Introducción - Arquitectura de seguridad de HIPAA y cumplimiento de servicios Amazon Web

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Introducción

La Ley de Portabilidad y Responsabilidad de los Seguros Médicos de 1996 (HIPAA) se aplica a las «entidades cubiertas» y a los «socios comerciales». La HIPAA se amplió en 2009 mediante la Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica (HITECH).

La HIPAA y la HITECH establecen un conjunto de normas federales destinadas a proteger la seguridad y la privacidad de la PHI. La HIPAA y la HITECH imponen requisitos relacionados con el uso y la divulgación de la información médica protegida (PHI), las salvaguardias adecuadas para proteger la PHI, los derechos individuales y las responsabilidades administrativas. Para obtener más información sobre HIPAA e HITECH, visite la página de inicio de privacidad de la información de salud.

Las entidades cubiertas y sus socios comerciales pueden usar los componentes de TI seguros, escalables y de bajo costo que proporciona Amazon Web Services (AWS) para diseñar aplicaciones de acuerdo con los requisitos de conformidad con la HIPAA y la HITECH. AWS ofrece una plataforma de commercial-off-the-shelf infraestructura con certificaciones y auditorías reconocidas en el sector, como ISO 27001, FedRAMP y los informes de control de la organización de servicios (SOC1, SOC2 y SOC3). Los servicios y centros de datos de AWS tienen varios niveles de seguridad física y operativa para garantizar la integridad y la seguridad de los datos de los clientes. Sin tarifas mínimas, sin necesidad de contratos por plazos y con pay-as-you-use precios, AWS es una solución fiable y eficaz para las crecientes aplicaciones del sector de la salud.

AWS permite a las entidades cubiertas y a sus socios comerciales sujetos a la HIPAA procesar, almacenar y transmitir la PHI de forma segura. Además, a partir de julio de 2013, AWS ofrece un apéndice para socios comerciales (BAA) estandarizado para dichos clientes. Los clientes que ejecuten un BAA de AWS pueden usar cualquier servicio de AWS en una cuenta designada como cuenta HIPAA, pero solo pueden procesar, almacenar y transmitir la PHI mediante los servicios aptos para la HIPAA definidos en el BAA de AWS. Para obtener una lista completa de estos servicios, consulte la página de referencia de servicios aptos para la HIPAA.

AWS mantiene un programa de administración de riesgos basado en estándares para garantizar que los servicios aptos para la HIPAA respalden específicamente las protecciones administrativas, técnicas y físicas de la HIPAA. El uso de estos servicios para almacenar, procesar y transmitir la PHI ayuda a nuestros clientes y a AWS a cumplir los requisitos de la HIPAA aplicables al modelo operativo basado en servicios de AWS.

La BAA de AWS exige que los clientes cifren la PHI almacenada o transmitida mediante servicios que cumplen con los requisitos de la HIPAA, de acuerdo con las directrices del Secretario de Salud y Servicios Humanos (HHS): Guía para hacer que la información de salud protegida no segura sea inutilizable, ilegible o indescifrable para personas no autorizadas («Guía»). Consulte este sitio, ya que podría estar actualizado y estar disponible en un sitio sucesor (o relacionado) designado por el HHS.

AWS ofrece un conjunto completo de funciones y servicios para que la administración de claves y el cifrado de la PHI sean fáciles de administrar y más sencillos de auditar, incluido el AWS Key Management Service (AWS KMS). Los clientes que cumplen los requisitos de conformidad con la HIPAA disponen de una gran flexibilidad a la hora de cumplir los requisitos de cifrado de la PHI.

A la hora de determinar cómo implementar el cifrado, los clientes pueden evaluar y aprovechar las funciones de cifrado propias de los servicios aptos para la HIPAA. O bien, los clientes pueden cumplir los requisitos de cifrado por otros medios, de conformidad con las directrices del HHS.