Bir klinik operasyon ekibinin HIPAA Security Rule kapsamı, uygulama kenarında gerçek anına gelir. Hasta portalı trafiği burada sonlanır. EHR erişim kararları burada verilir. ePHI buradan girer ve çıkar. 164.312 kapsamındaki Technical Safeguards — iletim sırasında şifrele, erişimi denetle, kullanıcıları doğrula, faaliyeti kayda al, bütünlüğü koru — neredeyse tamamen uygulama kenarı kontrolleridir. 164.308'in Information Access Management bölümünün büyük kısmı da öyle.
Klasik cevaplar pahalıdır. Eklenti kit: bir satıcıdan WAAP modülü, başka birinden MFA'lı erişim modülü, çok şubeli kurumlar için multi-tenancy eklentisi, PHI örüntüleri için veri maskeleme modülü — her biri ayrı lisanslı, her biri ayrı panel, hepsini sizin ekibiniz entegre ediyor. Bulut kenarı: ePHI trafiğini üçüncü taraf bir WAAP'a taşıyın — kullanıcı ile klinik uygulama arasındaki yolu bir başkasının platformuna verin; yönetişim ekibiniz "ePHI nerede inceleniyor?" diye sorduğunda cevabınızda bir sözleşme maddesi geçer.
Üçüncü yol, çoğu klinik operasyon ekibinin gerçekten istediği yol: uygulama kenarındaki HIPAA kontrollerini, zaten denetim sınırınızın içindeki ağ üzerinde, tek platformda kapsamak. TR7 bu yol için yapılmış. TLS, WAAP, ePHI'ye ulaşan her hesap için MFA, vTenant izolasyonu, PHI maskeleme ve denetim; aynı TR7 üzerinde. Denetçi kanıtları ister; tek operatör paneli onları üretir.
Her biri tek başına önemli. Hepsi birden, uygulama kenarının tek platformda çalıştığı bir HIPAA uyumluluğunun nasıl göründüğünü anlatır.
TR7 edge'inde modern şifrelerle TLS sonlandırma, güncel sertifikalar, OCSP stapling, HSTS ve gereken yerde mTLS seçeneği. ePHI; klinik arka uca ulaşmadan önce 164.312(e)(2)(ii) şifreleme beklentilerini karşılar.
AAM Servis Bazlı Kimlik Doğrulama; ePHI'ye bakan her uygulamayı benzersiz kullanıcı kimliği, rol bazlı erişim politikası, yapılandırılabilir oturum zaman aşımı ve otomatik oturum kapatma ile sarmalar. Klinik uygulama beklediği kullanıcı kimliğini alır; TR7 erişim kontrol yüzeyini önünde uygular.
TR7 üzerinden ePHI'ye ulaşan her hesap için erişim kenarında MFA — klinik personel, yöneticiler, dış kaynaklar, hizmet hesapları. Yerel OIDC, SAML, TOTP, FIDO2. HHS'in 27 Aralık 2024 tarihli Notice of Proposed Rulemaking metni MFA'nın "addressable" sınıflandırmasını kaldırıp zorunlu hâle getirme yönünde; TR7 zaten bu modelle hizalanmıştır.
vTenant; aynı TR7 altyapısında ePHI ve ePHI dışı yükler arasında yönetimsel, operasyonel ve gözlemsel izolasyon sağlar. QoS havuzları klinik trafiğe kendi bant genişliği zarfını verir; vService bazlı route tabloları ePHI'ye yönelik akışları ayrı tutar. Çok şubeli sağlık kuruluşları ve iş ortağı (Business Associate) hizmet sağlayıcıları için vTenant; her şube ya da müşteri için ayrı bir cihaz gerekmeden izolasyonu ölçeklendirir.
TR7; API ve HTML yanıtlarında PHI örüntülerini — hasta dosya numaraları (MRN), isimler, doğum tarihleri, tanımlayıcılar — tespit eder ve uygulama kenarından çıkmadan önce politikaya göre maskeler. Uygulama kodunu değiştirmeden, dar rolleri olan personele giden çıktılar için minimum-necessary açıklama ilkesini destekler.
