nexus/wiki/entities/HIPAA.md

title, type, tags, date

title	type	tags	date
HIPAA	entity	security compliance healthcare	2025-03-02

HIPAA

HIPAA（Health Insurance Portability and Accountability Act）是美国 1996 年颁布的联邦法律，主要规范医疗健康信息的隐私和安全。

Overview

HIPAA 是医疗行业云采用的关键合规门槛。主流云服务商通过 HIPAA 合规认证，使其能够服务医疗健康行业客户。

Key Rules

Privacy Rule（隐私规则）

• 保护个人医疗信息（PHI / Protected Health Information）
• 规定谁可以访问 PHI
• 赋予患者访问和控制自己信息的权利

Security Rule（安全规则）

• Administrative Safeguards: 安全管理和流程
• Physical Safeguards: 物理设施安全
• Technical Safeguards: 技术保护措施

Breach Notification Rule（违约通知规则）

• 超过 500 人受影响必须在 60 天内通知
• 向 HHS 和媒体通报

Cloud Provider HIPAA Compliance

主流云服务商通过 HIPAA 合规，允许医疗客户在云中处理 PHI：

Provider	HIPAA Compliance
AWS	BAA (Business Associate Agreement) 可用，HIPAA Eligible Services
Azure	HIPAA BAA，覆盖大量 Azure 服务
Google Cloud	HIPAA BAA，支持 PHI 工作负载

Relevance to Cloud Myths

HIPAA 认证是反驳"云不安全"误解的重要证据：

• 云服务商支持 HIPAA 合规 = 可安全处理最敏感的医疗数据
• 通过 HIPAA 认证的云环境在某些方面优于传统本地医疗系统

Related Standards

• ISO-27001 — 信息安全管理体系
• GDPR — 欧盟数据保护条例（跨地区对比）
• SOC-2 — 通用安全控制报告
• PHI — Protected Health Information

Sources

• The Myths and Misconceptions About Cloud Computing (LinkedIn)