Hospedagem em Conformidade com HIPAA & Infraestrutura BAA

Não. A AWS oferece serviços elegíveis para HIPAA e assinará um BAA, mas a conformidade é responsabilidade compartilhada. Você ainda precisa configurar corretamente criptografia, controles de acesso, logging de auditoria e isolamento de rede. Executar na AWS não torna sua aplicação HIPAA-compliant — a configuração e seus procedimentos operacionais são o que realmente importa.

Um BAA é um contrato legalmente obrigatório entre uma entidade coberta e qualquer fornecedor que manipule PHI em seu nome. AWS, Azure e Google Cloud todos oferecem BAAs, mas cada um cobre apenas serviços específicos dentro de sua plataforma. Usar um serviço que não está coberto por um BAA para processar PHI é uma violação de conformidade — independentemente de qualquer outra coisa que você tenha em vigor.

Vercel e Netlify não assinam BAAs atualmente, então não podem hospedar aplicações que processem ou armazenem PHI. Dito isto, você pode usá-los para ativos frontend estáticos que não contenham PHI enquanto executa seu backend e banco de dados em serviços AWS, Azure ou Google Cloud cobertos por BAA. É uma divisão viável, desde que o limite seja claro.

Os custos de infraestrutura mensal normalmente ficam entre $500 e $5.000 dependendo de computação, armazenamento e transferência de dados. O número maior geralmente é o trabalho de arquitetura e configuração inicial. Cortar custos na configuração para reduzir custos mensais é exatamente como acontecem as violações. Nossa configuração com taxa fixa garante que a fundação esteja pronta para auditoria antes que qualquer coisa entre em funcionamento.

Se seus dados atendem aos 18 critérios Safe Harbor de desidentificação sob 45 CFR 164.514, não são mais PHI e as proteções técnicas do HIPAA não se aplicam. Desidentificação parcial não funciona — um identificador restante e você volta ao tratamento completo de PHI. Ajudaremos você a verificar sua metodologia de desidentificação antes de fazer essa suposição.

O Office for Civil Rights solicita avaliações de risco, documentação de proteções técnicas, BAAs, logs de acesso, procedimentos de resposta a violações e registros de treinamento de funcionários com retroatividade de seis anos. Nosso pacote de documentação de conformidade é estruturado para responder essas solicitações sem a pressa de última hora. E porque tudo é infraestrutura como código, cada decisão de configuração é rastreável e defensável.