У нас есть клиент (аптека), которому нужна форма на своем веб-сайте, которая отправляет API-интерфейс, представляющий собой услугу комплимента hipaa. Мы не храним никаких данных, а только отправляем. Должен ли наш сервер / система соответствовать требованиям hipaa?
Это не то, как работает комплаенс. Вы не можете просто использовать службу или защитить сервер и поставить отметку «Соответствие HIPPA».
См. Например Примечания HHS о правилах безопасности. Кому-то, будь то страховая ассоциация здравоохранения или деловой партнер, необходимо поддерживать процессы для защиты защищенной медицинской информации. В трансмиссии, а также хранится в покое.
Это шире, чем технический контроль. Очевидно, разрешить только зашифрованный трафик, такой как запросы HTTPS. Наверное, неплохо было бы зашифровать диски. Но также обучите сотрудников надлежащим процедурам, чтобы они смотрели только на то, что необходимо для выполнения их работы, и сообщали о нарушениях. В общем, внедрите формальный процесс снижения рисков.
Если вас скомпрометируют и данные для отправки этой формы будут украдены, это будет плохо для конфиденциальности пациентов и, возможно, вашей ответственности.
Получите ответ от специалиста по комплаенсу о том, какая защищенная информация передается и какова ваша ответственность за это. Если какая-либо PHI входит в сферу охвата, у них будут к вам вопросы.