Ключевые выводы
• HIPAA — это закон, SOC 2 — это рычаг продаж. HIPAA становится обязательным в ту же секунду, как ваша платформа касается PHI (защищённой медицинской информации) на территории США. SOC 2 Type 2 — добровольный, но любой корпоративный покупатель телемед-решения требует отчёт уже на первом созвоне.
• Делать оба сертификата вместе на 30–40 % дешевле, чем последовательно. Совместная подготовка к HIPAA + SOC 2 Type 2 укладывается в 2,2–6 млн ₽ за сам аудит, плюс 4–8 недель работы senior-инженеров и 525 тыс.–1,5 млн ₽ в год за compliance-инструменты. Последовательный путь легко превышает 7,5 млн ₽.
• Compliance — это архитектура, а не накладной слой. Self-hosted SFU в вашем VPC, ключи шифрования под управлением заказчика, только managed-сервисы под BAA, аудит-логи с первой строки кода. Переделка после запуска обойдётся в три раза дороже, чем заложить всё это на старте.
• Большинство «HIPAA-совместимых» SDK покрывают задачу лишь частично. Twilio Programmable Video закрыт. LiveKit Cloud подписывает BAA только на enterprise-тарифе. Daily и Vonage поддерживают BAA. Самый чистый путь — self-hosted mediasoup или LiveKit OSS в собственном VPC.
• Обновление Security Rule 2024 года уже действует. Многофакторная аутентификация, инвентаризация средств шифрования, управление уязвимостями с циклом раз в полгода — всё это перешло из категории «addressable» в обязательное. Ваше BAA от 2022 года не покрывает обязательств 2026 года.
Почему этот плейбук написала Фора Софт
Фора Софт сдала более 625 проектов с 2005 года. Телемедицина — одна из наших ключевых вертикалей: CirrusMED (HIPAA-совместимая телемед-платформа в США), TransLinguist (платформа медицинского перевода для NHS UK), Hospital Phone Interpreter и несколько платформ для телепсихиатрии под NDA.
За эти проекты мы подписали десятки BAA, провели четырёх клиентов через аудит SOC 2 Type 2 и помогли двум организациям закрыть compliance-замечания, всплывшие при due diligence на сделке M&A. Цифры ниже — не из вендорского whitepaper, а реальные данные продакшена 2025–2026 годов.
Если вы строите телемед-продукт и заказчик спрашивает про HIPAA, SOC 2 или оба — этот гайд расскажет, что каждый из них реально требует, где принимаются архитектурные решения, во что это обходится в рублях и неделях и как объединить оба трека и сэкономить 30–40 %.
Нужен архитектурный аудит HIPAA + SOC 2 для вашей телемед-платформы?
Пришлите схему стека и целевую дату аудита. За 48 часов вернёмся с одностраничным gap-анализом и 12-месячной дорожной картой. Бесплатно.
HIPAA против SOC 2 — что пересекается, а что нет
HIPAA — это федеральный закон США, который администрирует HHS. Он применяется в момент, когда ваша платформа создаёт, получает, хранит или передаёт PHI. Никакого «HIPAA Lite» не существует. Если вы обрабатываете PHI для covered entity (больницы, клиники, страховой компании), вы — Business Associate, вы подписываете BAA, реализуете требования Security Rule и несёте обязательства по уведомлению об утечках.
SOC 2 — это аттестационный фреймворк AICPA. Он добровольный. Регулятор не выпишет «штраф за SOC 2». Но любой корпоративный покупатель в здравоохранении, финтехе, образовании и SaaS требует отчёт SOC 2 Type 2 до подписания многолетнего контракта. Без него цикл продажи растягивается на 90–180 дней — пока их служба безопасности проводит свою кастомную проверку.
