当 G-Suite 表单嵌入到外部网站时，是不是有任何表单数据存储在主机站点上？

Posted 2023-03-26

【中文标题】当 G-Suite 表单嵌入到外部网站时，是不是有任何表单数据存储在主机站点上？

【英文标题】：When a G-Suite form is embedded on external website, does any form data get stored on the host site?当 G-Suite 表单嵌入到外部网站时，是否有任何表单数据存储在主机站点上？

【发布时间】：2020-07-21 14:30:30

【问题描述】：

之所以提出这个问题，是因为 HIPAA 要求非常具体。涵盖实体 (CE) 例如，医生不能将 cloud storage provider (CSP) unless they have a Business Associate Agreement (BAA) 与 CSP 一起使用，even if the data are encrypted and the CSP has no access. 我不是安全专家，但大多数网络主机的安全性将 IMO 满足 HIPAA，IF 有一个 BAA。

有一个conduit exception for video, ISPs, and other electronic equivalents of USPS that do not store electronic Protected Health Information (e-PHI.)

我不知道为什么，但是将签署 BAA 的网络主机收取 100-300 美元/月的非常基本的托管费用，其他网站收取 5-15 美元/月的费用。我认为他们是在利用对 CE 的无知，认为有很多钱在四处晃荡，放射学是真的，但初级保健却不是。

G-Suite 将执行 BAA，这使 G-Suite 成为一种价格合理的解决方案，用于收集受保护的健康信息 (PHI) 患者输入，同时保持 CE 符合 HIPAA。 值得注意的是，"HIPAA compliance" 只是 CE 和电子病历的财产，而不是其他软件或网站的财产。任何其他声称“符合 HIPAA 合规性”的产品或服务都是虚假陈述。

我发现 Google 协作平台不像大多数网络主机那样用户友好。安装 WP 插件或添加 SSL 证书等操作更少。或者，也许谷歌只是在解释如何用托管在那里的网站上实际做某事方面做得很糟糕。无论如何，在为业余爱好者管理软件和 WP 插件的网络主机上运行网站似乎更容易。 我愿意接受这方面的教育。 （24 小时后——我做了很多自学——见下面的答案。）

The basic HIPAA privacy requirements are rather simple:

CE 可以使用 PHI 来治疗和执行基本功能，但必须 不要与任何无权使用它的人分享。

The basic HIPAA security requirements are also simple:

进行安全风险分析。 实施合理的安全措施并 记录为何采取或不采取各种措施。

有些元素是required, others must simply be addressed, evaluated and documented.

例如，2FA 和数据加密一样是“可寻址的”，但需要进行分析、物理安全和员工培训。

所以我的问题是嵌入在另一个网站主机上的网站中的 G-Suite 表单是否会在该网络主机上存储任何数据，还是全部返回 G-Suite，例如 G-Drive，它在哪里安全并由 BAA 覆盖？

【参考方案1】：

当您对某个主题知之甚少时，问题是您不知道该问什么。我对 HIPAA 了解很多，对 html 了解不多。我做了很多研究，至少有两个答案。

简短的回答是，不，嵌入式框架是链接到 G-Suite 的 iframe HTTPS。 iframe 中的表单是进入 docs.google.com 的窗口，因此数据永远不会从 docs.google.com 传出，它由 G-Suite 的 BAA 覆盖。主机站点实际上是一个管道。 p>

 <iframe src="https://docs.google.com/forms......…</iframe>

注意https

嵌入表单不会违反 HIPAA。

第二个答案是，G-Suite 有自己的内容管理系统和网站构建器，对技术技能的要求非常低。因此无需安装 Wordpress 或其他任何东西，您只需拖动- and-drop 创建一个站点。所有后端的东西都是为你完成的。呃。 他们执行 BAA，每月只需 6 美元。所以G-Suite要简单得多，实际上简单到只有孩子才能做到。他们的帮助页面还有很多不足之处。

底线——对于小型覆盖实体，G Suite 是一种非常经济的网站解决方案，不会违反 HIPAA。希望我昨天知道这一点！

仅供参考：HIPAA compliant Cloud Services