Heroku HIPAA準拠

Question

HIPAAに準拠したHerokuでアプリを実行することはできますか？具体的には、メンバー情報を格納するアプリケーションと、メンバーの個人的な健康情報を格納するアプリケーションの2つが必要です。私は、非対称キーとシンメトリックキーの両方の暗号化を使用して機密データを暗号化します。メンバーの機密データをメンバーにリンクするキーは非対称で、メンバーアプリの特定のフィールド（名前、電子メールアドレス、電話など）はシンメトリックです。私の主な関心事は、Herokuの誰もが、両方のアプリ（と秘密鍵）にアクセスできるので、非対称暗号化を破ることができるということです。これについて心配するのは間違いですか、またはAmazon EC2のインフラストラクチャによってHerokuのスタッフが両方のアプリにアクセスできなくなりますか？

Answer 1

アマゾンは、HIPAAの真実について語るAWS（ちょうどgoogle AWS Hipaa準拠）のHIPAA準拠に関するホワイトペーパーを持っています。たとえば、AWSシステム管理者は、顧客OSイメージへの直接ログインアクセスを持っていません。

私の知っている限り、Herokuは個々の顧客アカウントをどのように確保するかについて詳細を共有していません。

Answer 2

Herokuは、現時点ではビジネスアソシエイト協定に署名しないと言いました。したがって、PHIをサーバーに保存すると、HIPAAに準拠することはできません。

Answer 3

HIPAAへの準拠には、テクノロジーだけでなく、さまざまな分野があります。具体的にHIPAA内の技術要件について、要件の束がありますが、あなたが最も明らかにHerokuのに会うことができない一つは、このいずれかになります。

164.314組織の要件。 （B）（B）164.308（b）（2）に従い、ビジネスアソシエートに代わって電子的に保護された健康情報を作成、受信、維持、または送信する下請け業者が本サブパートの適用要件を遵守することに同意する本条項に従う契約またはその他の契約を締結することにより、

ヘロクからBAAが必要です。 HIPAAは、下請け業者およびビジネスアソシエイトを定義する際に、暗号化されたデータと暗号化されていないデータを区別しません。 HIPAAに必要とされるすべての良い感覚のために、ここに包括的なリスト - https://catalyze.io/hipaa/があります。希望が役立ちます。

Answer 4

Herokuは、HIPAA complianceを提供するShieldアカウントを発表しました。などまたはBAAの、MOUのための必要性を取り除くしない場合があり、リンク

The Shield Private Dyno includes an encrypted ephemeral file system 
and restricts SSL termination from using TLS 1.0 which is considered 
vulnerable. Shield Private Postgres further guarantees that data is 
always encrypted in transit and at rest. Heroku also captures a high 
volume of security monitoring events for Shield dynos and databases 
which helps meet regulatory requirements without imposing any extra 
burden on developers. 

、