Пересечение. Около 60 % контролей HIPAA Security Rule пересекаются с Common Criteria SOC 2. Контроль доступа, аудит-логи, шифрование «в полёте» и «на диске», управление уязвимостями, реакция на инциденты — технические меры почти идентичны. Выгода от совместной реализации реальна: один набор политик, один стек инструментов, одно аудит-окно с пересекающимися доказательствами.
Различия. HIPAA предписывает конкретные правила работы с PHI: принцип минимально необходимого, цепочки BAA, сроки уведомления об утечках, права пациента на доступ. SOC 2 ничего из этого не предписывает — он спрашивает «работают ли ваши контроли так, как задумано?», а не «правильно ли вы обращаетесь с PHI?». Отчёт SOC 2 не закрывает требования HIPAA. Оценка по HIPAA Security Rule не закрывает SOC 2.
Что HIPAA реально требует от видеоплатформы
У Security Rule три опоры: административные меры, физические меры, технические меры. Для видеоплатформы основную работу делают четыре технических меры, и обновление Security Rule 2024 года ужесточило их все.
1. Шифрование «в полёте» И «на диске». Нативный DTLS-SRTP в WebRTC автоматически закрывает шифрование «в полёте» — это лёгкая часть. Сложнее с «на диске»: каждая запись, каждая транскрипция, каждый снимок экрана должны шифроваться AES-256 (или эквивалентом), а ключами нужно управлять (KMS, HSM). Обновление 2024 года сделало шифрование обязательным; до этого оно числилось как «addressable».
2. Контроль доступа + MFA. Ролевой доступ к PHI — без вариантов. Обновление 2024 года добавило обязательную многофакторную аутентификацию для всех пользователей с доступом к PHI: раньше «addressable», теперь требуется. Приложение пациента, приложение врача и админка — все три должны поддерживать MFA.
3. Аудит-логирование. Каждый доступ к PHI логируется: кто, что, когда, откуда. Сам лог — это PHI-смежная сущность, его тоже надо шифровать, делать tamper-evident и хранить 6 лет. Для видео это означает метаданные сессии (кто подключился, кто записал, кто просмотрел) плюс события на каждое обращение к фрагменту записи.
4. Business Associate Agreements. Каждый вендор, который касается PHI, подписывает BAA — ваш SFU-провайдер, облачный провайдер, слой хранения, сервис субтитров, аналитический инструмент. Нет BAA — нет PHI. Списки «HIPAA-совместимых» инструментов ничего не значат без подписанного BAA.
5. Уведомление об утечках. Если PHI скомпрометированы, у вас 60 дней на уведомление HHS, затронутых лиц и (для утечек >500 человек) СМИ. План реагирования на инциденты должен это репетировать. Tabletop-учения проводятся минимум раз в год.
SOC 2 Type 2 — пять trust criteria
SOC 2 оценивает ваши контроли по пяти Trust Service Criteria. Большинство телемед-платформ выбирают скоуп Security + Availability + Confidentiality — оставшиеся два (Processing Integrity, Privacy) увеличивают стоимость аудита, но почти не дают ценности для покупателя.
Security (обязателен). Контроли защиты от несанкционированного доступа. CC6.1–CC6.8 — критерии контроля доступа; именно здесь падают наивные WebRTC-реализации. Если каждый, у кого есть URL комнаты, может в неё зайти — у вас нет контроля доступа.
Availability. SLA по аптайму, мониторинг, планирование мощностей, непрерывность бизнеса. Покупатели в телемеде ждут 99,9 % и выше. SFU должен быть как минимум в двух регионах, у базы данных должны быть реплики, инцидент-плейбук — отрепетирован.
Confidentiality. Защита конфиденциальной информации сверх стандартного контроля доступа. Для видео это значит: подход к E2E-шифрованию, контроли срока хранения записей и due diligence по вендорам.
Type 1 против Type 2. Type 1 говорит «контроли спроектированы корректно на эту дату». Type 2 говорит «контроли работали эффективно на 6–12-месячном окне наблюдения». Корпоративные покупатели хотят Type 2. Планируйте под него с первого дня.
