Alojamiento Conforme a HIPAA e Infraestructura BAA

No. AWS ofrece servicios elegibles para HIPAA y firmará una BAA, pero el cumplimiento es responsabilidad compartida. Aún tienes que configurar correctamente el encriptado, controles de acceso, registro de auditoría y aislamiento de red. Ejecutarse en AWS no hace que tu aplicación sea conforme a HIPAA — la configuración y tus procedimientos operacionales son lo que realmente importa.

Un BAA es un contrato legalmente requerido entre una entidad cubierta y cualquier proveedor que maneje PHI en su nombre. AWS, Azure y Google Cloud todos ofrecen BAAs, pero cada uno cubre solo servicios específicos dentro de su plataforma. Usar un servicio que no esté cubierto por una BAA para procesar PHI es una violación de cumplimiento — sin importar lo demás que tengas en su lugar.

Vercel y Netlify actualmente no firman BAAs, por lo que no pueden alojar aplicaciones que procesen o almacenen PHI. Dicho esto, puedes usarlos para activos frontend estáticos que no contengan PHI alguno mientras ejecutas tu backend y base de datos en servicios de AWS, Azure o Google Cloud cubiertos por BAA. Es una división viable, siempre y cuando el límite sea claro.

Los costos de infraestructura mensual típicamente oscilan entre $500 y $5,000 dependiendo de computación, almacenamiento y transferencia de datos. El número más grande suele ser el trabajo inicial de arquitectura y configuración. Cortar esquinas en la configuración para recortar costos mensuales es exactamente cómo ocurren las brechas. Nuestra configuración con tarifa fija asegura que la base esté lista para auditoría antes de que nada se ponga en vivo.

Si tus datos cumplen los 18 criterios de Safe Harbor de desidentificación bajo 45 CFR 164.514, ya no es PHI y las salvaguardas técnicas de HIPAA no aplican. La desidentificación parcial no funciona — un identificador restante y vuelves al tratamiento completo de PHI. Te ayudaremos a verificar tu metodología de desidentificación antes de que hagas esa suposición.

La Oficina de Derechos Civiles solicita evaluaciones de riesgos, documentación de salvaguardas técnicas, BAAs, registros de acceso, procedimientos de respuesta ante brechas y registros de capacitación de empleados que se remonten a seis años. Nuestro paquete de documentación de cumplimiento está estructurado para responder esas solicitudes sin la prisa de último momento. Y porque todo es infraestructura como código, cada decisión de configuración es rastreable y defensible.