HIPAA

Panoramica

Un numero crescente di fornitori, terzi paganti e professionisti IT che operano nel settore sanitario usano i servizi cloud di AWS basati su utilità per elaborare, archiviare e trasmettere informazioni sanitarie protette (PHI).

AWS consente ai soggetti interessati e alle relative società in affari sottoposti allo U.S. Health Insurance Portability and Accountability Act del 1996 (HIPAA) di sfruttare l'ambiente sicuro di AWS per elaborare, conservare e archiviare informazioni sanitarie protette.

Per informazioni dettagliate su come utilizzare AWS per l'elaborazione e l’archiviazione di informazioni sanitarie, consulta il whitepaper Architecting for HIPAA Security and Compliance on Amazon Web Services (Architettura per la sicurezza e la conformità HIPAA su Amazon Web Services).

Clienti AWS di sanità e settore scientifico

• Cosa si intende per HIPAA e HITECH?

  Lo Health Insurance Portability and Accountability Act del 1996 (HIPAA) è una legge che ha lo scopo di rendere più facile per i lavoratori statunitensi mantenere la copertura assicurativa sanitaria quando cambiano o perdono il posto di lavoro. La legge incoraggia inoltre l’utilizzo dei registri sanitari in formato elettronico per migliorare l'efficienza e la qualità del sistema sanitario statunitense mediante la condivisione delle informazioni.

  Lo HIPAA, oltre a incoraggiare l'uso di cartelle cliniche elettroniche, contiene provvedimenti per salvaguardare la sicurezza e la privacy delle informazioni sanitarie protette (PHI). Tali informazioni includono un’ampia gamma di informazioni sanitarie e relative alla salute che consentono l’identificazione personale, ad esempio dati sull'assicurazione, informazioni di fatturazione, diagnosi, dati clinici e risultati di laboratorio, come ad esempio immagini e risultati di esami. Lo HIPAA si applica a tutti i soggetti interessati, che possono essere ospedali, fornitori di servizi sanitari, piani sanitari sponsorizzati da datori di lavoro, centri di ricerca e compagnie assicurative che trattano direttamente con pazienti e relativi dati. Il requisito HIPAA per proteggere le informazioni sanitarie protette si estende anche alle società in affari.

  Lo Health Information Technology for Economic and Clinical Health Act (HITECH) ha ampliato le norme HIPAA nel 2009. HIPAA e HITECH stabiliscono assieme un insieme di standard federali volti a proteggere la sicurezza e la privacy delle informazioni sanitarie protette. Queste disposizioni sono incluse in quelle che vengono definite regole di “semplificazione amministrativa”. HIPAA e HITECH impongono requisiti correlati all'uso e alla divulgazione delle informazioni sanitarie protette, misure di sicurezza per la protezione di tali informazioni, diritti individuali e responsabilità amministrative.

  Per ulteriori informazioni su come HIPAA e HITECH proteggono le informazioni sanitarie protette, consultare la pagina web sulla Privacy delle informazioni sanitarie del Dipartimento della Sanità e dei Servizi Umani degli Stati Uniti.
  

• Cos'è HITRUST?

  Il Common Security Framework (CSF) della Health Information Trust Alliance (HITRUST) si definisce "un framework certificabile che offre alle aziende un approccio completo, flessibile ed efficiente alla conformità normativa e alla gestione del rischio. Sviluppato in collaborazione con professionisti del settore sanitario e della sicurezza informatica, lo standard HITRUST CSF condensa normative e standard in ambito sanitario in un solo framework di sicurezza completo".

  Lo standard HITRUST CSF serve a unificare i controlli di sicurezza dalla legge federale (come HIPAA e HITECH), dalla legge statale (come gli standard per la protezione dei dati personali dei residenti del Commonwealth del Massachusetts) e dai framework non governativi (come il PCI Security Standards Council) in un unico framework adattato alle esigenze sanitarie.

  AWS offre una piattaforma di elaborazione affidabile, scalabile e a costi ridotti in grado di supportare le applicazioni dei clienti in ambito sanitario in conformità agli standard HIPAA, HITECH e HITRUST CSF.
  

• Che cos'è un addendum al contratto di società in affari?

  In base ai regolamenti HIPAA, i fornitori di servizi cloud (CSP) come AWS sono considerati società in affari. L’addendum al contratto di società in affari (BAA) è un contratto di AWS che è richiesto dalle norme HIPAA per garantire che AWS protegga adeguatamente le informazioni sanitarie protette (PHI). Il BAA serve anche a chiarire e a limitare, se del caso, gli usi e le divulgazioni consentiti di informazioni sanitarie protette da parte di AWS, sulla base del rapporto tra AWS e i nostri clienti e le attività o i servizi svolti da AWS.
  