Эталонная архитектура, которая проходит аудит
Compliance-видеоплатформа состоит из шести отдельных слоёв. Промахнётесь хоть в одном — аудитор это найдёт.
Рисунок 1. Compliance-архитектура телемед-видео — identity, прикладной слой, SFU, хранилище, аудит, зонтик BAA.
Берите self-hosted SFU, когда: нужен полный контроль над PHI, ключи под управлением заказчика, data residency в ЕС/США или объём более 10 тыс. provider-минут в месяц.
Берите managed SFU с покрытием BAA, когда: объём ниже 10 тыс. минут в месяц, нет своей SRE-команды и вы готовы заплатить премию в 2–3 раза за enterprise-тариф.
Берите гибрид (BYO-SFU), когда: хотите managed control plane (LiveKit Cloud, Daily), но медиа никогда не покидает ваш VPC. Лучшее из двух миров, но условия контракта тонкие.
Берите overlay со сквозным шифрованием (E2EE), когда: работаете в психиатрии, онкологии или любой вертикали, где даже ваши собственные операционники не должны видеть PHI по умолчанию.
Матрица BAA по вендорам — кто что подписывает
| Вендор | BAA доступен? | Какой тариф нужен | Заметки |
|---|---|---|---|
| AWS | Да | Стандартный | Подписали один раз — покрывает ~150 сервисов |
| GCP | Да | Стандартный | Включая Cloud Healthcare API |
| Azure | Да | Стандартный | Текстовые эндпоинты Azure OpenAI под BAA; Realtime audio пока НЕТ |
| LiveKit Cloud | Enterprise-тариф | Кастомный контракт | Self-hosted OSS в собственном VPC — путь проще |
| Daily.co | Да | Scale-тариф | Сильный фокус на телемеде |
| Vonage Video API | Да | Все платные тарифы | Устоявшаяся практика BAA, унаследованная от TokBox |
| Twilio Programmable Video | Закрыт в декабре 2024 | N/A | Мигрируйте до запуска нового деплоя |
| Agora | Ограниченно | Контакт с enterprise-отделом | Уточняйте регион; не все SDK покрыты |
| Self-hosted mediasoup | N/A (Business Associate — это вы сами) | N/A | Вы подписываете BAA с вашим заказчиком |
Финансовая модель — реальные цифры 2026 года
Совместная подготовка к HIPAA + SOC 2 Type 2 для типового телемед-стартапа уровня Series A, цены на май 2026 года:
Стоимость аудита SOC 2 Type 2. 1,5–4,5 млн ₽ для small-to-mid SaaS. Big Four-фирмы берут 3,7–7,5 млн ₽; специализированные SOC 2-аудиторы (Prescient, A-LIGN, Schellman, BARR) укладываются в 1,5–3,7 млн ₽ на первом аудите, на ресертификации — меньше.
HIPAA risk assessment + готовность. 375 тыс.–1,1 млн ₽ за внешнего ассессора (Compliancy Group, Accountable, MedCurity) или примерно 0 ₽, если вы сами проходите по шаблонам Vanta/Drata — но первый цикл мы всё же рекомендуем сделать через внешнюю проверку.
Compliance-инструменты. Vanta или Drata: 525 тыс.–1,5 млн ₽ в год в зависимости от размера компании. Sprinto и Comp.ai на 30–50 % дешевле для ранней стадии. Delve и Secureframe — посередине. Закладывайте около 750 тыс. ₽ в год на команду из 20 человек.
Инженерные трудозатраты. 4–8 недель работы senior-инженера, чтобы построить контроли, если compliance заложили в архитектуру с первого дня. 12–20 недель, чтобы переделать non-compliance-кодобазу. Именно стоимость переделки и пробивает бюджеты.
