الانتقال إلى المحتوى الرئيسي
إذا شغّلت روبوت محادثة سريرياً، أو وكيل تفويض مسبق، أو أي سير عمل LLM يلمس المعلومات الصحية المحمية، فالسؤال ليس “هل نموذجي معتمد لـ HIPAA” — لا نموذج كذلك. السؤال هو ما إذا كان مستوى البيانات بين تطبيقك والنموذج يستطيع منع تسرّب PHI إلى المطالبات والاستجابات والسجلات واستدعاءات الأدوات الصادرة. هذا ما تمنحك إياه حزمة HIPAA: مجموعة ضوابط بوابة مُسقَطة على قاعدة أمن وخصوصية HIPAA، مثبّتة في استدعاء واحد، تنتج أدلة موقّعة — مع حدود واحدة مذكورة صراحةً مقدّماً.
اتفاقية شريك الأعمال مسؤولية مؤسستك، لا ضابطاً تستطيع البوابة فرضه. يستطيع OrcaRouter تنقيح PHI، وتدقيق الوصول، وتوقيع الأدلة — لكن اتفاقية شريك الأعمال عقد بين الكيانات المشمولة وشركاء أعمالها، وتفصح الحزمة عنها كضابط تنظيمي تقرّ به، لا أبداً كتغطية آلية. انظر الحدود أدناه.

1. ماذا تعني حوكمة “HIPAA للذكاء الاصطناعي” على البوابة

تُسقِط حزمة HIPAA (hipaa) بنود قاعدة أمن وخصوصية HIPAA على ضوابط بوابة حية. مثل كل حزمة امتثال، تثبيتها يجسّد سياسات حاجز حماية و جدار حماية حقيقية قابلة للتحرير في مساحة عملك — لا يضيف محرك تشغيل جديداً. أربعة ضوابط قابلة للفرض تقوم بعمل PHI:
hipaa.phi_redaction (45 CFR §164.502(b)، الحد الأدنى الضروري) يحجب معرّفات الرعاية الصحية الأمريكية — أرقام NPI، ورموز ICD-10، ورموز أدوية NDC، وأرقام تسجيل DEA — قبل أن تصل إلى النموذج. الأنماط مرتكزة على السياق (يجب وجود الرمز الحرفي NPI أو ICD أو NDC أو DEA) لتحديد الإيجابيات الكاذبة.
hipaa.pii_safeguards (45 CFR §164.514(b)، إزالة التعريف) يحجب حجباً صلباً كيانات الاتصال والهوية التي تتداخل مع مجموعة معرّفات HIPAA — البريد، والهاتف، وSSN، وبطاقة الائتمان، وIP — فطلب يحملها لا يصل أبداً إلى المزود. يُشحَن مطفأً افتراضياً، فتستطيع تبديله إلى الإخفاء بدلاً من الحجب بمجرد مراجعتك لحركة مرورك.
hipaa.audit_logging (45 CFR §164.312(b)، ضوابط التدقيق) يسجّل كل قرار حاجز حماية حتى يستطيع التقرير عرض ما أُطلِق، وكم مرة، وأين.
hipaa.transmission_security (45 CFR §164.312(e)) قاعدة egress جدار حماية ترفض استدعاءات الأدوات المتجهة إلى loopback، وlink-local / cloud-metadata، والنطاقات الخاصة (RFC-1918 / ULA) — IPv4 وIPv6 — فلا تستطيع أداة شحن PHI بهدوء إلى نقطة نهاية تسريب داخلية.
تعيش الضوابط الثلاثة الأولى على مستوى المحتوى (حواجز الحماية)؛ ويعيش الرابع على مستوى استدعاء الأدوات (جدار الحماية). التثبيت يدمجها في حاجز حماية واحد وسياسة جدار حماية واحدة تملكها وتستطيع ضبطها.
ضابطان إضافيان يُشحَنان في الحزمة — تدريب أمن القوى العاملة (45 CFR §164.308(a)(5)) واتفاقيات شركاء الأعمال (§164.308(b)(1)) — لكنهما مُعلَّمان تنظيميين: بندا أشخاص-وعمليات لا يستطيع وكيل فرضهما أبداً. يفصح التقرير عنهما كمُقَرّين أو كثغرات، لا كتغطية آلية. الصدق هو المغزى.

2. ثبّت حزمة HIPAA — مثال ملموس واحد

يستخدم ضبط الامتثال جلسة وحدة التحكم لديك، لا أبداً مفتاح ترحيل sk-orca-…. تصفّح الكتالوج والتحقق من الجاهزية مجانيان لأي عضو في مساحة العمل؛ التثبيت إجراء مسؤول مساحة عمل على خطة مدفوعة، محكوم على الخادم في كلا الاتجاهين.
1

افتح حزمة HIPAA

في وحدة تحكم مساحة العمل، اذهب إلى الامتثال ← الكتالوج وافتح HIPAA (تعيش ضمن فئة healthcare). يسرد كل ضابط مستواه، وبنده، ورابطاً عميقاً لقسم eCFR الرسمي.
2

ثبّت في وضع المراقبة

كـمسؤول مساحة عمل على خطة مدفوعة، انقر تثبيت. تتجسّد الحزمة فوراً في وضع المراقبة — يعلّم حاجز الحماية بدلاً من الحجب، ويعمل جدار الحماية في الظل — فتجمع أدلة “كان-سيُحجَب” مقابل حركة مرور حقيقية أولاً.
3

