Temos um cliente (farmácia) que deseja um formulário em seu site que submeta a uma API que é um serviço de elogio hipaa. Não estamos armazenando nenhum dado, apenas enviando. Nosso servidor/sistema precisa ser compatível com hipaa?
Responder1
Não é assim que a conformidade funciona. Você não pode simplesmente usar um serviço ou proteger um servidor e marcar a caixa compatível com HIPPA.
Veja por exemploNotas do HHS sobre a regra de segurança. Alguém, seja a associação de saúde coberta ou um parceiro comercial, precisa manter processos para proteger informações de saúde protegidas. Na transmissão e também armazenado em repouso.
Isto é mais amplo do que os controles técnicos. Obviamente, permita apenas tráfego criptografado, como solicitações HTTPS. Provavelmente é uma boa ideia criptografar discos. Mas também treine os funcionários sobre os procedimentos adequados para observar apenas o que é necessário para realizar seu trabalho e relatar violações. Em geral, implemente um processo formal de mitigação de riscos.
Se você fosse comprometido e os dados de envio deste formulário fossem exfiltrados, isso seria ruim para a privacidade do paciente e possivelmente para sua responsabilidade.
Obtenha uma resposta de um responsável pela conformidade sobre quais PHI estão sendo transmitidas e qual é sua responsabilidade por isso. Se alguma PHI estiver no escopo, eles terão perguntas para você.