安全

HIPAA合规性与Supabase

《健康保险携带与责任法案(HIPAA)》(https://www.hhs.gov/hipaa/for-professionals/privacy/laws-regulations/index.html) 是一项综合性法律,旨在保护个人健康信息的同时确保健康保险的连续性。该法案为所有处理受保护健康信息(PHI,也称为电子PHI/ePHI)的实体制定了必须遵循的隐私和安全标准。HIPAA 是美国特有的法规,但许多国家已有类似法律或正在立法中。

根据 HIPAA 规定,被覆盖实体(covered entities)和业务伙伴(business associates)各自承担着确保 PHI 保护的不同责任。对于希望提供医疗保健相关服务的客户(被覆盖实体),Supabase 作为业务伙伴角色存在。作为业务伙伴,Supabase 有多项义务,并已通过对其安全与隐私控制措施的审计以满足这些要求。Supabase 已与所有可能访问 ePHI 的供应商(如 AWS)签署了《业务伙伴协议(BAA)》,确保我们遵守协议中规定的条款。同样,当客户与我们签署 BAA 时,他们也需要承担在使用 Supabase 存储 PHI 时同意的相关责任。

客户责任

被覆盖实体(客户)是指直接处理受保护健康信息(PHI)的组织,包括健康计划、医疗保健信息交换中心以及执行特定电子交易的医疗保健提供者。

  1. 遵守HIPAA规则:被覆盖实体必须遵守HIPAA隐私规则安全规则违规通知规则,以保护电子受保护健康信息(ePHI)的隐私和安全。
  2. 业务伙伴协议(BAAs):客户必须与Supabase签署BAA协议。当被覆盖实体委托业务伙伴协助开展医疗保健活动时,必须签订书面BAA。该协议明确了业务伙伴的责任,并要求其遵守HIPAA规则。
  3. 内部合规计划:客户必须配置其HIPAA项目并遵循安全顾问提供的指导。被覆盖实体有责任实施内部流程和合规计划,确保符合HIPAA要求。

[Accessibility]

Supabase 的责任

作为业务合作伙伴,Supabase 及其使用的供应商是代表客户执行功能或活动的实体。

  1. 直接责任:Supabase 对遵守 HIPAA 规则的某些条款负有直接责任。这意味着 Supabase 必须实施保护措施来保护电子受保护健康信息(ePHI),并向客户报告数据泄露事件。
  2. 遵守 BAA:Supabase 必须遵守《商业伙伴协议》(BAA)的条款,包括实施适当的管理、物理和技术保障措施来保护 ePHI。
  3. 供应商管理:Supabase 还必须确保可能接触 ePHI 的供应商遵守 HIPAA 规则,这通过与每家供应商签订 BAA 来实现。

保持合规与安全

合规是一个持续的过程,不应被视为对控制措施的临时审计。Supabase 在审计时会应用所有必要的隐私和安全控制措施以确保 HIPAA 合规,同时还设有额外的检查和监控机制,确保这些控制在审计间隔期间不会被禁用或更改。客户也承诺在其 HIPAA 环境中采取相同做法。Supabase 提供了一系列不断增加的检查功能,当客户项目中的变更禁用或削弱了 HIPAA 要求的控制措施时,会向客户发出警告。客户将通过安全顾问收到警告和指导,但应用推荐控制措施的责任直接落在客户身上。

我们的责任共担模型文档讨论了 HIPAA 和一般数据管理的最佳实践、客户与 Supabase 之间如何分担这一责任,以及如何保持合规。

常见问题

SOC 2 与 HIPAA 有何区别?

两者都是保护敏感数据的框架,但服务目的不同。它们共享许多安全与隐私控制措施,满足其中一项的标准通常意味着也基本符合另一项的要求。

主要区别在于适用范围和目标:

  • SOC 2 不限定行业,适用于任何处理客户数据的服务型组织
  • HIPAA 是美国联邦法规,专门为 PHI/ePHI(受保护健康信息/电子受保护健康信息)的隐私与安全制定标准,确保患者数据得到保密和安全处理

Supabase 的 HIPAA 环境是否符合 SOC 2 标准?

是的。Supabase 对所有环境都采用相同的 SOC 2 控制措施,并对 HIPAA 环境额外增加控制要求。

Supabase 接受审计的频率是?

Supabase 每年接受审计。HIPAA 控制措施与 SOC 2 控制措施在同一审计周期内接受审查。

相关资源

  1. 健康保险流通与责任法案 (HIPAA)
  2. HIPAA 隐私规则
  3. 安全规则
  4. 违规通知规则
  5. 在 Supabase 上配置 HIPAA 项目
  6. 责任共担模型
  7. HIPAA 责任共担