Stiamo progettando di sviluppare un software di EHR / Fatturazione e siamo a conoscenza delle regole e dei regolamenti HIPAA. La nostra attuale architettura applicativa che utilizza un database condiviso con tutti i dati del cliente (fornitore / esercizio).
Vorrei sapere se HIPAA consiglia di isolare database per cliente (Provider / Practice) - cioè un singolo database per ogni cliente una violazione della sicurezza delle regole e dei regolamenti HIPAA?
HIPAA non proibisce specificamente l'infrastruttura condivisa.
Se stai per diventare un'azienda neutrale che offre SaaS a numerose pratiche, questa architettura andrà bene. Assicurati che la tua sicurezza logica sia di prim'ordine, in modo che nessun cliente possa accedere ai dati per nessun altro cliente. Questo è abbastanza facile, ma deve essere un processo deliberato, documentato e dimostrabile. Garantire l'esecuzione di test automatizzati per applicare questi controlli, testare pesantemente il livello di accesso ai dati, ecc.
Inoltre, assicurati che il tuo spazio di archiviazione sia crittografato.