跳轉到主要內容
你正把一個 LLM 放到受保護的健康資訊之前——一個分流 助理、一個臨床筆記摘要器、一個面向病患的聊天機器人——而你 在它看見真實的 PHI 之前需要一個站得住腳的姿態。本頁是 在託管閘道(api.orcarouter.ai)上做 HIPAA AI 部署的 檢查清單:你今天可以在工作區中開啟的控制,以及 少數幾個留在你這邊界線上的。
OrcaRouter 不是你的承保實體(covered entity),而開啟 HIPAA 包並 不是「合乎 HIPAA」。 閘道給你你所設定的技術防護措施與 你能交給稽核員的證據。一份簽署的業務合作夥伴 協議(BAA)、你自己的基礎設施、人力訓練, 以及實體控制,是你組織的責任——合規 報告把它們揭露為缺口,而非假裝 閘道涵蓋它們。參見 §6

1. 一個 HIPAA AI 部署在閘道上涵蓋什麼

HIPAA 框架包把少數幾條 Security 與 Privacy Rule 條款映射到閘道在中繼路徑上能實際強制執行的控制—— 防護欄用於文字,而 防火牆用於工具 egress。安裝包會把 那些控制具現化為你工作區中真實、可編輯的防護欄與防火牆列。
條款(45 CFR)閘道控制
§164.502(b) 最小必要在提示與輸出中遮蔽 PHI
§164.514(b) 去識別化在請求中硬性封鎖 HIPAA 識別碼
§164.312(b) 稽核控制記錄每個防護欄決策
§164.312(e) 傳輸安全拒絕工具 egress 到私有 / 中繼資料範圍
下方的一切都從你工作區工作階段下的主控台(或 REST API) 設定——其中沒有任何一項改變你的代理程式碼,且 設定路由有角色管控。

2. 安裝 HIPAA 包

瀏覽目錄與檢查就緒度對任何 Member 開放且 免費。安裝一個包是一個工作區 Admin 動作,並需要一個 付費方案——無論如何都有伺服器端管控。 
# Admin · UserAuth session (NOT a relay sk-orca- key)
curl -X POST https://api.orcarouter.ai/api/compliance/packs/hipaa/install \
  -H "Authorization: Bearer <your-console-access-token>" \
  -H "X-Workspace-Id: <workspace-id>"
在一步中,這會把四個映射的控制具現化為你接著可以開啟並 編輯的防護欄與防火牆列——以observe 模式安裝, 所以在你把包上線之前沒有任何東西強制執行。你也可以從 Console → Compliance → HIPAA → Install 做同樣的事。
在安裝前後檢查 GET /api/compliance/readiness,以查看 哪些條款被涵蓋、哪些仍是缺口,以及每一個映射到 什麼。Readiness 是一個 Member 可讀、免費的端點——把它與 任何擁有稽核的人分享。

3. 在模型看見 PHI 之前遮蔽它

包的 phi_redaction 控制會播下一條防護欄,在 input 階段封鎖美國醫療識別碼——NPI 號碼、ICD-10 代碼、 NDC 藥品代碼,以及 DEA 註冊號碼——使用情境錨定的 regex,這樣一個離群的十位數號碼就不會絆倒它。在其上疊一個 PII Shield 以把一般識別碼(email、phone、SSN、IP,以及 內建實體集的其餘部分)遮罩 為帶型別的標籤如 [SSN],在請求離開閘道之前。 在你把規則附加到一把金鑰之前,在編輯器的 Test 分頁中證明它: 
Input:  "Patient NPI 1234567890, dx ICD-10 J18.9, reply to jane@acme.com"
Verdict: blocked (medical_phi_block) · email → [EMAIL]
輸入階段遮罩已上線;即時輸出/串流遮罩尚未。 PII Shield 在上游模型看見之前遮罩請求。 在回應上,一個 block 動作在串流與 非串流輸出上都會被強制執行,但輸出上的 mask 目前 僅限非串流。如果你今天需要把 PHI 從模型輸出中 經串流洗刷掉,請 block 而非 mask,或以非串流方式運行——並在沙盒中先證明你確切的 階段/串流組合。參見 防護欄參考

