跳转到主要内容
如果你运行一个临床聊天机器人、一个事先授权智能体,或任何触碰 受保护健康信息的 LLM 工作流,问题不是”我的模型是否 HIPAA 认证” ——没有模型是。问题在于你的应用与模型之间的数据平面能否阻止 PHI 泄露进提示词、响应、日志和出站工具调用。这正是 HIPAA 包 给你的:一套映射到 HIPAA 安全与隐私规则的网关控制,一次调用即可 安装,产生签名证据——并在最前面明确陈述一条边界。
业务伙伴协议是你组织的责任,而非网关能够执行的控制。 OrcaRouter 可以脱敏 PHI、审计访问并签名证据——但 BAA 是受保实体 与其业务伙伴之间的合同,且包把它披露为一个你证明的组织性控制, 绝不作为自动覆盖。参见下方 那条边界

1. “HIPAA AI”治理在网关上意味着什么

HIPAA 包(hipaa)把 HIPAA 安全与隐私规则的条款映射到实时 网关控制。像每个 合规包 一样,安装它会在你的工作区中实体化真实、可编辑的 防护栏防火墙 策略——它不添加新的运行时引擎。四个可执行的控制做 PHI 工作:
hipaa.phi_redaction(45 CFR §164.502(b),最小必要)在美国 医疗标识符——NPI 号、ICD-10 代码、NDC 药品代码、DEA 注册号 ——到达模型之前拦截它们。这些模式以上下文锚定(字面 NPIICDNDCDEA 令牌必须存在)以限制误报。
hipaa.pii_safeguards(45 CFR §164.514(b),去标识化)硬拦截与 HIPAA 标识符集合重叠的联系和身份实体——email、phone、SSN、 credit-card 和 IP——于是携带它们的请求永远不会到达提供商。 它默认关闭出厂,于是你在审视过你的流量后可以把它从 block 切换为 mask。
hipaa.audit_logging(45 CFR §164.312(b),审计控制)记录每个 防护栏决策,于是报告可以显示什么触发了、多频繁、在哪里。
hipaa.transmission_security(45 CFR §164.312(e))是一条 防火墙 egress 规则,它拒绝目标为 loopback、link-local / 云元数据,以及私有(RFC-1918 / ULA) 范围——IPv4 和 IPv6——的工具调用,于是一个工具无法悄悄把 PHI 运到内部外泄端点。
前三个控制存在于内容平面(防护栏);第四个存在于工具调用平面 (防火墙)。安装把它们合并到一个你拥有并可调优的防护栏和 一条防火墙策略中。
包中还交付两个控制——员工安全培训(45 CFR §164.308(a)(5))和 业务伙伴协议(§164.308(b)(1))——但它们被标记为组织性:代理 永远无法执行的涉及人员与流程的条款。报告把它们披露为被证明的 或缺口,而非自动覆盖。诚实正是要点。

2. 安装 HIPAA 包——一个具体例子

合规配置使用你的控制台会话,绝非中继 sk-orca-… 密钥。浏览 目录和检查就绪度对任何工作区 Member 免费;安装是付费 套餐上一个工作区 Admin 动作,双向受服务端门控。
1

打开 HIPAA 包

在工作区控制台中,转到 Compliance → Catalog 并打开 HIPAA(它在 healthcare 类别下)。每个控制列出它的 平面、它的条款,以及一个指向官方 eCFR 章节的深链接。
2

以观察模式安装

作为付费套餐上的工作区 Admin,点击 Install。包立即以 观察模式实体化——防护栏标记而非拦截,防火墙以影子模式 运行——于是你先针对真实流量收集”本会拦截”的证据。
3

观察,然后上线

让影子控制积累匹配、审视它们,然后把包上线以开启声明的 block / mask / deny 动作。参见 观察 vs 执行
控制台在你的 Admin 会话令牌下驱动一个端点——这里展示它,方便 你审计或编写脚本,而非作为你用中继密钥调用的东西: 
POST /api/compliance/packs/hipaa/install
Authorization: Bearer <your-console-session-token>
Content-Type: application/json

{ }
一个空 body 安装包中的每一个控制。响应是安装记录——被钉住 的版本、mode: observe,以及两个实体化策略的 guardrail_idfirewall_policy_id,让你可以立刻打开它们。
因为安装产生的是标准的防护栏和防火墙对象,你可以通过 firewall_policy_id 把实体化的防火墙策略附加到一个智能体密钥上, 并逐条规则调优 PHI 防护栏——完全像你手动编写的策略一样。

3. 那条诚实的边界——BAA 是你的

一个 HIPAA 项目不止是一个脱敏过滤器。网关覆盖一个数据平面实际 能执行的控制;其余一切仍归你的组织。这里是这条区分,以与 责任共担地图 相同的 方式画出:
控制领域网关执行你的组织拥有
流量中的 PHI在提示词、输出中拦截 / 掩码标识符分类哪些字段是 PHI
工具 egress拒绝向私有 / 元数据范围外泄保护绕过网关的工具
审计轨迹每个防护栏和防火墙决策的签名记录审查它;设置保留
BAA 与员工—(披露为被证明 / 缺口)签署的 BAA;培训;制裁
网关是被审计的路径,而非内核级拦截器。一个你的智能体完全 在进程内运行的工具——一个从不穿越 https://api.orcarouter.ai 也从不报告 egress 目的地的工具——在防火墙的视野之外。把触碰 PHI 的工具和 MCP 调用路由经过网关(通过 防火墙 MCP 网关),让 egress 控制能 看到它们,或者在基础设施层自己保护它们。

4. 证明它——签名、区域戳记的证据

包一旦上线,生成一份 HIPAA 报告。报告是 Ed25519 签名和 SHA-256 戳记的,可导出为 CSV / JSON / PDF,且公开可验证—— 审计员无需登录就能确认一份报告的真实性。每一行把一条条款追踪 到执行它的确切防护栏或防火墙策略以及它在周期内产生的匹配; 两个组织性控制渲染为被披露的缺口或所有者证明。 你还为报告制品声明一个数据驻留区域us / eu / uk / ap / cn / global)——签名报告只在你声明的区域下存储和提供 服务,且跨区域读取被扣留。对一个美国受保实体,设 us。这戳记 证据制品,而非推理的地理位置。
报告生成、上线和设置驻留地是付费套餐上的工作区 Admin 动作, 在服务端执行。浏览目录和检查就绪度保持免费。参见 套餐门控

5. 接下来去哪里

安装一个包

完整的安装流程——控制选择、观察模式和上线。

签名报告

Ed25519 签名的 HIPAA 证据报告包含什么。

验证一份报告

审计员如何在无登录的情况下确认一份报告真实。

数据驻留

声明你的签名证据被存储和提供服务所在的区域。

防护栏参考

包实体化的内容平面——PII 实体、掩码、动作。

数据外泄

egress 控制所防御的威胁。
HIPAA 包把安全与隐私规则转化为 PHI 脱敏、egress 拒绝,以及你 可以交给审计员的签名证据——同时明确说明 BAA、培训和你自己的 基础设施仍归你。关于目录的其余部分,参见 框架