Pengantar - Merancang untuk Keamanan dan Kepatuhan HIPAA pada Amazon Web Services

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pengantar

Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan tahun 1996 (HIPAA) berlaku untuk “entitas yang dilindungi” dan “rekan bisnis.” HIPAA diperluas pada tahun 2009 oleh Health Information Technology for Economic and Clinical Health (HITECH) Act.

HIPAA dan HITECH menetapkan seperangkat standar federal yang dimaksudkan untuk melindungi keamanan dan privasi PHI. HIPAA dan HITECH memberlakukan persyaratan terkait penggunaan dan pengungkapan informasi kesehatan yang dilindungi (PHI), perlindungan yang tepat untuk melindungi PHI, hak individu, dan tanggung jawab administratif. Untuk informasi lebih lanjut tentang HIPAA dan HITECH, kunjungi Rumah Privasi Informasi Kesehatan.

Entitas yang tercakup dan rekan bisnisnya dapat menggunakan komponen TI yang aman, dapat diskalakan, dan berbiaya rendah yang disediakan oleh Amazon Web Services (AWS) untuk merancang aplikasi yang selaras dengan persyaratan kepatuhan HIPAA dan HITECH. AWS menawarkan platform commercial-off-the-shelf infrastruktur dengan sertifikasi dan audit yang diakui industri seperti ISO 27001, FedRAMP, dan Laporan Kontrol Organisasi Layanan (SOC1, SOC2, dan SOC3). Layanan dan pusat data AWS memiliki beberapa lapisan keamanan operasional dan fisik untuk membantu memastikan integritas dan keamanan data pelanggan. Tanpa biaya minimum, tidak diperlukan kontrak berbasis jangka waktu, dan pay-as-you-use harga, AWS adalah solusi yang andal dan efektif untuk mengembangkan aplikasi industri perawatan kesehatan.

AWS memungkinkan entitas yang dilindungi dan rekan bisnisnya yang tunduk pada HIPAA untuk memproses, menyimpan, dan mengirimkan PHI dengan aman. Selain itu, pada Juli 2013, AWS menawarkan Business Associate Addendum (BAA) standar untuk pelanggan tersebut. Pelanggan yang menjalankan AWS BAA dapat menggunakan layanan AWS apa pun di akun yang ditetapkan sebagai Akun HIPAA, tetapi mereka hanya dapat memproses, menyimpan, dan mengirimkan PHI menggunakan layanan yang memenuhi syarat HIPAA yang ditentukan dalam AWS BAA. Untuk daftar lengkap layanan ini, lihat halaman Referensi Layanan yang Memenuhi Syarat HIPAA.

AWS mempertahankan program manajemen risiko berbasis standar untuk memastikan bahwa layanan yang memenuhi syarat HIPAA secara khusus mendukung perlindungan administratif, teknis, dan fisik HIPAA. Menggunakan layanan ini untuk menyimpan, memproses, dan mengirimkan PHI membantu pelanggan dan AWS kami untuk memenuhi persyaratan HIPAA yang berlaku untuk model operasi berbasis utilitas AWS.

BAA AWS mewajibkan pelanggan untuk mengenkripsi PHI yang disimpan atau ditransmisikan menggunakan layanan yang memenuhi syarat HIPAA sesuai dengan panduan dari Sekretaris Kesehatan dan Layanan Kemanusiaan (HHS): Panduan untuk Membuat Informasi Kesehatan yang Dilindungi Tanpa Aman Tidak Dapat Digunakan, Tidak Dapat Dibaca, atau Tidak Dapat Diuraikan kepada Individu yang Tidak Sah (“Panduan”). Silakan merujuk ke situs ini karena dapat diperbarui, dan mungkin tersedia di situs penerus (atau terkait) yang ditunjuk oleh HHS.

AWS menawarkan serangkaian fitur dan layanan yang komprehensif untuk membuat manajemen kunci dan enkripsi PHI mudah dikelola dan lebih mudah untuk diaudit, termasuk AWS Key Management Service (AWS KMS). Pelanggan dengan persyaratan kepatuhan HIPAA memiliki banyak fleksibilitas dalam cara mereka memenuhi persyaratan enkripsi untuk PHI.

Saat menentukan cara menerapkan enkripsi, pelanggan dapat mengevaluasi dan memanfaatkan fitur enkripsi asli layanan yang memenuhi syarat HIPAA. Atau pelanggan dapat memenuhi persyaratan enkripsi melalui cara lain yang konsisten dengan panduan dari HHS.