一家医疗初创公司在2023年初给我打了电话。创始人不错,预算充足,简报清晰:患者就诊表单、预约调度,也许以后还会加入远程医疗小工具。"我们用的是WP Engine,"CTO告诉我。我问WP Engine是否已签署他们的BAA。长时间的沉默。"BAA是什么?"
问题就在这里——不在代码里,不在插件栈里,而在于大多数开发者从不阅读、大多数主机商悄悄回避的纸面协议。
关键是:HIPAA合规性不是你可以切换的功能。它是一个法律框架,而业务伙伴协议是使你的托管提供商成为该框架正式部分的合同。如果没有签署的BAA,即使你的服务器运行TLS 1.3,你已加密数据库中的每个字段,也没关系。你仍然有风险。你的客户也是。
让我讲讲我实际了解的 2026 年哪些平台愿意签署,更重要的是——哪些平台说得好听但拒绝落笔签字。
---
BAA 实际是什么(以及不是什么)
业务合作方协议(BAA)是 HIPAA 隐私规则下的一份合同,它将供应商与受保护健康信息(PHI)的具体义务绑定在一起。当你托管医疗保健网站时,你的托管提供商会接触 PHI——即使只是在基础设施层。这使他们成为业务合作方。就这样。Business Associate Agreement is a contract under the HIPAA Privacy Rule that binds a vendor to specific obligations around Protected Health Information (PHI). When you host a healthcare site, your hosting provider touches PHI -- even if only at the infrastructure layer. That makes them a Business Associate. Full stop.
BAA 不会自动让你符合规范。我经常看到这一点被误解。BAA 意味着主机商接受他们的部分责任,并同意采取安全措施。你的应用层、你的表单、你的 WordPress 插件、你的日志——这些仍然是你的责任。their share of liability and agrees to safeguards. Your application layer, your forms, your WordPress plugins, your logging -- that's still on you.
Seahawk 在 2022 年有一个项目是为一个美国的物理治疗组织运营一个 WordPress 网站。客户与他们的电子邮件提供商签订了 BAA(很好),与 EHR 供应商签订了 BAA(显然),但与网络主机没有签订任何协议。他们的网站通过 Gravity Forms 收集症状数据。每个提交都被发送到 Gmail 账户。一个工作流中的三个独立违规。我们花了大约六周时间才理清这一切。
---
2026 年实际会签署的主机商
AWS、GCP 和 Azure——真正的选择
如果你需要 BAA 并且需要确定性,超大规模云平台是你的答案。这三个平台——Amazon Web Services、Google Cloud Platform 和 Microsoft Azure——都提供 BAA 并维护 HIPAA 符合条件服务的列表。Amazon Web Services, Google Cloud Platform, and Microsoft Azure -- offer BAAs and maintain lists of HIPAA-eligible services.
AWS 是我最常选择的。BAA 涵盖了一系列扎实的服务:EC2、RDS、S3、CloudFront、Lambda 等等。至关重要的是,并非每个 AWS 服务都符合条件。DynamoDB 在列表中;并非所有实验性服务都在。在你进行任何架构设计之前,你必须查看当前的合格服务页面。
GCP 的 BAA 涵盖 BigQuery、Cloud SQL、Compute Engine 和 Cloud Storage 等服务。Azure 在医疗保健领域具有最广泛的企业采用——他们的 BAA 和合规性文档非常成熟,如果你的客户已经在 Microsoft 生态系统中(大多数企业医疗保健组织都是),Azure 通常在组织上更合理。
这三个平台的问题是:你得不到托管式 WordPress。你得到的是基础设施。必须有人构建和维护这个栈——OS 补丁、WAF 配置、备份、静态加密和传输中加密。在 Seahawk,我们为医疗保健客户使用了配置了安全加固的 AWS EC2 实例,运行 Nginx、PHP-FPM 和 MySQL。它有效。但比起只是交给某人一个 WP Engine 登录账号,运维开销也大得多。
Kinsta——有条件的是
Kinsta 运行在 GCP 上。他们为更高级别计划(Business 1 及以上,最后一次检查时如此)的客户提供 BAA 签署。这很重要,因为 Kinsta 确实是一流的托管型 WordPress 主机。快速。可靠。很好的测试环境。
但是——这一点值得强调——Kinsta 的 BAA 覆盖范围比直接使用 GCP 本身要窄一些。你既要依赖 Kinsta 的内部控制,也要依赖 GCP 的控制。对于许多医疗保健 WordPress 项目来说,这没问题。但如果涉及大量非常敏感的数据,我会想在做出承诺之前准确了解他们的安全文档说了什么。
Cloudways——否
Cloudways 在代理商圈子里很受欢迎。性价比不错。我们在几十个非敏感项目上用过。但根据我最后的了解,Cloudways 不提供 HIPAA BAA。他们甚至运行在底层的 AWS 和 GCP 上,这有点讽刺。托管层引入了不确定性,他们不会为 HIPAA 目的在合同上为此担责。
Pantheon——否(大多数套餐)
Pantheon 对 Drupal 和 WordPress 代理商来说非常优秀。HIPAA 合规不是他们的市场。他们已经把这说得很清楚了。别被企业级的品牌宣传迷惑了。Drupal and WordPress agencies. HIPAA compliance is not their market. They've been clear about this. Don't let the enterprise branding fool you.