Erişim olayları, trafik kararları, WAAP tespitleri, MFA sonuçları ve klinik altyapıya SSH oturumları aynı denetim kaydını paylaşır. Yönetim oturumları için komut düzeyinde SSH kaydı; ayrı bir PAM ürünü olmadan soruşturmaya hazırdır. SIEM aktarımı platform genelinde tutarlı taksonomiyle yapılır — denetçinin veya ihlal soruşturucusunun istediği kanıtlar tek yerden gelir.
Aşağıdaki her yetenek; modern servislerinizi teslim eden ve koruyan aynı TR7 platformu üzerinde çalışır.
Güncel TLS sürümleri, modern şifre paketleri, OCSP stapling, otomatik sertifika yönetimi. Gereken yerde mTLS. 164.312(e) Transmission Security beklentilerini destekler.
10.000+ imza ve 11 faktörlü puanlama motoru. OWASP kategorileri, yaygın sağlık yığınları için framework'e özel korumalar, denetim ve olay süreçleri için CWE/CAPEC/MITRE eşlemesi. Satır içi engelleme veya yalnızca tespit modları.
AAM Servis Bazlı Kimlik Doğrulama; eski bir EHR veya klinik uygulamayı IdP'nizden OIDC ya da SAML SSO ile sarmalar. Eski arka uç beklediği kimlik parçasını alır; klinik personel MFA ile modern yoldan kimlik doğrular. Müşterinin değiştiremediği klinik sistemlerin önünde EHR cepheli portallar için kullanışlıdır.
TR7 üzerinden ePHI'ye dokunan her hesap için erişim kenarında çok faktörlü kimlik doğrulama. Bağlam değiştiğinde seviye yükseltme — farklı cihaz, farklı coğrafya, hassas kaynak. HHS 2024 NPRM'in zorunlu MFA yönüyle hizalı.
Tıbbi cihaz denetleyicileri, PACS iş istasyonları, laboratuvar enstrümanları ve EHR yönetim konsollarına tarayıcı üzerinden erişim. Operatör cihazına istemci kurulmaz. Oturumlar tünellenir ve komut düzeyinde kayıt altına alınır; tek bir iptal aktif tüm oturumları sonlandırır.
Uygulama bazında oturum zaman aşımları; klinik uygulama kodu değiştirilmeden erişim kenarında otomatik oturum kapatmayı uygular ve 164.312(a)(2)(iii)'ü karşılar. Oturum politika eşiklerini geçtiğinde yeniden kimlik doğrulama seviye yükseltmesi.
Platform seviyesinde multi-tenant izolasyon. Hastane zincirleri, bölgesel sağlık sistemleri ve klinik SaaS sağlayıcıları her şubeye, iş birimine veya müşteriye kendi yönetimsel, operasyonel ve gözlemsel sınırını verebilir. ePHI kapsamına giren tenant'lar; ePHI dışı tenant'lar ile aynı altyapıda yapılandırma, denetim veya trafik karışmadan çalışır.
ePHI trafiği kendi bant genişliği zarfında; ePHI'ye yönelik akışlar özel route tablolarında. Klinik ve klinik dışı yükler arasında ağ segmentasyonu — HHS 2024 NPRM'in zorunlu hâle getirmeyi önerdiği yöne tam karşılık.
Dışa giden yanıtlarda yapılandırılabilir örüntü maskeleme. Hasta dosya numaraları, isimler, doğum tarihleri, tanımlayıcılar rol politikasına göre kısaltılır veya bastırılır. Minimum-necessary açıklama ilkesini çıkış yolunda destekler.
Sistemler arası HL7 over TCP, radyoloji iş akışları için DICOM-tarzı görüntü, laboratuvar veri değişimi için FTP, klinik enstrümanlar için düz TCP/UDP — HTTP WAAP ile aynı motor üzerinde amaca özel dinleyiciler. Tek platform, tek operatör paneli, tek denetim kaydı.
Teslimat, güvenlik, erişim ve DDoS katmanları boyunca tek denetim kaydı. Tutarlı taksonomiyle SIEM aktarımı. Uygulama kenarında 164.312(b) Audit Controls ve 164.308(a)(1)(ii)(D) Information System Activity Review yükümlülüklerini destekler.
TR7 ağ geçidi üzerinden klinik altyapıya ulaşan SSH oturumları komut düzeyinde kaydedilir — her komut, her yanıt. HIPAA Security Rule'un en çok önemsediği ayrıcalıklı erişim için soruşturma kalitesinde denetim, ayrı bir PAM ürünü olmadan.
