Il mio team e io abbiamo creato un'app Web che trasferisce i dati da un sistema VOIP (chiamate registrate, messaggi vocali, fax, SMS) all'archiviazione su cloud (Google Drive, Amazon S3, Box.com). Di per sé, la nostra app segue le linee guida HIPAA. Ho un background nel software medico e ho creato diverse app mediche che soddisfano i requisiti HIPAA per l'archiviazione dei dati e il trasferimento dei dati. E mi sono assicurato che avessimo fatto lo stesso con questa app.
Ma io pongo questa domanda perché questa app è solo un ponte. Questa app memorizza pochissimi dati. (E i dati che immagazziniamo sono criptati e protetti). Il contenuto reale dei dati dei sistemi telefonici è memorizzato nella memoria dei nostri clienti (il loro Google Drive, il loro account Amazon, ecc.) Dopo che la nostra app lo ha trasferito. Ovviamente la nostra app ha punti di accesso al proprio spazio di archiviazione, ma ci siamo assicurati che l'accesso che forniamo sia protetto e conforme HIPAA dalla nostra parte.
La mia preoccupazione è la nostra dipendenza da questi fornitori di terze parti. Perfino la nostra procedura di login riporta su provider VOIP di terze parti per l'autenticazione. Tuttavia, il provider VOIP dichiara di essere conforme HIPAA.
Solo per chiarimenti, stiamo utilizzando OAuth per fornire l'autenticazione (tramite l'API di autenticazione del VOIP) e stiamo utilizzando OAuth per fornire un connettore a Google Drive e Box.com. Amazon non fornisce una API OAuth, ma il processo è simile utilizzando i token di sicurezza tramite il proprio Amazon S3 api e il pannello di controllo di accesso federato.
So che abbiamo fatto tutto il possibile per rendere la nostra app conforme HIPAA (in mancanza di memorizzazione dei dati nel nostro sistema), ma con tutta la fiducia che abbiamo su questi fornitori di terze parti, posso affermare con precisione che siamo HIPAA compatibile?