使用符合 HIPAA 的 GCP 数据库或 Firestore

Posted

技术标签:

【中文标题】使用符合 HIPAA 的 GCP 数据库或 Firestore【英文标题】:use GCP database or Firestore with HIPAA compliance 【发布时间】:2021-10-16 14:47:57 【问题描述】:

我正在构建一个需要存储一些患者数据的项目,它应该符合 HIPAA 合规性,因为它是医疗信息。

是否可以在 2021 年使用 Cloud Firestore 或实时数据库等 Firebase 数据库来做到这一点?如果是这样,我如何签署 Cloud Firestore 的 BAA?

【问题讨论】:

this 问题上的 cmets 建议 cloud.google.com/security/compliance/hipaa 【参考方案1】:

要符合 HIPAA 合规性,产品必须符合 ISO/IEC 27001、27017 和 27018 认证以及here 中提到的 SOC 2 报告。从this document 可以清楚地看出,Cloud Firestore 满足所有要求,而 Firebase 实时数据库不满足所有要求,并且在this document Cloud Firestore 列在 HIPAA 范围内的 Google Cloud 服务下,而 Firebase 实时数据库未列出.因此,HIPAA 合规性涵盖 Cloud Firestore,而 Firebase 实时数据库不涵盖。

要执行商业伙伴协议 (BAA),您应该联系您的客户经理,如上所述 here。

【讨论】:

【参考方案2】:

看来,firestore 包含在 google cloud BAA 中,可用于符合 HIPAA 的工作。但目前,您不能将其与 firebase auth 一起使用,因为 firebase auth 不在 google cloud BAA 中。

因此,使用带有您自己的身份验证的 firestore 似乎是一种选择。 BAA 也涵盖了 Google 云身份平台。 more info

【讨论】:

以上是关于使用符合 HIPAA 的 GCP 数据库或 Firestore的主要内容,如果未能解决你的问题,请参考以下文章

谷歌端点是不是符合 hipaa

Firestore 投诉 Hipaa

符合 HIPAA 的安全短信

将用户应用程序数据保存在 SQLite/Android 中是不是符合 HIPAA 标准?

有没有人明确知道 API Gateway 和 cognito 在使用 lambda 时是不是符合 hipaa 标准?

确定平台 + Firestore REST 客户端是不是符合 HIPAA 要求?