01 这是什么?
HIPAA 是美国医疗信息保护规制,适用于任何处理受保护健康信息的系统。PCI-DSS 是支付卡行业数据安全标准,适用于任何处理持卡人数据的主体。两者都对其范围内的 AI 工作负载施加特定的技术与组织控制。
HIPAA & PCI-DSS
受监管行业 AI 工作负载所适用的医疗与支付安全规制。
02 为什么要采用?
- 任何涉及 PHI 或 PAN 数据的 AI 工作负载都需遵从
- 定义具体的技术与组织控制
- 与 ISO 27001 和 SOC 2 基线高度对齐
- 对云、加密与访问提供专门指引
- 由具备资质的机构或 QSA 进行审核
03 我如何提供帮助
我帮助团队界定其 AI 工作负载的 HIPAA 与 PCI-DSS 范围,设计分段、加密与访问控制,构建证据包,并与 HIPAA 审计师或 PCI QSA 协同推进。
04 预期交付物
- HIPAA 或 PCI-DSS 的范围评估
- 分段、加密与访问设计
- 控制落地方案
- 证据包与审计协同
- 审计后的运营模式