• AWS firmerà un addendum al contratto di società in affari secondo quanto descritto nella normativa e nelle disposizioni HIPAA?

  Sì. AWS dispone di un addendum standard al contratto di società in affari (BAA) che fa firmare ai propri clienti. Tiene conto dei servizi unici forniti da AWS e impiega il modello di responsabilità condivisa di AWS.

  Per rivedere, accettare e gestire lo stato del BAA per il tuo account, accedi ad AWS Artifact nella console di gestione AWS. Se non hai accesso all'account, richiedi un account IAM gratuito all'amministratore e richiedi l'accesso alle policy di Artifact IAM.
  

  Istruzioni dettagliate: impara a usare AWS Artifact per accettare accordi per più account nella tua organizzazione. (2:07)
  

  Scopri come usare AWS Artifact per accettare un accordo nel tuo account. (1:39)
  

• AWS ha la certificazione HIPAA?

  Non è previsto alcun tipo di certificazione HIPAA per i provider di servizi cloud (CSP) come AWS. Per soddisfare i requisiti HIPAA applicabili al nostro modello operativo, AWS ha allineato il proprio programma di gestione del rischio HIPAA con FedRAMP e NIST 800-53, che sono standard di sicurezza superiori che fanno riferimento alla normativa di sicurezza HIPAA. NIST supporta questo allineamento e ha pubblicato la SP 800-66, una guida introduttiva per l’implementazione della normativa di sicurezza HIPAA, per documentare come NIST 800-53 si allinei alla normativa di sicurezza HIPAA.

• Quali servizi è possibile usare in un account AWS in presenza di un addendum al contratto di società in affari con AWS?

  I clienti possono impiegare tutti i servizi AWS all'interno di un account designato come account HIPAA, ma devono elaborare, archiviare e trasmettere informazioni sanitarie protette (PHI) solamente nell'ambito dei servizi definiti come idonei alla normativa HIPAA nell’addendum al contratto di società in affari (BAA). Per l'elenco più recente dei servizi AWS idonei alla normativa HIPAA, consulta la pagina web HIPAA Eligible Services Reference.

  AWS segue un programma di gestione del rischio basato su standard, per garantire la conformità ai processi previsti dalla normativa HIPAA in fatto di sicurezza, controlli e amministrazione. L'utilizzo di questi servizi per memorizzare ed elaborare le informazioni sanitarie protette consente ai clienti e ad AWS di attenersi ai requisiti della norma HIPAA applicabili nel modello operativo basato su utilità in uso. La priorità e l'aggiunta di nuovi servizi da parte di AWS si basa sulla domanda dei clienti.

  Per ulteriori informazioni sul programma per società in affari, oppure per richiedere nuovi servizi idonei, contattaci.
  

• Sono un partner AWS SaaS con un BAA e vendo le mie soluzioni SaaS a fornitori di assistenza sanitaria o altre entità che rientrano nell’ambito. Anche tali entità che rientrano nell’ambito devono firmare un BAA con AWS?

  Questo è uno scenario molto comune e molti partner di soluzioni HIPAA eseguono le loro offerte secondo lo schema Software as a Service (SaaS) in AWS. In qualità di partner SaaS di AWS firmerai un addendum al contratto di società in affari (BAA) con AWS. Quindi ogni fornitore di assistenza sanitaria o entità che rientra nell’ambito firmerà un BAA solo con te, il partner SaaS di AWS. Se il soggetto interessato che impiega le tue soluzioni SaaS è anche un cliente diretto di AWS per i sistemi relativi alla normativa HIPAA, il soggetto interessato potrà necessitare di un BAA con te e di un altro BAA con AWS.
  

• Il programma di conformità HIPAA di AWS mi impone di utilizzare istanze dedicate oppure host dedicati di Amazon EC2 per elaborare informazioni sanitarie protette?

  I clienti AWS e i partner di Amazon Partner Network (APN) che hanno firmato un addendum al contratto di società in affari (BAA) con AWS non sono tenuti a utilizzare istanze dedicate oppure host dedicati di Amazon Elastic Compute Cloud (EC2) per elaborare informazioni sanitarie protette (PHI). Prima del 15 maggio 2017, il programma di conformità HIPAA di AWS richiedeva che i clienti che elaboravano informazioni sanitarie protette utilizzando Amazon EC2 usassero Istanze o Host dedicati, ma questo requisito è stato rimosso.