Introduzione - Architecting for HIPAA Security and Compliance on Amazon Web Services

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Introduzione

L'Health Insurance Portability and Accountability Act del 1996 (HIPAA) si applica alle «entità coperte» e ai «soci d'affari». L'HIPAA è stato ampliato nel 2009 dall'Health Information Technology for Economic and Clinical Health (HITECH) Act.

HIPAA e HITECH stabiliscono una serie di standard federali volti a proteggere la sicurezza e la privacy delle PHI. HIPAA e HITECH impongono requisiti relativi all'uso e alla divulgazione di informazioni sanitarie protette (PHI), garanzie adeguate per proteggere le PHI, diritti individuali e responsabilità amministrative. Per ulteriori informazioni su HIPAA e HITECH, vai alla Health Information Privacy Home.

Le entità coperte e i loro partner commerciali possono utilizzare i componenti IT sicuri, scalabili e a basso costo forniti da Amazon Web Services (AWS) per progettare applicazioni in linea con i requisiti di conformità HIPAA e HITECH. AWS offre una piattaforma di commercial-off-the-shelf infrastruttura con certificazioni e audit riconosciuti dal settore come ISO 27001, FedRAMP e Service Organization Control Reports (SOC1, SOC2 e SOC3). I servizi e i data center AWS dispongono di più livelli di sicurezza operativa e fisica per contribuire a garantire l'integrità e la sicurezza dei dati dei clienti. Senza costi minimi, contratti a termine e pay-as-you-use prezzi, AWS è una soluzione affidabile ed efficace per la crescita delle applicazioni del settore sanitario.

AWS consente alle entità coperte e ai loro partner commerciali soggetti all'HIPAA di elaborare, archiviare e trasmettere le informazioni PHI in modo sicuro. Inoltre, a partire da luglio 2013, AWS offre un Business Associate Addendum (BAA) standardizzato per tali clienti. I clienti che eseguono un AWS BAA possono utilizzare qualsiasi servizio AWS in un account designato come account HIPAA, ma possono elaborare, archiviare e trasmettere PHI solo utilizzando i servizi idonei HIPAA definiti nel BAA AWS. Per un elenco completo di questi servizi, consulta la pagina di riferimento dei servizi idonei alla normativa HIPAA.

AWS mantiene un programma di gestione del rischio basato su standard per garantire che i servizi idonei all'HIPAA supportino specificamente le protezioni amministrative, tecniche e fisiche dell'HIPAA. L'utilizzo di questi servizi per archiviare, elaborare e trasmettere PHI aiuta i nostri clienti e AWS a soddisfare i requisiti HIPAA applicabili al modello operativo basato sulle utilità AWS.

La BAA di AWS richiede ai clienti di crittografare i dati PHI archiviati o trasmessi utilizzando servizi idonei all'HIPAA in conformità alle linee guida del Secretary of Health and Human Services (HHS): Guida per rendere le informazioni sanitarie protette non sicure inutilizzabili, illeggibili o indecifrabili per individui non autorizzati («Guida»). Si prega di fare riferimento a questo sito perché potrebbe essere aggiornato e potrebbe essere reso disponibile su un sito successivo (o correlato) designato da HHS.

AWS offre un set completo di funzionalità e servizi per rendere la gestione delle chiavi e la crittografia di PHI facili da gestire e più semplici da controllare, tra cui AWS Key Management Service ()AWS KMS. I clienti con requisiti di conformità HIPAA hanno una grande flessibilità nel modo in cui soddisfano i requisiti di crittografia per PHI.

Nel determinare come implementare la crittografia, i clienti possono valutare e sfruttare le funzionalità di crittografia native dei servizi idonei all'HIPAA. In alternativa, i clienti possono soddisfare i requisiti di crittografia con altri mezzi, in linea con le indicazioni di HHS.