跳转到主要内容
你正在把一个 LLM 放到受保护的健康信息前面——一个分诊助手、一个临床 笔记摘要器、一个面向患者的聊天机器人——并且你需要在它看到真实 PHI 之前 有一个站得住脚的姿态。本页是在托管网关(api.orcarouter.ai)上做一个 HIPAA AI 部署的清单:你今天能在工作区中开启的控制,以及少数几个 留在你这一侧界线上的。
OrcaRouter 不是你的受保实体(covered entity),而开启 HIPAA 包不等于 “做到了 HIPAA 合规”。 网关给你你配置的技术保障措施和你能交给审计员的 证据。一份签名的业务伙伴协议(BAA)、你自己的基础设施、员工培训和 物理控制是你的组织的责任——合规报告把它们披露为缺口,而不是假装 网关覆盖了它们。参见 §6

1. 一个 hipaa ai 部署在网关上覆盖什么

HIPAA 框架包把少数几条安全规则与隐私规则条款映射到网关在中继路径上 确实能执行的控制——用 防护栏 处理文本,用 防火墙 处理工具 egress。安装该包会把那些控制 实例化为你工作区中真实、可编辑的防护栏和防火墙行。
条款(45 CFR)网关控制
§164.502(b) 最小必要在提示和输出中脱敏 PHI
§164.514(b) 去标识化在请求中硬性拦截 HIPAA 标识符
§164.312(b) 审计控制记录每一个防护栏决策
§164.312(e) 传输安全拒绝指向私有 / 元数据范围的工具 egress
下面的一切都在你工作区会话下从控制台(或 REST API)配置——其中没有 任何东西改变你的智能体代码,而配置路由受角色门控。

2. 安装 HIPAA 包

浏览目录和检查就绪度对任何 Member 开放且免费。安装一个包是一个 工作区 Admin 动作并需要一个付费计划——无论哪种方式都被服务端门控。 
# Admin · UserAuth session (NOT a relay sk-orca- key)
curl -X POST https://api.orcarouter.ai/api/compliance/packs/hipaa/install \
  -H "Authorization: Bearer <your-console-access-token>" \
  -H "X-Workspace-Id: <workspace-id>"
这一步把四个映射的控制实例化为你随后可以打开和编辑的防护栏和防火墙行 ——以 observe 模式安装,因此在你把包上线之前什么都不执行。你也可以 从 Console → Compliance → HIPAA → Install 做同样的事。
在安装前后检查 GET /api/compliance/readiness,以查看哪些条款被 覆盖、哪些仍是缺口,以及每一个映射到什么。Readiness 是一个 Member 可读、 免费的端点——把它分享给负责审计的任何人。

3. 在模型看到之前脱敏 PHI

包的 phi_redaction 控制播种一条防护栏,它在 input 阶段拦截美国 医疗保健标识符——NPI 号码、ICD-10 代码、NDC 药品代码和 DEA 注册号码 ——使用上下文锚定的正则,因此一个偶然的十位数字不会触发它。在其上叠加 一个 PII Shield 以把通用标识符(email、phone、SSN、IP,以及 内置实体集 的其余部分) 在请求离开网关之前掩码成像 [SSN] 这样的带类型标签。 在你把规则附加到一个密钥之前,在编辑器的 Test 标签页中证明它: 
Input:  "Patient NPI 1234567890, dx ICD-10 J18.9, reply to jane@acme.com"
Verdict: blocked (medical_phi_block) · email → [EMAIL]
输入阶段掩码已上线;实时输出/流式掩码未上线。 PII Shield 在上游模型 看到之前掩码请求。在响应上,一个 block 动作在流式和非流式输出上 都执行,但输出上的 mask 目前仅限非流式。如果你今天需要从模型输出 中通过一个流脱敏 PHI,就 block 而不是 mask,或运行非流式——并先在沙箱 中证明你确切的 stage/stream 组合。参见 防护栏参考

