简介

1996年《健康保险流通与责任法》（HIPAA）适用于 “受保实体” 和 “商业伙伴”。2009 年，《经济和临床健康健康健康信息技术法》（HITECH）对 HIPAA 进行了扩展。

HIPAA 和 HITECH 制定了一套旨在保护 PHI 安全和隐私的联邦标准。HIPAA 和 HITECH 对使用和披露受保护的健康信息 (PHI)、保护 PHI 的适当保障措施、个人权利和管理责任提出了要求。有关 HIPAA 和 HITECH 的更多信息，请访问健康信息隐私主页。

受保实体及其业务伙伴可以使用 Amazon Web Services (AWS) 提供的安全、可扩展、低成本的 IT 组件来架构符合 HIPAA 和 HITECH 合规要求的应用程序。AWS 提供了一个 commercial-off-the-shelf基础设施平台，该平台具有行业认可的认证和审计，例如 ISO 27001、FedRAMP 和服务组织控制报告（SOC1、SOC2 和 SOC3）。AWS 服务和数据中心具有多层运营和物理安全，有助于确保客户数据的完整性和安全性。AWS 没有最低费用、不需要基于期限的合同和 pay-as-you-use 定价，是不断增长的医疗行业应用程序的可靠而有效的解决方案。

AWS 使受 HIPAA 约束的受保实体及其商业伙伴能够安全地处理、存储和传输 PHI。此外，自 2013 年 7 月起，AWS 为此类客户提供了标准化的商业伙伴附录 (BAA)。执行 AWS BAA 的客户可以在指定为 HIPAA 账户的账户中使用任何 AWS 服务，但他们只能使用 AWS BAA 中定义的符合 HIPAA 资格的服务来处理、存储和传输 PHI。有关这些服务的完整列表，请参阅 HIPAA 合格服务参考页面。

AWS 实施基于标准的风险管理计划，确保符合 HIPAA 资格的服务专门支持 HIPAA 的管理、技术和物理保护措施。使用这些服务来存储、处理和传输 PHI 可以帮助我们的客户和 AWS 满足适用于基于 AWS 公用事业的运营模式的 HIPAA 要求。

AWS 的 BAA 要求客户根据卫生与公共服务部长 (HHS) 的指导方针，对存储在符合HIPAA资格的服务中存储或传输的 PHI 进行加密：未经授权的个人无法使用、无法读取或无法破译不安全的受保护健康信息的指南（“指南”）。请参考本网站，因为它可能会更新，并且可能会在 HHS 指定的后续网站（或相关）网站上提供。

AWS 提供了一整套功能和服务，使 PHI 的密钥管理和加密变得易于管理和审计，包括 AWS Key Management Service (AWS KMS)。具有 HIPAA 合规要求的客户在如何满足 PHI 的加密要求方面有很大的灵活性。

在确定如何实施加密时，客户可以评估和利用符合 HIPAA 资格的服务原生的加密功能。或者，客户可以通过符合 HHS 指导的其他方式满足加密要求。