Сводный расчёт. SOC 2 + HIPAA вместе обходятся на 30–40 % дешевле, чем последовательно: контроли строятся один раз, политики пишутся один раз и проводится одно пересекающееся аудит-окно. Конкретный пример — телемед-клиент, которого мы провели через аудит в 2025 году, заплатил 4,3 млн ₽ за аудит совместного трека против оценочных 6,9 млн ₽ за последовательный.
Хотите прогноз стоимости под ваш стек и размер команды?
За 30 минут пройдём по модели стоимости SOC 2 + HIPAA для вашей компании — выбор аудитора, выбор инструментов, инженерные трудозатраты, целевая дата аудита.
Матрица инструментов — Vanta, Drata, Sprinto, Comp.ai, Delve
Vanta. Лидер категории. Зрелые интеграции, богатый сбор доказательств, дорого. 750 тыс.–1,8 млн ₽ в год для скоупа телемеда. Дефолтный выбор на Series B+.
Drata. Ближайший конкурент Vanta. Сопоставимый функционал, чуть более отполированный UX, аналогичная цена. У нас были клиенты на обоих.
Sprinto. Агрессивные цены под Series A (375–900 тыс. ₽ в год). Сильны в связке HIPAA + SOC 2. Каталог интеграций меньше, чем у Vanta, но базовые потребности закрывает.
Comp.ai. Open-source платформа compliance, запущена в 2025 году. Бесплатный тариф для ранней стадии. Стоит посмотреть стартапам с дефицитом денег; ручной поддержки меньше, чем в платных вариантах.
Delve. Сбор доказательств на ИИ. Новый игрок, ориентированный на Series A–B и команды разработки, которые хотят минимума ручной работы.
Дорожная карта на 12 месяцев — от MVP до пройденного аудита
| Этап | Месяцы | Результаты |
|---|---|---|
| Фундамент | М1–М3 | Архитектура с шифрованием + KMS, подписанные BAA, MFA, аудит-лог v1, библиотека политик |
| Готовность к Type 1 | М4–М6 | Подключён Vanta/Drata, закрытие пробелов, сканы уязвимостей, первый пентест, SOC 2 Type 1 |
| Окно наблюдения Type 2 | М7–М12 | Шестимесячное окно наблюдения, ежемесячный обзор доказательств, HIPAA-tabletop, аудит Type 2 |
| Стабильное состояние | М13+ | Ежегодное обновление Type 2, ежеквартальный пересмотр доступов, непрерывный сбор доказательств |
Мини-кейс — CirrusMED, audit-ready за 9 месяцев
Телемед-клиент из США (под NDA, но архитектура близка к CirrusMED) пришёл к нам в начале 2025 года: рабочий MVP, две корпоративные больничные сети в пилоте и SOC 2 + HIPAA в требованиях контракта.
План. Девятимесячный спринт до Type 1 (audit-ready) и 15 месяцев до Type 2. Месяцы 1–3: переехали с Twilio Programmable Video (закрыт) на self-hosted mediasoup в их AWS VPC, ключи KMS под управлением заказчика, MFA через Auth0, аудит-лог в выделенный CloudWatch с хранением 6 лет. Месяцы 4–6: интеграция Drata, HIPAA risk assessment от Compliancy Group, два цикла пентеста, внутренняя библиотека политик. Месяцы 7–9: SOC 2 Type 1 со Schellman плюс HIPAA self-attestation.
Результат. Audit-ready на 9-м месяце (целились в 12). Аттестация SOC 2 Type 2 на 15-м месяце. Две пилотные больничные сети перешли на многолетние контракты на основании отчёта. Совокупные вложения в compliance: 3,9 млн ₽ на аудит и инструменты плюс 7 недель работы senior-инженеров, распределённые на трёх человек. Хотите похожий план? Позвоните или напишите нам — за 30 минут разберём ваш случай.
Подводные камни
1. «HIPAA-совместимый» SDK без подписанного BAA. Маркетинговый текст — это не BAA. Запросите документ, подпишите его, положите в compliance-доказательства. Иначе аудитор не находит ничего.
