Temos um cliente (farmácia) que deseja um formulário em seu site que submeta a uma API que é um serviço de elogio hipaa. Não estamos armazenando nenhum dado, apenas enviando. Nosso servidor/sistema precisa ser compatível com hipaa?
AskOverflow.Dev
Temos um cliente (farmácia) que deseja um formulário em seu site que submeta a uma API que é um serviço de elogio hipaa. Não estamos armazenando nenhum dado, apenas enviando. Nosso servidor/sistema precisa ser compatível com hipaa?
Não é assim que a conformidade funciona. Você não pode simplesmente usar um serviço ou proteger um servidor e marcar a caixa compatível com HIPPA.
Veja, por exemplo , as notas do HHS sobre a regra de segurança . Alguém, seja a associação de saúde coberta ou um parceiro de negócios, precisa manter processos para proteger informações de saúde protegidas. Em transmissão, bem como armazenado em repouso.
Isso é mais amplo do que os controles técnicos. Obviamente, permita apenas tráfego criptografado, como solicitações HTTPS. Provavelmente uma boa ideia criptografar discos. Mas também treine os funcionários sobre os procedimentos adequados para observar apenas o que é necessário para fazer seu trabalho e relatar violações. Em geral, implemente um processo formal de mitigação de riscos.
Se você fosse comprometido e os dados de envio deste formulário fossem vazados, isso seria ruim para a privacidade do paciente e, possivelmente, para sua responsabilidade.
Obtenha uma resposta de uma pessoa de compliance sobre qual PHI está sendo transmitida e qual é sua responsabilidade por isso. Se qualquer PHI estiver no escopo, eles terão perguntas para você.