WP Engine——否
我知道。他们有合规文档。他们谈论安全。他们不会签署 HIPAA BAA。他们的服务条款明确禁止在他们的平台上存储 PHI。这使其不符合任何真正的医疗保健用例资格。我在这篇文章开头提到的那个初创公司?这正是他们所处的情况。
Liquid Web / Nexcess——有可能,但有注意事项
Liquid Web 提供过符合 HIPAA 的托管主机服务,附带 BAA 签署,通常是在他们的专用服务器或 VPS 产品上而不是共享计划。值得直接与他们的销售团队交谈。他们的合规态势已经改善。但在我构建任何东西之前,我想先拿到 BAA。
---
你的 WordPress 堆栈在 BAA 之外需要什么
BAA 是基础,不是建筑本身。以下是在应用层对符合 HIPAA 要求的 WordPress 站点实际需要发生的事情。
表单和数据收集
- Gravity Forms在正确设置下可以使用,但原生的Gravity Forms默认在WordPress数据库中存储提交。对于PHI,你要么需要禁用数据库存储并将数据安全地传送到HIPAA合规的目标地址,要么仔细使用他们的加密字段附加组件。 with the proper setup can be used, but native Gravity Forms stores submissions in the WordPress database by default. For PHI, you either need to disable database storage and pipe data securely to a HIPAA-compliant destination, or use their Encrypted Fields add-on carefully.
- Cognito Forms和FormAssembly都提供带BAA的HIPAA合规版本。如果表单是主要的数据收集点,这些通常比费力处理GF要干净得多。 and FormAssembly both offer HIPAA-compliant tiers with BAAs. If the form is the primary data-collection point, these are often cleaner than wrestling with GF.
- 永远不要使用免费的联系表单插件,这些插件在没有检查其合规态势的情况下将数据发送到第三方服务器。
电子邮件
这个会让人头疼。你的 WordPress 网站可能通过 wp_mail() 发送电子邮件,默认使用 PHP mail 或连接的 SMTP 插件。标准 Gmail、标准 Mailchimp、标准 SendGrid——这些都不在入门级套餐上签署 HIPAA BAA。
Paubox 是我一直向中小型医疗保健客户推荐的。HIPAA 合规电子邮件,包含 BAA,定价简明。Google Workspace 也为其医疗保健客户提供 BAA,但需要特定套餐和正式请求流程——不适用于标准 Google 账户。 is the one I recommend consistently for small-to-mid healthcare clients. HIPAA-compliant email, BAA included, straightforward pricing. Google Workspace also offers a BAA for their healthcare clients, but it requires a specific plan and a formal request process -- it doesn't apply to a standard Google account.
插件和第三方集成
每个电话回家的插件、每个分析脚本、每个实时聊天小部件——所有这些都可能接触到 PHI,具体取决于页面上的数据内容。进行适当的审计。我用 Query Monitor 识别正在进行外部请求的内容,然后根据每个供应商的合规文档交叉参考。Query Monitor to identify what's making external requests, then cross-reference against each vendor's compliance documentation.
HubSpot会签署BAA。Intercom不会(在标准套餐中)。Hotjar在没有经过非常仔细的范围界定的情况下,几乎肯定不应该在医疗保健网站上运行。
---
如何实际获得签署的BAA
这比较偏向程序性而非技术性,但我见过项目在这里停滞。
- 识别每个接触或可能接触 PHI 的供应商——主机、CDN、电子邮件、表单、分析、支持聊天、备份提供商。 that touches or could touch PHI -- host, CDN, email, forms, analytics, support chat, backup provider.
- 向每个供应商的销售或合规团队请求BAA文档。不要假设。要求书面文件。 from each vendor's sales or compliance team. Don't assume. Get it in writing.
- 审查范围——仅涵盖某些服务或某些数据类型的 BAA 需要在你签署前充分理解。 -- a BAA that only covers certain services or certain data types needs to be understood before you sign.
- 将签署的协议存储在你的客户法律团队可以访问的地方。不仅仅是在你的收件箱中。 somewhere your client's legal team can access. Not just in your inbox.
- 每年重新审查一遍——供应商会改变政策、服务会被停用,2024年覆盖你的技术栈的BAA在2026年可能存在漏洞。 -- vendors change their policies, services get deprecated, and a BAA that covered your stack in 2024 might have gaps in 2026.