2. Запись в S3 без шифрования и логирования доступа на уровне бакета. Дефолтные настройки S3 раньше оставляли PHI открытыми; обновление Security Rule 2024 года сделало шифрование обязательным. Используйте SSE-KMS с ключами под управлением заказчика, включайте логирование доступа к бакету, ставьте lifecycle на 6 лет.
3. Хранение PHI в транскриптах разговоров без редактирования. Транскрипты голосовых агентов часто содержат SSN, даты рождения, диагнозы, произнесённые вслух. Редактируйте на запись, а не post-hoc-зачисткой.
4. Игнорирование Privacy Rule. Большинство команд закрывают Security Rule и забывают про Privacy Rule полностью. Права пациента на доступ, учёт раскрытий, минимально необходимое — у Privacy Rule свои требования, которые аудит проверяет.
5. Отношение к SOC 2 как к разовой задаче. Type 2 — это непрерывная программа. Получили — поддерживаете её всегда. Встройте сбор доказательств в недельный ритм инженеров, а не в панический спринт перед ресертификацией.
Фреймворк решения — нужно ли идти за обоими, в пяти вопросах
В1. Будете ли вы обрабатывать PHI пациентов из США? Да → HIPAA обязателен, без вариантов.
В2. Будете ли продавать корпоративным покупателям в здравоохранении (больницам, страховщикам, крупным клиникам)? Да → SOC 2 Type 2 окажется в требованиях контракта; планируйте с первого дня.
В3. Вы pre-Series-A или Series-A+? Pre-A: сначала HIPAA, потом SOC 2 Type 1, Type 2 — к Series B. Series-A+: совместный спринт до Type 2 за 12–15 месяцев.
В4. В скоуп входят пациенты ЕС? Добавьте GDPR + data residency. Используйте регионы AWS/GCP в ЕС с доступом к ключам только из ЕС. Дополнительная нагрузка по compliance невелика, если HIPAA уже на месте.
В5. Размер команды разработки? Менее 5 инженеров — опирайтесь на шаблоны Vanta/Drata и нанимайте внешнего compliance-консультанта. Более 10 — выделите одного инженера на 30 % его времени под compliance-операции.
KPI, которые нужно измерять
KPI качества. Доля прошедших тестов контролей (Vanta/Drata): 99 % и выше. Количество critical-замечаний пентеста за цикл аудита: 0. Среднее время устранения замечаний аудита: менее 30 дней.
Бизнес-KPI. Сокращение цикла продажи при наличии SOC 2 Type 2 на руках: 30–90 дней быстрее на корпоративных сделках. Количество многолетних контрактов с больничными сетями, выигранных после аттестации. Доступ к премиальному тарифу, открытому только для compliance-вендоров.
KPI надёжности. Частота учений по реакции на инциденты: ежеквартально. Количество утечек PHI: 0. Время обнаружения аномалии доступа: менее 60 минут (SIEM-алерты).
Когда НЕ стоит гнаться за обоими сразу
Pre-revenue, без enterprise design partners. Если выручки ещё нет и вы поставляете решение конечному пользователю (например, DTC-приложение для ментального здоровья), HIPAA достаточно; SOC 2 Type 2 — преждевременный. Делайте Type 1 после первого корпоративного пилота.
Не-США, не-PHI-нагрузки. У платформ только под ЕС эквивалентным стеком будет GDPR + ISO 27001. HIPAA не применяется; SOC 2 может быть преждевременным без корпоративных покупателей в США.
Платформы только для wellness (без диагностических и лечебных данных). Фитнес, медитация, трекинг сна — спорно, но обычно вне скоупа HIPAA. Будьте осторожны: как только вы добавляете портал для врача, вы переходите черту.
FAQ
Совместим ли Twilio с HIPAA?