TR7 kendi donanımınızda, kendi veri merkezinizde, kendi ağ kontrollerinizin altında çalışır. ePHI trafiği ve denetim logları üçüncü taraf bir edge'den geçmez. TR7 platformu sizin ePHI'nizi sizin için barındırmaz — sizin ortamınızda çalışır — bu nedenle TR7 platformu için ayrı bir iş ortaklığı sözleşmesi (Business Associate Agreement / BAA) gerekmez.
TR7; HIPAA Security Rule'un belirli bir yüzeyini — uygulama kenarını — kapsar. Aşağıdaki harita, neyi kapsayıp neyi kapsamadığı konusunda dürüsttür.
AAM ve IdP üzerinden benzersiz kullanıcı kimliği. Tenant başına olağanüstü erişim akışlarıyla acil durum erişim prosedürleri. Erişim kenarında yapılandırılabilir oturum zaman aşımlarıyla otomatik oturum kapatma. TLS edge ile iletim sırasında ePHI şifreleme/çözme. Hepsi, klinik uygulamada kod değişikliği olmadan önünde uygulanır.
Erişim olayları, WAAP tespitleri, MFA sonuçları, trafik kararları ve komut düzeyinde SSH oturumları için merkezi kayıt ve gözden geçirme. Tutarlı taksonomiyle SIEM aktarımı. Yapılandırılabilir saklama. Talep üzerine soruşturma kalitesinde kanıtlar.
İletim sırasında TLS kriptografik bütünlük sağlar. İçerik bilinçli yanıt incelemesi yetkisiz dışa giden içerik değişikliğini tespit eder. Disk üzerinde bütünlük; uygulama kenarı katmanıyla çakışmayan, onu tamamlayan bir depolama katmanı meselesidir.
AAM üzerinden erişim kenarında MFA. Yerel OIDC, SAML, TOTP, FIDO2. Bağlam değiştiğinde seviye yükseltme. HHS 2024 NPRM'in MFA'yı zorunlu hâle getirme yönü; TR7'nin halihazırda konuşlandığı modelle hizalıdır.
Edge'de güncel sürümler ve modern şifrelerle TLS sonlandırma. HSTS, OCSP stapling, opsiyonel mTLS. İç arka uç ayakları da TR7 edge'inden TLS ile korunabilir.
AAM; uygulama kenarında uygulama bazında erişim politikasını uygular. Kimlik, cihaz duruşu, coğrafya, günün saati ve MFA gücü erişim kararlarını besler. Çalışanlar yalnızca rollerinin yetkilendirdiği klinik uygulamalara ulaşır.
Erişim olayları merkezi denetim kaydında loglanır ve gözden geçirilebilir. Başarısız kimlik doğrulama denemeleri, MFA istemleri ve seviye yükseltme sonuçları soruşturma ve eğilim analizi için yakalanır.
HHS'in 27 Aralık 2024 tarihli Notice of Proposed Rulemaking metni; MFA, iletimde şifreleme, ePHI çevresinde ağ segmentasyonu ve birkaç başka kontrolü "addressable" yerine açıkça zorunlu hâle getirir. TR7 bunları halihazırda temel yetenek olarak konuşlandırır — final kurala hazırlanan müşteriler uygulama kenarı kontrolleri açısından zaten hizalanmış olur.
TR7; bir HIPAA programının uygulama kenarı katmanıdır. 164.310 Physical Safeguards'in yerini, çalışan eğitimini, güvenlik politikalarını, risk analizini, iş ortaklığı yönetimini, olağanüstü durum planlamasını, disk üzerinde şifrelemeyi (depolama katmanı), zafiyet taramasını, sızma testini, varlık envanterini, yama yönetimini veya uç nokta cihaz yönetimini almaz. Bunlar bütün bir HIPAA programında TR7'yi tamamlayan kontrollerdir.
Hasta portalları, klinisyen erişimi, EHR cepheli kamuya açık servisler. TR7; ePHI'ye bakan her uygulamanın önüne TLS, WAAP, MFA ve PHI maskelemeyi yerleştirir; vTenant aynı platformda klinik yükleri klinik olmayan altyapıdan ayırır.
Görüntülü görüşme, randevu, klinik mesajlaşma ve hasta API'leri. Edge'de TLS, her API'de WAAP, her klinisyen hesabı için MFA, 164.312(b) için merkezi denetim — kontrolleri dört farklı satıcıya dağıtmadan.