4. 拒絕 PHI egress 並記錄每個決策

四個 HIPAA 控制中有兩個是關於文字變乾淨之後 發生什麼:
包會在 egress 介面上寫一條防火牆 deny 規則,帶一份 具體的 host/CIDR 拒絕清單預先填好——loopback、link-local / 雲端中繼資料(169.254.0.0/16),以及 RFC1918 / IPv6-ULA 私有 範圍——這樣一個工具就無法悄悄把 PHI 運往一個內部端點。你 不必撰寫那些 CIDR;你可以在防火牆規則中加寬或收緊 allow/deny 清單。Egress 強制執行在你閘道整合回報為 egress 的外送支段上 觸發,所以先在影子模式下上線它,以查看它在改變流量之前本來會拒絕什麼。
包的稽核控制會把每個防護欄決策記錄進 工作區 Matches 動態(GET /api/guardrail/match,Member)。預設情況下 該動態記錄一條規則觸發了及其細節字串,但 記錄匹配到的子字串——隱私保守的姿態,這 正是你為 PHI 所要的。讓 Log raw content 保持關閉,除非你有一個 特定的分流需求,因為開啟它會持久化匹配到的 PHI 本身。
防火牆決策落入工作區 Events 動態(Developer+),帶 它們的裁決與介面,所以動作層與內容層各自 留下一條獨立的軌跡。

5. 固定報告駐留地並產生簽署的證據

當你產生一份合規報告時,它的資料駐留地區域是 報告產物的一個屬性——useuukapcnglobal。設定它一次(Admin);對一個固定到 不同區域的報告的跨區讀取會被扣留。 
# Admin · set the residency region for compliance reports
curl -X PUT https://api.orcarouter.ai/api/compliance/residency \
  -H "Authorization: Bearer <your-console-access-token>" \
  -H "X-Workspace-Id: <workspace-id>" \
  -H "Content-Type: application/json" \
  -d '{"region": "us"}'
這裡的駐留地治理合規報告產物,而非你的 推論資料在哪裡被處理。它不是 PHI 通過模型的 地理固定——那是你這邊的一個基礎設施與 BAA 事務。別 向一位稽核員把區域開關呈現為資料在地化。
一份產生的報告是 Ed25519 簽署且 SHA-256 雜湊的,所以一位稽核員 可以在不信任你副本的情況下驗證它:
  • 公鑰:GET /api/public/compliance/pubkey
  • 驗證一份報告:POST /api/public/compliance/verify
  • 與一位稽核員唯讀分享:GET /api/public/compliance/share/:token
報告匯出為 CSV、JSON 或 PDF。產生與用一個包上線 (POST /api/compliance/packs/hipaa/golive)是付費、有 Admin 管控的動作。

6. 哪些仍是你的責任

包對它的限制是誠實的:HIPAA 檢查清單包含閘道 無法強制執行的條款,而報告把它們揭露為開放的缺口, 而非靜默地把框架標記為 100% 涵蓋。
條款(45 CFR)為何它是你的
§164.308(b)(1) 業務合作夥伴協議一份 BAA 是組織之間的一份法律契約——沒有閘道設定能簽署它。
§164.308(a)(5) 安全意識與訓練一個人與流程的控制,不在中繼路徑自動化的範圍內。
在那些揭露的條款之外,你的基礎設施是你自己的: 你系統中的靜態加密、你員工的存取管理、 事件回應,以及 BAA 本身。閘道保護流量; 你保護組織

7. 保留期與被遺忘權

兩個平台預設值對一個 PHI 工作負載很重要:
  • Request-log 保留期預設為 30 天,並在伺服器端被收緊 到 180 天的硬性上限。把你的逐工作區保留期設得不 長於你的最小必要政策所要求的。
  • 抹除是一次自助式帳號刪除請求,後接一個 30 天寬限視窗,之後 PII 被不可逆地洗刷,而 相關的 guardrail matches 與 request log 被清除。用這個來 端對端服務一個資料主體抹除請求。
Matches 動態的預設記錄原始匹配內容(見 §4)讓去識別化的 證據軌跡本身不會變成一個 PHI 儲存。在每個面向 PHI 的防護欄上確認 Log raw content 是關閉的。

8. 上線檢查清單

  • 與適當的一方簽署 BAA(你的責任)。
  • HIPAA 包已安裝;readiness 顯示四個控制被涵蓋。
  • medical_phi_block + PII Shield 附加到你 PHI 工作負載使用的金鑰,並在 Test 分頁中證明。
  • Egress-deny 防火牆規則在影子模式下上線,然後 在 Events 動態看起來正確後強制執行。
  • 在 PHI 防護欄上確認 Log raw content關閉
  • 報告駐留地區域已設定;保留期設為你的 最小必要視窗。
  • 組織性缺口(訓練、BAA)在閘道之外追蹤。

相關

防護欄參考

深入的 PII 實體、遮罩、Test 分頁與 Matches 動態。

防火牆參考

Egress 規則、影子模式與 Events 動態。

SOC 2 證據

為 SOC 2 而設的同一個安裝 → 報告 → 驗證流程。

PII 安全的日誌

讓 PHI 遠離你自己的日誌與 Matches 動態。

停止外洩

撰寫 §164.312(e) 背後的 egress 控制。

共享責任

閘道的界線在哪裡結束,而你的從哪裡開始。