Twilio Programmable Voice и SMS подписывают BAA. Twilio Programmable Video закрыт в декабре 2024 года — не запускайте новые HIPAA-деплои на нём. Мигрируйте на Daily, Vonage, LiveKit OSS или self-hosted mediasoup.
Подписывает ли LiveKit Cloud BAA?
Да, на enterprise-тарифе и по кастомному контракту. Для большинства телемед-стартапов проще держать LiveKit OSS у себя в VPC — тот же SDK, без переговоров по BAA, полный контроль над data residency.
Сколько на самом деле занимает SOC 2 Type 2?
С чистого листа: 6–9 месяцев до Type 1, потом минимум 6 месяцев окна наблюдения до аудита Type 2. Итого ~12–15 месяцев. Если стартуете с non-compliance-кодобазы, добавляйте 3–6 месяцев на доработки сверху.
Можно ли использовать OpenAI или Claude в HIPAA-процессе?
Текстовые эндпоинты Azure OpenAI HIPAA-eligible под BAA Microsoft. OpenAI напрямую (api.openai.com) подписывает BAA на тарифе Enterprise. Anthropic подписывает BAA для Claude на тарифах Pro/Enterprise. Realtime-аудиомодальность пока НЕ покрыта; используйте сцепку STT/TTS-пайплайна с HIPAA-eligible вендорами.
Что меняет обновление HIPAA Security Rule 2024 года?
Шифрование «в полёте», шифрование «на диске», MFA и инвентаризация технологических активов перешли из «addressable» в «обязательно». Сканирование уязвимостей теперь обязательно по заданному графику. Управление патчами теперь обязательно. Политики образца 2022 года требуют обновления под 2025–2026 годы.
Нужны ли мне и Type 1, и Type 2?
Большинство корпоративных покупателей игнорируют Type 1. Им нужен Type 2. Type 1 — полезный промежуточный шаг, чтобы валидировать контроли до старта окна наблюдения, но как deliverable для отдела продаж он не работает.
Vanta или Drata?
Оба отличные. У Vanta больше экосистема и больше интеграций. У Drata чуть более отполированный UX. Ни один сам по себе аудит не завалит. На новых деплоях мы по умолчанию ставим Drata; работают оба.
А что насчёт HITRUST?
HITRUST — более строгий фреймворк, который мапится на HIPAA + SOC 2 + ISO 27001. Стартапам он редко нужен — идите за ним только когда крупная больничная сеть прямо требует HITRUST CSF Certified до подписи. Стоимость аудита примерно удваивается по сравнению с одним SOC 2.
Что почитать дальше
HIPAA
HIPAA-совместимые видеоплатформы
Глубокий разбор именно слоя SFU.
Voice AI
OpenAI Realtime: HIPAA-нюанс
Подробно о пробеле в покрытии аудиомодальности.
Стриминг
WHIP/WHEP в современных стеках
Compliance-friendly паттерн ингеста в реальном времени.
Телемедицина
Разработка телемедицинского ПО
Опорный обзор всего стека телемеда.
ИИ
MCP для видеоприложений
Если ваша ИИ-функция касается PHI — начинать стоит отсюда.
Готовы выпустить audit-ready телемед-платформу?
Compliance — это архитектура: либо вы закладываете её сразу, либо платите втрое за переделку. Совместный путь HIPAA + SOC 2 экономит 30–40 % против последовательного, занимает 12–15 месяцев от MVP и открывает контракты с больничными сетями, которые отсеивают non-compliance-вендоров уже на первом созвоне.
Обновление Security Rule 2024 года ужесточило MFA, шифрование и инвентаризацию активов с «addressable» до «обязательно». Если ваша конфигурация осталась на уровне 2022 года, обновите политики до следующего цикла аудита.
Нужен 12-месячный план до пройденного аудита HIPAA + SOC 2 Type 2?
Пришлите стек, целевую дату аудита и размер команды. За 48 часов вернёмся с одностраничной дорожной картой: выбор аудитора, выбор инструментов и оценка инженерных трудозатрат.
