Estamos planeando desarrollar un software de EHR / Billing y estamos al tanto de las reglas y regulaciones de HIPAA. Nuestra arquitectura de aplicación actual utiliza una base de datos compartida con todos los datos del cliente (Proveedor / Práctica).
Me gustaría saber si HIPAA recomienda aislar la base de datos por cliente (Proveedor / Práctica), es decir, ¿es una base de datos única para cada cliente una violación de seguridad de las reglas y regulaciones de HIPAA?
HIPAA no prohíbe específicamente la infraestructura compartida.
Si va a ser una empresa neutral que ofrece SaaS a numerosas prácticas, esta arquitectura estará bien. Asegúrese de que su seguridad lógica sea de primera clase, de modo que ningún cliente pueda acceder a los datos de otro cliente. Esto es bastante fácil, pero debe ser un proceso deliberado, documentado y demostrable. Asegúrese de que se realicen pruebas automáticas para hacer cumplir estas auditorías, realizar pruebas exhaustivas de su capa de acceso a datos, etc.
También, asegúrese de que su almacenamiento esté encriptado.