HIPAA Compliance

• 您正在构建医疗健康 SaaS 产品、EHR/EMR 集成系统，或任何存储或传输患者数据的系统
• 您需要开箱即用、符合 HIPAA 资质要求的 AWS 基础设施（Terraform）模板
• 您正在实施 FHIR 或 HL7 API，并需要 OAuth 2.0 范围执行和审计日志记录模式
• 您正在为与受保实体的首次试点做准备，需要一份涵盖 BAA、风险分析和渗透测试要求的上线就绪检查清单

• 您的应用程序不处理任何患者数据，且与涵盖实体或业务伙伴没有任何关联
• 您需要法律建议或正式的 HIPAA 合规认证 — 本技能提供技术指导，而非法律咨询
• 您在非 AWS 云环境中工作，并且需要超出 AWS 所提供范围的特定云服务提供商基础设施模板

自动应用全部 18 项 HIPAA PHI 标识符，当健康数据与任意标识符组合后即受到监管时进行标记。涵盖姓名、社会安全号码（SSN）、IP 地址、日期、设备 ID 等内容。

提供用于符合 HIPAA Compliance 条件的 VPC 架构、KMS 密钥策略、加密 RDS 实例以及启用公共访问阻止和版本控制的 S3 存储桶配置的 Terraform 代码。

生成 Python 审计日志模式，捕获用户、操作、资源类型和资源 ID——且绝不在日志条目中包含 PHI 值。包含错误消息脱敏工具。

在数据检索之前，于 API 层通过 Python 装饰器强制执行，实现基于角色的 PHI 访问矩阵（主治医师、账单人员、IT 管理员、研究人员）。

使用确定性令牌化生成适用于开发和测试环境的去标识化工具，在抑制全部 18 项 PHI 标识符的同时保留引用完整性。

跟踪 AWS 服务及第三方供应商（Auth0、Datadog、Sentry、SendGrid 等）所需的业务伙伴协议（BAA），并为即将开展首个受保护实体试点的创始人提供分阶段的发布把关流程。

面向正在构建患者预约或远程医疗平台的创始人，在编写任何一行应用代码之前，即可获得完整的 AWS 架构图、Terraform 基础配置以及 BAA 核查清单。

一位后端工程师在实现 FHIR R4 Patient 端点时，通过一个 FastAPI 示例，将 OAuth 2.0 作用域（scope）强制执行、速率限制配置、最小必要字段过滤以及审计日志记录串联整合在一起。

开发人员在提交涉及患者数据路径的拉取请求时，使用 HIPAA Compliance 技能的代码审查清单，验证日志、错误消息、URL参数、S3键或环境变量中未出现任何PHI。

一个工程团队需要真实的测试数据，但不能使用真实的患者记录。该技能生成一个符合 Safe Harbor 标准的去标识化流水线，在保留外键关系的同时替换所有标识符。