Regola di sicurezza HIPAA: febbraio 2003

AWS Audit Manager fornisce un framework standard predefinito che supporta la regola di sicurezza dell'Health Insurance Portability and Accountability Act (HIPAA): febbraio 2003.

Nota

Per informazioni sulla norma di sicurezza Omnibus finale HIPAA 2013 e sul framework Gestione audit che supporta questo standard, consulta Regola finale HIPAA Omnibus.

Cosa sono l'HIPAA e la norma di sicurezza HIPAA 2003?

L'HIPAA è una legislazione che aiuta i lavoratori statunitensi a mantenere la copertura assicurativa sanitaria in caso di cambio o perdita di lavoro. La legislazione mira inoltre a incoraggiare l’uso delle cartelle cliniche elettroniche per migliorare l'efficienza e la qualità del sistema sanitario statunitense attraverso una migliore condivisione delle informazioni.

Oltre ad aumentare l'uso delle cartelle cliniche elettroniche, l'HIPAA include disposizioni per la protezione della sicurezza e della privacy delle informazioni sanitarie protette (PHI). PHI include una serie molto ampia di dati sanitari e relativi alla salute identificabili personalmente. Tra questi dati figurano informazioni sull'assicurazione e sulla fatturazione, dati di diagnosi, dati sull'assistenza clinica e risultati di laboratorio come immagini e risultati dei test.

Il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti ha pubblicato una norma di sicurezza finale nel febbraio 2003. Questa regola stabilisce gli standard nazionali per la protezione della riservatezza, dell'integrità e della disponibilità di informazioni sanitarie protette in formato elettronico.

Le regole HIPAA si applicano alle entità coinvolte. Tra esse figurano ospedali, fornitori di servizi medici, piani sanitari sponsorizzati dai datori di lavoro, strutture di ricerca e compagnie assicurative che si occupano direttamente dei pazienti e dei dati dei pazienti. Il requisito HIPAA per la protezione dei PHI si estende anche ai partner coinvolti.

Per ulteriori informazioni su come HIPAA e HITECH proteggono le informazioni sanitarie, consulta la pagina web Health Information Privacy del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti.

Un numero crescente di fornitori di servizi sanitari, pagatori e professionisti IT utilizza servizi cloud AWS basati sulle utilità per elaborare, archiviare e trasmettere informazioni sanitarie protette (PHI). AWS consente alle entità coperte e ai loro partner commerciali soggetti all'HIPAA di utilizzare l' AWS ambiente sicuro per elaborare, mantenere e archiviare informazioni sanitarie protette.

Per istruzioni su come utilizzarle AWS per l'elaborazione e l'archiviazione di informazioni sanitarie, consulta il white paper Architecting for HIPAA Security and Compliance on Amazon Web Services.

Utilizzo di questo framework

Puoi utilizzare il framework della Norma di sicurezza HIPAA 2003 per prepararti agli audit. Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in set di controlli in base ai requisiti HIPAA. Puoi inoltre personalizzare questo framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici.

Utilizzando il framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per l’audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. Lo fa sulla base dei controlli definiti nel framework HIPAA. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto.

I dettagli del framework sono i seguenti:

Nome del framework in AWS Audit Manager	Numero di controlli automatici	Numero di controlli manuali	Numero di set di controllo
Norma di sicurezza dell'Health Insurance Portability and Accountability Act (HIPAA): febbraio 2003	45	40	5

Suggerimento

Per esaminare le AWS Config regole utilizzate come mappature delle origini dati in questo framework standard, scaricate il file _ _HIPAA-Security-Rule-Feb-2003.zip. AuditManager ConfigDataSourceMappings

I controlli di questo AWS Audit Manager framework non hanno lo scopo di verificare se i sistemi sono conformi allo standard HIPAA. Inoltre, non possono garantire che supererai un audit HIPAA. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove.

È possibile trovare questo framework nella scheda Standard frameworks della libreria di framework in Audit Manager.

Passaggi successivi

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta Creazione di una valutazione in AWS Audit Manager.

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, consulta. Creazione di una copia modificabile di un framework esistente in AWS Audit Manager

Risorse aggiuntive

• Privacy delle informazioni sanitarie del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti

• La norma di sicurezza del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti

• Architecting for HIPAA Security and Compliance on Amazon Web Services

• AWS Pagina di conformità per l'HIPAA