4. 拒绝 PHI egress 并记录每一个决策

四个 HIPAA 控制中有两个是关于文本干净之后发生什么:
包在 egress 执行面上写入一条防火墙 deny 规则,预填一个具体的 host/CIDR 拒绝列表——回环、链路本地 / 云元数据(169.254.0.0/16), 以及 RFC1918 / IPv6-ULA 私有范围——这样一个工具就不能悄悄把 PHI 运到一个内部端点。你不必编写那些 CIDR;你可以在 防火墙规则 中放宽或收紧允许/拒绝列表。 Egress 执行在你的网关集成报告为 egress 的出站段上触发,因此先在 shadow mode 下上线它,以在它改变流量之前看到什么被拒绝。
包的审计控制把每个防护栏决策记录进工作区 Matches 信息流 (GET /api/guardrail/match,Member)。默认情况下信息流记录一条规则 触发了及其细节字符串,但记录匹配的子串——隐私保守姿态,那正是 你为 PHI 想要的。保持 Log raw content 关闭,除非你有一个具体的 分诊需要,因为打开它会持久化匹配的 PHI 本身。
防火墙决策连同它们的判定和执行面落入工作区 Events 信息流 (Developer+),因此动作层和内容层各自留下一条独立的追踪。

5. 钉住报告驻留地并产出签名证据

当你生成一份合规报告时,它的数据驻留区域是报告工件的一个属性—— useuukapcnglobal。设置一次(Admin);对一份钉到 不同区域的报告的跨区域读取被拒绝。 
# Admin · set the residency region for compliance reports
curl -X PUT https://api.orcarouter.ai/api/compliance/residency \
  -H "Authorization: Bearer <your-console-access-token>" \
  -H "X-Workspace-Id: <workspace-id>" \
  -H "Content-Type: application/json" \
  -d '{"region": "us"}'
这里的驻留地治理的是合规报告工件,而不是你的推理数据在哪里被处理。 它不是 PHI 通过模型的地理钉定——那是你这一侧的一个基础设施和 BAA 事项。 不要把区域开关作为数据本地化呈现给审计员。
一份生成的报告是 Ed25519 签名且 SHA-256 哈希的,因此一名审计员能在 不信任你那份副本的情况下验证它:
  • 公钥:GET /api/public/compliance/pubkey
  • 验证一份报告:POST /api/public/compliance/verify
  • 与审计员只读分享:GET /api/public/compliance/share/:token
报告导出为 CSV、JSON 或 PDF。生成并把一个包上线 (POST /api/compliance/packs/hipaa/golive)是付费、Admin 门控的动作。

6. 什么仍是你的责任

包对它的局限诚实:HIPAA 清单包含网关无法执行的条款,而报告把它们 披露为开放的缺口,而不是静默地把框架标记为 100% 覆盖。
条款(45 CFR)为何它是你的
§164.308(b)(1) 业务伙伴协议一份 BAA 是组织之间的一份法律合同——没有任何网关设置签署它。
§164.308(a)(5) 安全意识与培训一项人员与流程控制,超出中继路径自动化的范围。
除了那些被披露的条款,你的基础设施是你自己的:你系统中的静态加密、 你员工的访问管理、事件响应,以及 BAA 本身。网关保护流量;你保护 组织

7. 保留与被遗忘权

两个平台默认值对一个 PHI 工作负载很重要:
  • 请求日志保留期默认为 30 天,并被服务端钳制到 180 天的硬性 上限。把你的每工作区保留期设得不长于你的最小必要策略所要求的。
  • 擦除是一次自助账户删除请求,后接一个 30 天宽限窗口,之后 PII 被不可逆地擦洗,且关联的防护栏匹配和请求日志被清除。用这个端到端地 服务一个数据主体擦除请求。
Matches 信息流默认记录原始匹配内容(见 §4),这让去标识化的证据追踪本身 不会变成一个 PHI 存储。确认每一个面向 PHI 的防护栏上 Log raw content 都是关闭的。

8. 上线清单

  • 与适当方签署 BAA(你的责任)。
  • HIPAA 包已安装;readiness 显示四个控制被覆盖。
  • medical_phi_block + PII Shield 附加到你 PHI 工作负载使用的 密钥上,并在 Test 标签页中证明。
  • Egress-deny 防火墙规则在 shadow mode 下上线,然后在 Events 信息流看起来对了之后执行。
  • 在 PHI 防护栏上确认 Log raw content 关闭
  • 报告驻留区域已设置;保留期设到你的最小必要窗口。
  • 组织性缺口(培训、BAA)在网关之外追踪。

相关

防护栏参考

深入讲解 PII 实体、掩码、Test 标签页和 Matches 信息流。

防火墙参考

Egress 规则、shadow mode 和 Events 信息流。

SOC 2 证据

同样的 安装 → 报告 → 验证 流程,用于 SOC 2。

PII 安全日志

让 PHI 远离你自己的日志和 Matches 信息流。

阻止外泄

编写 §164.312(e) 背后的 egress 控制。

责任共担

准确界定网关的界线在哪里结束、你的从哪里开始。