HIPAA Compliance

• 您正在開發醫療保健 SaaS 產品、EHR/EMR 整合系統，或任何儲存或傳輸病患資料的系統
• 您需要開箱即用、符合 HIPAA 資格的 AWS 基礎架構（Terraform）範本
• 您正在實作 FHIR 或 HL7 API，並需要 OAuth 2.0 範圍執行與稽核日誌記錄模式
• 您正在為與受保護實體的首次試點做準備，需要一份涵蓋 BAA、風險分析及滲透測試要求的上線準備檢查清單

• 您的應用程式不處理任何患者資料，且與受保護實體或業務夥伴沒有任何關聯
• 您需要法律建議或正式的 HIPAA 合規認證 — 此技能提供的是技術指導，而非法律諮詢
• 您正在非 AWS 的雲端環境中工作，且需要 AWS 所提供範圍以外的特定供應商基礎架構範本

自動套用全部 18 項 HIPAA PHI 識別碼，以標記健康資料與任何識別碼結合時受法規規範的情形。涵蓋姓名、社會安全碼、IP 位址、日期、裝置 ID 等資訊。

提供適用於符合 HIPAA Compliance 資格的 VPC 架構、KMS 金鑰政策、加密 RDS 執行個體，以及啟用公開存取封鎖與版本控制的 S3 儲存桶設定之 Terraform 程式碼。

產生 Python 稽核日誌模式，記錄使用者、操作、資源類型與資源 ID，且絕不在日誌項目中包含 PHI 值。內含錯誤訊息清理工具程式，符合 HIPAA Compliance 要求。

在資料擷取前，於 API 層實作以角色為基礎的 PHI 存取矩陣（主治醫師、帳務人員、IT 管理員、研究人員），並透過 Python 裝飾器進行強制執行。

使用確定性令牌化（deterministic tokenization）為開發與測試環境產生去識別化工具，在抑制全部 18 項 PHI 識別項的同時，保留參照完整性（referential integrity）。

追蹤 AWS 服務及第三方廠商（Auth0、Datadog、Sentry、SendGrid 等）所需的業務夥伴協議（BAA），並為即將啟動首個受涵蓋實體試點的創辦人提供分階段的上線審核關卡。

一位正在打造病患排程或遠距醫療平台的創辦人，在撰寫任何一行應用程式碼之前，即可獲得完整的 AWS 架構圖、Terraform 基礎配置，以及 BAA 檢查清單。

一位後端工程師在實作 FHIR R4 Patient 端點時，可透過 FastAPI 範例，將 OAuth 2.0 範圍權限管控、速率限制設定、最小必要欄位過濾，以及稽核日誌記錄整合在一起。

開發人員提交了一個涉及病患資料路徑的 pull request，並使用 HIPAA Compliance 技能的程式碼審查清單，確認日誌、錯誤訊息、URL 參數、S3 金鑰或環境變數中均未出現任何 PHI。

工程團隊需要真實的測試資料，但不能使用真實的病患記錄。此技能會透過 HIPAA Compliance 產生一套 Safe Harbor 去識別化管線，在保留外鍵關聯的同時，替換所有識別碼。