HIPAA 合規

超越每項標準的安全性

每個 Intake.Dental 帳號都內建已簽署的 BAA、欄位層級 AES-256-GCM 加密、SOC 2 基礎設施與 9 項 HIPAA 防護措施 — 全部超越標準,而非僅僅符合。

零資料外洩記錄

AES-256-GCM 加密

免費包含 BAA

SOC 2 基礎設施

九項 HIPAA 防護措施 — 全部超越標準

HIPAA 安全規則明確規定涵蓋實體及其業務夥伴必須實施的具體技術與行政防護措施。以下是 Intake.Dental 如何符合每項要求 — 以及我們如何超越標準。

靜態資料加密

已超越

逐筆記錄 AES-256-GCM 加密,搭配信封加密的資料加密金鑰。我們的 Glyph Cipher 在上層再加上第二層多語言加密 — 每個帳號都包含。

傳輸中加密

已超越

所有端點採用 TLS 1.3 及 HSTS 強制執行，並僅透過 HTTPS 傳遞。

稽核控制

已超越

完整的僅附加式記錄，追蹤每次資料存取、修改和管理操作——包含 IP 位址和使用者代理追蹤。

存取控制

已超越

基於角色的存取控制（RBAC）、每位員工專屬使用者 ID、自動工作階段逾時及多因素驗證。

第一層：AES-256-GCM

欄位級加密，每筆記錄使用專屬資料加密金鑰以實現前向保密。透過中央金鑰 API 進行封套加密，並使用額外已驗證資料進行租戶隔離。每筆記錄均包含 HMAC 完整性驗證及 128 位元 IV／驗證標籤。

第二層：Glyph Cipher（內含）

每個帳戶均配備我們專有的多語言密碼，應用於 AES 之上。產生的字形字串能抵抗頻率分析，並設計為能夠抵禦未來量子攻擊。

業務夥伴協議——免費提供

每家在 Intake.Dental 註冊的診所都會自動獲得已簽署的 BAA，無需額外費用。涵蓋數位表單、PDF 儲存、遠距牙科、PMS 整合、保險驗證和患者通訊。本平台由 Dental Education, Inc. 營運，並與所有子處理者維持平行 BAA。

72 小時內通知資料外洩

如果確認的安全事件影響您的診所，您將在 72 小時內收到詳細的事件報告和即時補救計畫——不是 60 天，也不是“等我們完成調查”。

每份健康病史都有醫師電子簽名

州牙科委員會和醫療責任保險公司將牙醫在患者健康病史上的簽名視為標準照護——密西根州在 R 338.11120 中明文規定,加州透過 CDA 指南執行,而大多數其他州則透過委員會規則或保險合約要求。Intake.Dental 會對每份完成的接待表單套用醫師的電子簽名,並附加密時間戳記和稽核軌跡,因此在問題出現之前就已符合規範要求。

查看醫師電子簽名的運作方式 →

常見問題

你們會簽署業務夥伴協議嗎？

是的——每家在 Intake.Dental 註冊的診所都會自動獲得已簽署的 BAA，無需額外費用。BAA 涵蓋數位表單、PDF 儲存、遠距牙科、PMS 整合、保險驗證和患者通訊。我們也與所有使用的子處理者維持平行 BAA。

你們對 PHI 使用什麼加密技術？

所有受保護健康資訊預設採用雙重加密：首先在欄位級別使用 AES-256-GCM 搭配每筆記錄的資料加密金鑰（DEK）以實現前向保密，然後包裹在我們專有的 Glyph Cipher 中——一個能抵禦未來量子攻擊的多語言層。兩層加密均包含在每個帳戶中。金鑰使用封套加密並採用租戶隔離衍生。

如果發生安全事件會怎麼樣？

我們會在確認安全事件後 72 小時內通知受影響的診所，並提供詳細報告和補救計畫。由於每個帳戶均配備雙層加密（AES-256-GCM + Glyph Cipher），您的記錄可能符合 45 CFR § 164.402 下 HIPAA 外洩通知規則的加密安全港例外——但我們仍會進行通知。透明度優於漏洞利用。

你們的基礎設施有認證嗎？

我們運行於已取得 SOC 2 Type II 認證的 AWS 基礎設施。我們的資料庫層（Supabase）也具有 SOC 2 Type II 認證。我們的應用程式代碼是根據 HIPAA 安全規則設計，並持續接受稽核。

HIPAA 同意書有其他語言版本嗎？

有的——HIPAA 同意文件和隱私實務通知自動提供 29 種以上語言版本，讓每位患者都能用他們實際閱讀的語言進行確認。