Aptible:构建让企业符合HIPAA合规性的云平台

在数字医疗发展如火如荼的今天，数据安全成为了一个大问题，HIPAA是美国1996年联邦健康保险便携与问责法案。这项法律的主要目的是让个人保持医疗保险不间断，保障医疗信息的保密性和安全性，并帮助医疗行业控制行政成本。

在美国，医疗公司需要符合HIPAA标准，要存储客户身份信息和健康信息，签署商业关联协议，其客户包括医院、保险公司或大型企业等公司。而完成HIPAA标准化需要耗费额外人力物力，如查询公司的内部数据库、提交若干档案与说明材料，过程相当繁琐。

正因为存在巨大的市场需求，2013年，Chas Ballew和Frank Macreery两人在旧金山成立Aptible，致力于帮助医疗健康公司满足HIPAA法案的合规性。产品刚刚推出几个月，就获得30万美元订单。

Aptible能让客户建立可扩展的，合规的私有云平台。这对移动医疗公司非常重要，因为如果公司产品不能保证保护数据隐私，就不可能和医疗机构或医生达成合作。此外Aptible还和专业的保险公司签订协议，一旦数据泄露能通过法律获得损失赔偿。

Aptible核心技术流程：

1.将代码放到Git（开源的分布式版本控制系统）上；2.选择语言、框架及数据库3.使用直观的Web仪表盘或书写命令行管理数据资源4.实时查看状态并生成审计报告这种基于Git的工作流程能够使Aptible很容易地与Travis CI，CircleCI或其他持续集成工具进行集成。

网络：

Aptible定制的每个账户资源都部署在一个专用的隔离网络中，访问或读取应用程序都要经过严格地控制和权限审查。

数据库更是隔离在一个私人子网，仅能在该网络中寻址，并仅能通过该账户自己的app或验证通道进行访问。

路径：

每个Aptible账户都能接收他自己设置的负载均衡器，这意味着客户自身的访问永远是优先的。

容器：

Aptible使用Docker 容器为每个客户的堆栈进行服务的，每个容器都是一个轻量级虚拟机，可用来运行应用程序或数据库的实例。

若代码来自Heroku，用户需要加上Heroku 动态和数据库的数量来估算需要容器的总数，例如，使用了两个网页进程，两个工作进程，一个 PostgreSQL 数据库，则用户需要5个容器。

Aptible产品线Aptible有两个核心产品：部署平台和合规引擎。部署平台可帮助客户公司的业务运行工程师在安全、隐私、PHI云平台环境中运行现代网络架构；合规引擎可提供全面的风险、安全性和HIPAA合规性管理服务。

（部署平台）                                                                               （合规引擎）Aptible专注于为隐私和安全部署相应的web和移动应用平台。为客户公司的代码打造私人的、安全的环境，使客户能够在这个环境中运行语言、框架和数据库。

Aptible主要开发需要安全承载和传递应用程序的后端，包括如网页服务、apps服务、数据库、负载平衡器、网络安全、数据备份与加密、访问权限等相关产品。客户借助以上产品能在符合HIPAA标准的框架下开发个性化工具，设计app内核，或研发其他服务。

公司的合规引擎可帮助客户使用很小的传统成本的一小部分就能够完成整套的HIPAA合规计划。这样，工程师就可专注于代码编写，而无需进行基础设施记录和管理。

实现HIPAA合规性的途径Aptible能在运行app和数据库的同时，隔离并降低安全风险。因为Aptible在运行为客户部署的工作流程时，合规验证引擎能够精简HIPAA隐私、安全性以及违反规定的整个流程中的任一环节。

方法：

1连续审计：与政府审计协议并为移动医疗公司定制协议，公司的合规性API能持续评估用户系统的状态，使得客户的合规性证明永不过期。

2简洁的工具：合规引擎简单直接，可以很容易理解HIPAA法案。

3自动文档：内置审计和日志记录工具，减少每一步的手工操作，从而高效利用宝贵时间。

优点：

1时间短：大客户的安全审查仅需几天；2自动合规性证明：使用Aptible可降低90%的人工合规负担；3减少并隔离安全漏洞：运行基础设施使客户专注于应用层的问题；4捕捉风险：有效地向上司、董事会和业务合作伙伴汇报风险报告；5整合安全计划：轻松为操作和文档集成第三方安全解决方案；6无缝集成操作：集成简单，只需添加一个文件到代码库。无需专用的API，没有迁移费，没有开发/生产差距。

7. 无锁定：专为工作流程设计：若工程师熟悉Heroku，即可使用Aptible：将代码放到远程Git，然后通过命令行或网络仪表板配置和管理资源。

8.一站式遵循HIPAA：合规工具将直接深入到运行应用程序或数据库的操作中，可节省时间和金钱。

创始人

Chas Ballew 联合创始人&CEOChas是一名律师和政府监管律师，在成立Aptible之前，他担任华盛顿特区陆军办公室法律顾问，毕业于普林斯顿大学和密歇根大学法学院。

Frank Macreery 联合创始人&首席技术官Frank是一名经验丰富的软件开发人员和架构师，在成立Aptible之前他工作于Give Real，XGraph（由Clearspring收购）及Artsy，毕业于普林斯顿大学计算机科学专业。

融资情况及盈利2014年7月，Aptible公司获得Y Combinator的12万美元种子投资，紧接着8月又获得Fresh VC、Rock Health 增投的一笔种子轮资金，金额未公布。

Aptible采用按阶段分别收费，研发初期，按需付费，价格不定；平台阶段，包括分组处理器接口（PHI）搭建等费用是每月499美元；产品后期阶段，也是客户定制收费。Aptible的年度合同的费用是3499美元/月。可能价格看起来有点突兀，但实质上用在HIPPA合规性法案的成本远高于这个。通常HIPAA会花掉一个公司50万美元到100万美元的咨询成本，以及长达200小时的劳动力，并且每年都要更新。相反，Aptible可以让一个公司用一个下午的时间就能接近IPPA合规性。另有一家同时期加入Rock Health的公司Accountable也同样聚焦在HIPAA合格解决方案上，请参看Accountable案例。