Birden çok kapsam dahilindeki kuruluşa (Covered Entity) hizmet veren iş ortakları. vTenant; her müşteriye paylaşılan TR7 altyapısında kendi yönetimsel ve denetim sınırını verir. PHI maskeleme ve erişim kontrolleri tenant bazında uygulanır; BAA kanıtları tutarlı tek operatör yüzeyinden gelir.
DICOM görüntü, HL7 mesaj akışları, FTP tabanlı laboratuvar verisi ve TCP/UDP klinik enstrümanları — HTTP WAAP ile aynı platformda HTTP dışı trafik. PACS yöneticisi erişimi için istemcisiz RDP/SSH; native istemci dağıtmadan.
Çok sayıda klinik şube, tek operatör ekibi. vTenant şube izolasyonunu ölçeklendirir; QoS havuzları her şubenin trafiğini ayrı tutar; route tabloları ePHI akışlarını ayrı tutar. Her lokasyon için ayrı bir cihaz olmadan şube bazlı denetim sınırları.
Araştırma için ePHI, daha sıkı en az ayrıcalık sınırlarıyla. AAM Servis Bazlı Kimlik Doğrulama ile rol farkındalıklı erişim politikası; personele giden dashboard ve API'lerde PHI maskeleme; etik kurul ve sponsor yükümlülükleri için denetim kaydı.
Bu çözüme refer eden ürün özellikleri — yukarıda anlatılan kontrolleri oluşturan teknik parçalar.
Sunucuda oluşturulan sayfaların pikselleri değiştirilir — kullanıcı ekranda rahatça okur; çekilen ekran görüntüsü OCR motorları ve AI görme modelleri için anlamsız çıktı üretir.
RDP, VNC, SSH, Kubernetes ve legacy sistemlere tarayıcıdan erişim — kimlik kasası, kayıt ve watermark yerleşik.
Üç MFA yöntemi, servis bazlı politika, güvenilir cihaz kısayolu — üçüncü taraf MFA bulutu yok.
Tek akış motoru her kimlik doğrulama sonucunu belirler — kim, neye, hangi faktörden sonra, hangi bağlamda.
Girişte kazanılan güven sonsuza dek taşınmaz. Her oturum, her adımda değerlendirme altında kalır.
SAML ve OIDC dışındaki her kimlik kaynağını aynı erişim ve denetim akışına bağlayın.
Kurum servislerine şifreli giderken bile WAAP denetimi, mTLS kimliği ve veri maskeleme çalışmaya devam eder.
Log gizliliği için IP maskele, proxy zincirleri için doğru istemci IP'sini yeniden oluştur.
L3/L4 ötesine geçin — HTTP bağlamını flow kayıtlarına taşıyın.
TLS'i dosya tabanlı ayardan çıkarın; servis bazlı güvenlik profili, sertifika yaşam döngüsü ve kuantum-sonrası hazırlığa dönüştürün.
İstemci sertifikasını bağlantı kontrolünden çıkarın; trafik kararlarına dahil olan kimlik objesine dönüştürün.
Her tenant kendi route dünyasında; çakışan IP'ler, statik + dinamik yönlendirme ve gateway monitor tek panelden.
Hassas veriyi kullanıcıya ve loglara ulaşmadan önce platform seviyesinde maskeleyin.
Her platform olayını SIEM'in beklediği formatta gönderin — JSON, CEF veya plainText.
Tek TR7. Çoklu tenant. Kaynak, ağ ve operasyon sınırları birbirinden ayrı.
Her L7 isteği ölçülebilir, filtrelenebilir ve raporlanabilir hale gelsin.
Markalı, planlı ve isteğe bağlı PDF/XLSX raporları tek raporlama hattında üretin.
Ham WAAP loglarını denetçi, yönetim ve müşteri için okunabilir kanıt raporlarına dönüştürün.
HIPAA kapsamınızı bir TR7 demosuna getirin. Edge'de TLS, klinik uygulamaların önünde WAAP, ePHI'ye ulaşan her hesap için MFA, klinik ve klinik dışı yükler arasında vTenant izolasyonu, PHI maskeleme ve denetim kaydını birlikte gezelim — bir denetçinin veya ihlal soruşturucusunun tam olarak hangi kanıtları istediğini görelim.