我們的伺服器是否需要符合 hipaa 標準才能託管表單？

我們有一個客戶（藥房）想要在他們的網站上送出一個表單，該表單送出給一個作為 hipaa 恭維服務的 api。我們不儲存任何數據，只發送。我們的伺服器/系統是否需要符合 hipaa 標準？

這不是合規的運作方式。您不能只使用服務或保護伺服器，然後選中符合 HIPPA 的框。

例如，參見HHS 關於安全規則的說明。有人，無論是涵蓋的醫療保健協會還是商業夥伴，都需要維護流程以保護受保護的健康資訊。在傳輸中以及在靜止時儲存。

這比技術控制更廣泛。顯然，只允許HTTPS請求等加密流量。加密磁碟可能是個好主意。而且，對員工進行適當程序培訓，使其只關注完成工作所必需的內容，並報告違規行為。通常，實施正式的風險緩解流程。

如果您受到威脅，並且此表格的送出數據被洩露，這將損害患者隱私，並可能損害您的責任。

從合規人員那裡獲得關於正在傳輸的 PHI 以及您的責任的答案。如果有任何 PHI 在範圍內，他們會向您提出問題。

引用自：https://serverfault.com/questions/1000301