راقب، ثم انتقل للإنتاج

دع ضوابط الظل تراكم المطابقات، وراجعها، ثم خذ الحزمة للإنتاج لتشغيل إجراءات block / mask / deny المُعلَنة. انظر المراقبة مقابل الفرض.
تقود وحدة التحكم نقطة نهاية واحدة تحت رمز جلسة المسؤول لديك — معروضة هنا حتى تدقّقها أو تكتب سكربتها، لا كشيء تستدعيه بمفتاح ترحيل: 
POST /api/compliance/packs/hipaa/install
Authorization: Bearer <your-console-session-token>
Content-Type: application/json

{ }
جسم فارغ يثبّت كل ضابط في الحزمة. الاستجابة هي سجل التثبيت — الإصدار المثبّت، mode: observe، وguardrail_id وfirewall_policy_id للسياستين المُجسَّدتين حتى تستطيع فتحهما فوراً.
ولأن التثبيت ينتج كائنات حاجز حماية وجدار حماية قياسية، تستطيع ربط سياسة جدار الحماية المُجسَّدة بمفتاح وكيل عبر firewall_policy_id وضبط قاعدة حاجز حماية PHI قاعدةً بقاعدة — تماماً مثل سياسة ألّفتها يدوياً.

3. الحدود الصادقة — اتفاقية شريك الأعمال ملكك

برنامج HIPAA أكثر من مرشّح تنقيح. تغطي البوابة الضوابط التي يستطيع مستوى بيانات فرضها فعلاً؛ وكل ما عدا ذلك يبقى مع مؤسستك. إليك الفصل، مرسوماً بنفس طريقة خريطة المسؤولية المشتركة:
مجال الضابطتفرضه البوابةتملكه مؤسستك
PHI في حركة المرورحجب / إخفاء المعرّفات في المطالبات والمخرجاتتصنيف أي الحقول PHI
egress الأدواترفض التسريب إلى النطاقات الخاصة / البيانات الوصفيةتأمين الأدوات التي تتجاوز البوابة
أثر التدقيقسجل موقّع لكل قرار حاجز حماية وجدار حمايةمراجعته؛ ضبط الاحتفاظ
اتفاقية شريك الأعمال والقوى العاملة— (مُفصَح عنها كمُقَرّة / ثغرة)اتفاقية شريك الأعمال الموقّعة؛ التدريب؛ العقوبات
البوابة هي المسار المدقَّق، لا معترِض على مستوى النواة. أداة يشغّلها وكيلك بالكامل داخل عمليته — لا تعبر أبداً https://api.orcarouter.ai ولا تبلّغ أبداً عن وجهة egress — خارج رؤية جدار الحماية. وجّه الأدوات واستدعاءات MCP الملامسة لـ PHI عبر البوابة (عبر بوابة Firewall MCP) حتى يستطيع ضابط egress رؤيتها، أو أمّنها بنفسك على مستوى البنية التحتية.

4. أثبتها — أدلة موقّعة مختومة بالمنطقة

بمجرد أن تكون الحزمة حية، ولّد تقرير HIPAA. التقارير موقّعة بـ Ed25519 ومختومة بـ SHA-256، قابلة للتصدير كـ CSV / JSON / PDF، وقابلة للتحقق علناً — يستطيع مدقق تأكيد أصالة تقرير دون تسجيل دخول. يتتبّع كل صف بنداً نزولاً إلى سياسة حاجز الحماية أو جدار الحماية الدقيقة التي تفرضه والمطابقات التي أنتجها على الفترة؛ ويُعرَض الضابطان التنظيميان كثغرات مُفصَح عنها أو إقرارات مالك. تُعلِن أيضاً منطقة إقامة بيانات لمُنتَج التقرير (us / eu / uk / ap / cn / global) — تُخزَّن التقارير الموقّعة وتُقدَّم فقط تحت منطقتك المُعلَنة، وتُحجَب القراءة العابرة للمناطق. لكيان أمريكي مشمول، اضبط us. هذا يختم مُنتَج الأدلة، لا جغرافية الاستدلال.
توليد التقرير، والانتقال للإنتاج، وضبط الإقامة إجراءات مسؤول مساحة عمل على خطة مدفوعة، مفروضة على الخادم. يبقى تصفّح الكتالوج والتحقق من الجاهزية مجانيين. انظر تبويب الخطط.

5. إلى أين تذهب بعد ذلك

تثبيت حزمة

تدفّق التثبيت الكامل — اختيار الضوابط، ووضع المراقبة، والانتقال للإنتاج.

التقرير الموقّع

ما الذي يحتويه تقرير أدلة HIPAA الموقّع بـ Ed25519.

التحقق من تقرير

كيف يؤكّد مدقق أن تقريراً أصلي دون تسجيل دخول.

إقامة البيانات

إعلان المنطقة التي تُخزَّن وتُقدَّم تحتها أدلتك الموقّعة.

مرجع حواجز الحماية

مستوى المحتوى الذي تجسّده الحزمة — كيانات PII، والإخفاء، والإجراءات.

تسريب البيانات

التهديد الذي يدافع عنه ضابط egress.
تحوّل حزمة HIPAA قاعدة الأمن والخصوصية إلى تنقيح PHI، ورفض egress، وأدلة موقّعة تستطيع تسليمها لمدقق — بينما تقول صراحةً إن اتفاقية شريك الأعمال، والتدريب، وبنيتك التحتية الخاصة تبقى ملكك. لبقية الكتالوج، انظر أطر العمل.