Mi equipo y yo creamos una aplicación web que transfiere datos desde un sistema VOIP (llamadas grabadas, correos de voz, faxes, mensajes de texto) al almacenamiento en la nube (Google Drive, Amazon S3, Box.com). En sí mismo, nuestra aplicación sigue las pautas de HIPAA. Tengo experiencia en software médico y he creado varias aplicaciones médicas que cumplen con los requisitos de HIPAA para el almacenamiento y la transferencia de datos. Y me aseguré de que hiciéramos lo mismo con esta aplicación.
Pero hago esta pregunta porque esta aplicación es solo un puente. Esta aplicación almacena muy pocos datos. (Y los datos que almacenamos están encriptados y protegidos). El contenido real de los datos de los sistemas telefónicos se almacena en el propio almacenamiento de nuestros clientes (su Google Drive, su cuenta de Amazon, etc.) después de que nuestra aplicación lo transfiera. Por supuesto, nuestra aplicación tiene puntos de acceso a su almacenamiento, pero nos hemos asegurado de que el acceso que proporcionamos esté protegido y sea compatible con HIPAA por nuestra parte.
Mi preocupación es nuestra confianza en estos proveedores externos. Incluso nuestro procedimiento de inicio de sesión se intercambia con proveedores de VOIP de terceros para la autenticación. Sin embargo, el proveedor de VOIP declara que cumple con HIPAA.
Solo para aclarar, estamos usando OAuth para proporcionar autenticación (a través de la API de autenticación de VOIP), y estamos usando OAuth para proporcionar un conector a Google Drive y Box.com. Amazon no proporciona una api de OAuth, pero el proceso es similar al usar tokens de seguridad a través de su api de Amazon S3 y el panel de control de inicio de sesión federado.
Sé que hemos hecho todo lo posible para que nuestra aplicación sea compatible con HIPAA (excepto para almacenar sus datos en nuestro propio sistema), pero con toda la confianza que tenemos en estos proveedores externos, ¿puedo afirmar con precisión que somos ¿Cumple la HIPAA?