使用符合 HIPAA 的 GCP 数据库或 Firestore答案

【问题标题】：use GCP database or Firestore with HIPAA compliance使用符合 HIPAA 的 GCP 数据库或 Firestore
【发布时间】：2021-10-16 14:47:57
【问题描述】：

我正在构建一个需要存储一些患者数据的项目，它应该符合 HIPAA 合规性，因为它是医疗信息。

是否可以在 2021 年使用 Cloud Firestore 或实时数据库等 Firebase 数据库来做到这一点？如果是这样，我如何签署 Cloud Firestore 的 BAA？

【问题讨论】：

this 问题上的 cmets 建议 cloud.google.com/security/compliance/hipaa

标签： firebase-realtime-database google-cloud-platform google-cloud-firestore hipaa

【解决方案1】：

要符合 HIPAA 合规性，产品必须符合 ISO/IEC 27001、27017 和 27018 认证以及here 中提到的 SOC 2 报告。从this document 可以清楚地看出，Cloud Firestore 满足所有要求，而 Firebase 实时数据库不满足所有要求，并且在this document Cloud Firestore 列在 HIPAA 范围内的 Google Cloud 服务下，而 Firebase 实时数据库未列出.因此，HIPAA 合规性涵盖 Cloud Firestore，而 Firebase 实时数据库不涵盖。

要执行商业伙伴协议 (BAA)，您应该联系您的客户经理，如上所述 here。

【讨论】：

【解决方案2】：

看来，firestore 包含在 google cloud BAA 中，可用于符合 HIPAA 的工作。但目前，您不能将其与 firebase auth 一起使用，因为 firebase auth 不在 google cloud BAA 中。

因此，使用带有您自己的身份验证的 firestore 似乎是一种选择。 BAA 也涵盖了 Google 云身份平台。 more info

【讨论】：