 2.0, настройку ограничения частоты запросов, фильтрацию полей по принципу минимальной необходимости и подключённое журналирование аудита.

Разработчик отправляет pull request, затрагивающий путь обработки данных пациентов, и использует контрольный список проверки кода навыка HIPAA Compliance, чтобы убедиться, что PHI не появляется в логах, сообщениях об ошибках, параметрах URL, ключах S3 или переменных окружения.

Инженерной команде необходимы реалистичные тестовые данные без использования реальных записей пациентов. Навык HIPAA Compliance генерирует конвейер де-идентификации по методу Safe Harbor, который заменяет все идентификаторы, сохраняя при этом связи внешних ключей.