Introdução - Arquitetando para Segurança HIPAA e Conformidade no Amazon Web Services

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Introdução

A Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 (HIPAA) se aplica a “entidades cobertas” e “parceiros de negócios”. A HIPAA foi expandida em 2009 pela Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica (HITECH).

A HIPAA e a HITECH estabelecem um conjunto de padrões federais destinados a proteger a segurança e a privacidade das PHI. A HIPAA e a HITECH impõem requisitos relacionados ao uso e divulgação de informações de saúde protegidas (PHI), salvaguardas apropriadas para proteger as PHI, direitos individuais e responsabilidades administrativas. Para obter mais informações sobre HIPAA e HITECH, acesse o Health Information Privacy Home.

As entidades cobertas e seus parceiros comerciais podem usar os componentes de TI seguros, escaláveis e de baixo custo fornecidos pela Amazon Web Services (AWS) para arquitetar aplicativos alinhados aos requisitos de conformidade da HIPAA e da HITECH. A AWS oferece uma plataforma de commercial-off-the-shelf infraestrutura com certificações e auditorias reconhecidas pelo setor, como ISO 27001, FedRAMP e os Relatórios de Controle da Organização de Serviços (SOC1, SOC2 e SOC3). Os serviços e datacenters da AWS têm várias camadas de segurança operacional e física para ajudar a garantir a integridade e a segurança dos dados dos clientes. Sem taxas mínimas, sem contratos baseados em prazos e pay-as-you-use preços, a AWS é uma solução confiável e eficaz para o crescimento de aplicativos do setor de saúde.

A AWS permite que entidades cobertas e seus parceiros comerciais sujeitos à HIPAA processem, armazenem e transmitam PHI com segurança. Além disso, a partir de julho de 2013, a AWS oferece um Adendo de Associado Comercial (BAA) padronizado para esses clientes. Os clientes que executam um BAA da AWS podem usar qualquer serviço da AWS em uma conta designada como conta da HIPAA, mas só podem processar, armazenar e transmitir PHI usando os serviços elegíveis para a HIPAA definidos no BAA da AWS. Para obter uma lista completa desses serviços, consulte a página de referência de serviços qualificados pela HIPAA.

A AWS mantém um programa de gerenciamento de riscos baseado em padrões para garantir que os serviços qualificados pela HIPAA ofereçam suporte específico às proteções administrativas, técnicas e físicas da HIPAA. O uso desses serviços para armazenar, processar e transmitir PHI ajuda nossos clientes e a AWS a atender aos requisitos da HIPAA aplicáveis ao modelo operacional baseado em utilitários da AWS.

O BAA da AWS exige que os clientes criptografem as PHI armazenadas ou transmitidas usando serviços qualificados pela HIPAA, de acordo com a orientação do Secretary of Health and Human Services (HHS): Orientação para tornar inutilizáveis, ilegíveis ou indecifráveis informações de saúde protegidas não seguras para indivíduos não autorizados (“Orientação”). Consulte este site porque ele pode ser atualizado e disponibilizado em um site sucessor (ou relacionado) designado pelo HHS.

A AWS oferece um conjunto abrangente de recursos e serviços para tornar o gerenciamento de chaves e a criptografia de PHI fáceis de gerenciar e simplificar a auditoria, incluindo o AWS Key Management Service ()AWS KMS. Os clientes com requisitos de conformidade com a HIPAA têm muita flexibilidade na forma como atendem aos requisitos de criptografia para PHI.

Ao determinar como implementar a criptografia, os clientes podem avaliar e aproveitar os recursos de criptografia nativos dos serviços qualificados pela HIPAA. Ou os clientes podem satisfazer os requisitos de criptografia por outros meios consistentes com as orientações do HHS.