基本上同意林恩的观点。

并且添加更多 - 公共云是通用云，因此隐私没有完全实现。这是 HIPAA 要求的核心。但如果有相当于 HealthVault 的云或纯粹的私有云，那是很有可能的。

我的观点是——当前的公共云在设计时并未考虑到医疗保健。但是一个通用的连接应用程序。因此它们并不完全符合 HIPAA。管理云的人也需要有 HIPAA 或 CITI 或类似的认证才能被称为管理云的合格人员！我强烈怀疑是否有任何公共云产品满足这些基本标准！

当然，这是我在这个行业工作了很长时间，没有义务之后的个人观察。

HIPAA安全规则讨论了保护 PHI 所需的安全控制。您必须考虑很多事情——管理控制、物理安全、技术安全。我个人还没有看到任何可以完全排除云存储的东西，但我还没有进行过广泛的研究。您必须从各个角度为您自己的应用程序工作才能确定。云存储肯定会带来一些挑战，其中包括：

• 物理安全 - 您必须确保只有经过授权的人员才能自己访问服务器。如果是您的云，这可能不是问题，但如果您只是将数据存储在某个共享云存储场上，则必须调查他们的安全措施并确定它们是否合适。

• 传输安全——在我看来，云中的数据会被更多地传送，这对传输安全提出了额外的挑战。但这不是您无法通过安全数据通道克服的问题。

亚马逊为他们的亚马逊网络服务提供了一份关于这个主题的白皮书，并吹捧了几位继续前进的客户。

请参阅“对 HIPAA 合规性感兴趣？” 这里的侧边栏，以及这份白皮书。

更新：我跟进了 Mike Schenk 在下面提供的链接，发现了以下声明：

问：AWS GovCloud 是否提供比其他 AWS 区域更好的安全性？

AWS GovCloud 提供与其他 AWS 区域相同的高级别的安全性，并支持现有的 AWS 安全控制和认证，例如 FISMA、SAS-70、ISO 27001、符合 FIPS 140-2 的端点和 PCI DSS 1 级。AWS 还提供使机构能够遵守 HIPAA 法规的环境。唯一的区别是 AWS 向 AWS GovCloud 区域添加了一层权限，该权限限制了对已批准的美国人名单上的人员的访问。

我有机会向 Microsoft Azure 项目的 Mark Russinovich 询问此事。他说（转述）健康行业和银行业可能是最后一个接受云计算的群体，正是出于这个原因。

他还表示，获得 HIPAA 合规性的必要认证是云所有者（在这种情况下为微软）的责任。他确实提到他们通过了 SAS/ISO 认证并定期接受第三方审核。

我想说它将问题从“您的团队为实施 HIPAA 做了什么”变为“是第三方实施 HIPAA”。在我看来，一个问题不一定比另一个更容易回答——这取决于你的资源和第三方的资源。