确定平台 + Firestore REST 客户端是不是符合 HIPAA 要求？

Posted 2023-03-26

【中文标题】确定平台 + Firestore REST 客户端是不是符合 HIPAA 要求？

【英文标题】：Identify Platform + Firestore REST client is that fits HIPAA requirements?确定平台 + Firestore REST 客户端是否符合 HIPAA 要求？

【发布时间】：2021-10-08 20:30:32

【问题描述】：

我正在设计一个移动应用程序，它使用 Identity Platform 和 Firestore 来存储客户的 PHI 记录。 Identity Platform 和 Firestore 都被提及为 Google Cloud BAA 涵盖的产品。该架构解决方案是否也适合 HIPAA？我在 Cloud Architecture Center https://cloud.google.com/architecture/authenticating-users-to-firestore-with-identity-platform-and-google-identities 找到了一个教程，并希望确保该示例符合 HIPAA 要求。

【参考方案1】：

在本机上，用户一旦登录就能够读取和访问与身份平台相关联的信息，这还包括与用户相关联的任何自定义声明。除此之外，用户通常通过他们的 UID 来识别，并且只有基本信息存储在他们的身份验证对象（电子邮件、电话号码）中，这些都不符合 HIPAA 要求。

HIPAA 主要与医疗记录本身相关联，即个人信息、文档和其他记录存储在您的数据库（实时数据库、Firestore、存储）中的位置

允许访问这些文档将使您的架构符合 HIPAA 标准，并且可以通过多种方式完成，包括云功能、从项目应用程序内直接访问或加密电子邮件。

构建符合 HIPAA 的数据库的结构是将所有记录数据作为子节点添加到用户 UID：例如users/user_id/records.json

users:
user_id:
    profile:
        address: "blank street",
        name: "John Smith"
    ,
    records:
        record_id: 
            date:"some date"
            doctor: "Jane Dohne"
            other:"fields"
        
    

安全规则

  "rules": 
    "users": 
      "$uid": 
        ".read": "auth != null && auth.uid == $uid"