我不能给你完整的答案，但我之前医院的律师给我的简短版本是：

SSL 将保护正在传输的数据，但是，缓存到 SD 卡/硬盘驱动器的任何内容都没有加密......

因此，在查看此应用程序时，您还必须对应用程序存储在手机上的内容进行加密。如果您曾经将 iPhone 插入您的计算机（或朋友），您可以访问全套存储（包括操作系统），这意味着如果手机丢失，任何缓存的内容都可用。

我会仔细研究加密程序提供给设备的至少任何 PKI、PHI 或 PII。

问题是即使程序不存储数据，Web 界面也可以缓存进出设备的数据。这是可能导致您出现问题的部分。

唯一的答案是完全符合 HIPAA 法律，并且只允许本应允许使用受保护患者数据的个人以安全和经过审核的方式访问这些数据。至少阅读一下， http://www.hhs.gov/ocr/privacy/hipaa/understanding/summary/index.html

列出一些正在使用的技术（SSL；磁盘加密）并不能使您符合 HIPAA。确保您不会无意中与未签署业务伙伴协议 (BAA) 的任何第三方（例如，托管在云平台上）共享数据。不要将受保护的数据存储在未加密的手机上。确保您的应用程序不受基本 SQL 注入/权限提升类型攻击、监视用户活动的奇怪行为、报告披露等。