HHS关于业务合作伙伴的指导实际上是可读的。如果你是新手,值得花三十分钟阅读。HHS guidance on Business Associates is actually readable. Worth thirty minutes of your time if you're new to this.
---
没人谈论的CDN问题
你已经搞定了主机。你有了BAA。你锁定了应用层。然后你在它前面放上了Cloudflare。
Cloudflare会签署BAA——但仅限于他们的Enterprise计划,起价已经把大多数小型医疗健康客户排除在外。免费和Pro套餐呢?没有BAA。这意味着Cloudflare实际上在没有BAA的情况下对你的HTTPS流量进行解密和检查,而这个网站上的传输过程中可能含有PHI。Enterprise plan, which starts at a price point that rules it out for most small healthcare clients. The free and Pro tiers? No BAA. Which means Cloudflare is technically decrypting and inspecting your HTTPS traffic without a BAA in place, on a site that may have PHI in transit.
对于较小的项目,我通过使用AWS CloudFront(符合BAA条件)作为CDN层来解决这个问题,当网站已经在EC2上或在应用负载均衡器后面时。这不如Cloudflare仪表板那么花哨,但从合规的角度来说是干净的。
---
我在2026年真正会做的事
如果一个医疗客户明天找我提出WordPress需求,大致上我会这样架构:
- 主机:AWS EC2(带有签署的 BAA)运行强化的 LEMP 栈,或者 Kinsta Business 并拿到他们的 BAAAWS EC2 (with a signed BAA) running a hardened LEMP stack, or Kinsta Business with their BAA in hand
- 邮件:Paubox 用于交易和提供商相关的电子邮件Paubox for transactional and provider-facing email
- 表单:FormAssembly 或 Gravity Forms,禁用数据库存储并使用加密提交路由FormAssembly or Gravity Forms with database storage disabled and encrypted submission routing
- CDN:AWS CloudFront,而不是 Cloudflare 免费/专业版AWS CloudFront, not Cloudflare free/Pro
- 分析:在同一BAA覆盖的基础设施上自托管Matomo——不要在任何可能在URL或参数中包含PHI的地方使用Google AnalyticsSelf-hosted Matomo on the same BAA-covered infrastructure -- no Google Analytics for anything that has even a chance of PHI in the URL or parameters
- 备份:AWS S3(符合 BAA 资格)并支持服务器端加密AWS S3 (BAA-eligible) with server-side encryption
比标准 WordPress 构建更昂贵吗?是的。在运营上更复杂吗?也是的。但另一种选择是客户面临 HIPAA 违规通知流程、从每次违规每天 100 美元起的潜在罚款,以及关于为什么开发人员从未提及任何这些的一次非常尴尬的谈话。HIPAA breach notification process, potential fines starting at $100 per violation per day, and a very uncomfortable conversation about why their developer never mentioned any of this.
---
常见问题
"符合HIPAA的托管"在法律上有意义吗?
没有。这是一个市场营销用语。有法律意义的是签署的BAA(业务关联协议)。任何主机提供商都可以称自己为HIPAA就绪、HIPAA友好或HIPAA某某。没有BAA,这些词语只是装饰性的。始终明确询问:"你们会与我们签署业务关联协议吗?"
如果我的网站只有一个联系表单,还需要BAA吗?
如果联系表单收集可能构成PHI的信息——症状、诊断、预约原因,任何与患者身份和健康状况相关的信息——那么是的,该数据链中的每个供应商都应该有BAA。一个只收集姓名、电话和首选时间的通用"预约"表单属于灰色地带,但我还是会倾向于获取BAA。
我可以使用WordPress.com做医疗保健网站吗?
WordPress.com(托管平台,不是自托管的WordPress软件)不提供HIPAA BAA。句号。这不同于在符合要求的基础设施上运行的自托管WordPress。软件本身没问题。托管平台不适合PHI。
如果我正在使用的供应商被收购,新所有者取消了BAA,会怎样?
这是真实的风险,我见过小型SaaS工具发生过。你的BAA应该有终止条款,在供应商无法再满足HIPAA义务时触发。当你收到收购通知邮件时,不要删掉它——检查一下新实体下的合规承诺是否得到维持。
HIPAA只是美国的问题吗?
是的,HIPAA是美国联邦法律。但如果你在为英国或欧盟医疗健康客户构建服务,对应的标准——NHS Digital标准、数据安全与保护工具包以及适用于健康数据的GDPR——在数据处理协议周围有类似的要求。框架不同,逻辑是一样的。
---
大多数开发者,如果诚实的话,在有人问起之前根本不会想到 BAA。到那时要么你幸运地没问题,要么你在紧张的客户催促下仓促地改造整个技术栈。
最好在项目开始前就了解这些要求,而不是在开发到一半时才发现你的主机商拒绝签署那份真正重要的文件。