使用符合 HIPAA 的 GCP 数据库或 Firestore
Posted
技术标签:
【中文标题】使用符合 HIPAA 的 GCP 数据库或 Firestore【英文标题】:use GCP database or Firestore with HIPAA compliance 【发布时间】:2021-10-16 14:47:57 【问题描述】:我正在构建一个需要存储一些患者数据的项目,它应该符合 HIPAA 合规性,因为它是医疗信息。
是否可以在 2021 年使用 Cloud Firestore 或实时数据库等 Firebase 数据库来做到这一点?如果是这样,我如何签署 Cloud Firestore 的 BAA?
【问题讨论】:
this 问题上的 cmets 建议 cloud.google.com/security/compliance/hipaa 【参考方案1】:要符合 HIPAA 合规性,产品必须符合 ISO/IEC 27001、27017 和 27018 认证以及here 中提到的 SOC 2 报告。从this document 可以清楚地看出,Cloud Firestore 满足所有要求,而 Firebase 实时数据库不满足所有要求,并且在this document Cloud Firestore 列在 HIPAA 范围内的 Google Cloud 服务下,而 Firebase 实时数据库未列出.因此,HIPAA 合规性涵盖 Cloud Firestore,而 Firebase 实时数据库不涵盖。
要执行商业伙伴协议 (BAA),您应该联系您的客户经理,如上所述 here。
【讨论】:
【参考方案2】:看来,firestore 包含在 google cloud BAA 中,可用于符合 HIPAA 的工作。但目前,您不能将其与 firebase auth 一起使用,因为 firebase auth 不在 google cloud BAA 中。
因此,使用带有您自己的身份验证的 firestore 似乎是一种选择。 BAA 也涵盖了 Google 云身份平台。 more info
【讨论】:
以上是关于使用符合 HIPAA 的 GCP 数据库或 Firestore的主要内容,如果未能解决你的问题,请参考以下文章
将用户应用程序数据保存在 SQLite/Android 中是不是符合 HIPAA 标准?