簡介

1996 年的《Health 保險可攜性和責任法案》（HIPAA）適用於「承保實體」和「商業夥伴」。HIPAA 在 2009 年通過《經濟和臨床 Health 衛生 Health 信息技術（HITECH）法案》進行了擴展。

HIPAA 和 HITECH 制定了一套旨在保護 PHI 安全和隱私的聯邦標準。HIPAA 和 HITECH 施加了與使用和披露受保護的健康信息（PHI）相關的要求，適當的保護措施來保護 PHI，個人權利和行政責任。有關 HIPAA 和 HITECH 的更多信息，請訪問 Health 資訊隱私首頁。

涵蓋的實體及其商業夥伴可以使用 Amazon Web Services (AWS) 提供的安全、可擴展、低成本的 IT 元件來架構符合 HIPAA 和 HITECH 合規要求的應用程式。AWS 提供的 commercial-off-the-shelf基礎設施平台具備業界認可的認證和稽核，例如 ISO 27001、FedRAMP 和服務組織控制報告 (SOC1、SOC2 和 SOC 3)。AWS 服務和資料中心具有多層操作和實體安全性，有助於確保客戶資料的完整性和安全性。AWS 不需要最低費用、不需符合期限的合約和 pay-as-you-use 定價，是適用於不斷成長的醫療保健產業應用程式的可靠且有效的解決方案。

AWS 可讓受 HIPAA 規範的涵蓋實體及其商業夥伴安全地處理、存放和傳輸 PHI。此外，自 2013 年 7 月起，AWS 為此類客戶提供標準化的商業夥伴增補合約 (BAA)。執行 AWS BAA 的客戶可以在指定為 HIPAA 帳戶的帳戶中使用任何 AWS 服務，但只能使用 AWS BAA 中定義的符合 HIPAA 資格的服務來處理、存放和傳輸 PHI。如需這些服務的完整清單，請參閱 HIPAA 合格服務參考頁面。

AWS 維護符合標準的風險管理計劃，以確保符合 HIPAA 資格的服務特別支援 HIPAA 管理、技術和實體保護措施。使用這些服務來存放、處理和傳輸 PHI，可協助我們的客戶和 AWS 解決適用於 AWS 公用程式作業模型的 HIPAA 要求。

AWS 的 BAA 要求客戶根據 Health 與公共服務部長 (HHS) 的指導，將使用符合 HIPAA 資格的服務儲存或傳輸的 PHI 加密：未經授權的個人無法使用、無法讀取或不可辨識 (以下簡稱「指南」)。請參閱本網站，因為它可能會被更新，並且可能在 HHS 指定的繼任者（或相關）網站上提供。

AWS 提供一組全面的功能和服務，可讓 PHI 的金鑰管理和加密變得容易管理，而且更易於稽核，包括 AWS Key Management Service (AWS KMS)。符合 HIPAA 合規要求的客戶在滿足 PHI 加密要求方面具有極大的彈性。

在決定如何實作加密時，客戶可以評估並利用符合 HIPAA 資格服務的原生加密功能。或者，客戶可以通過符合 HHS 指導的其他方式滿足加密要求。