HITRUST CSF
نظرة عامة
إن إطار العمل الذي وضعته مؤسسة التحالف الائتماني للمعلومات الصحية بشأن الأمان العام (HITRUST CSF) يعتمد على المعايير واللوائح التنظيمية المقبولة على المستوى المحلي والدولي، مثل GDPR، وISO، وNIST، وPCI، وHIPAA لإنشاء مجموعة قواعد أساسية شاملة للتحكم في الخصوصية والأمان.
فقد طورت مؤسسة HITRUST برنامج الأمان الخاص بـ HITRUST CSF الذي يشمل المتطلبات والأساليب والأدوات العامة التي تتيح لأي مؤسسة وشركائها في النشاط التجاري اتباع نهج تزايدي ومتسق لإدارة الامتثال للوائح. وبالإضافة لذلك، تتيح المؤسسة للشركاء والموردين في النشاط التجاري التقييم والإبلاغ بالحالات بالرجوع إلى مجموعات عديدة من المتطلبات.
ويستطيع عملاء AWS تصميم بيئة ما لدى AWS واستخدامها، والاستعانة بخدمات AWS بأسلوب يوفر لهم الدعم فيما يتعلق بمتطلبات إطار HITRUST CSF. ويستطيع العملاء أيضًا استخدام قواعد معينة للتحكم تم إنشاؤها وفقًا للتقييم الخاص بخدمات AWS المعتمد بناءً على إطار HITRUST CSF.
-
ما العلاقة بين إطار HITRUST CSF وقانون HIPAA؟
يعمل إطار HITRUST CSF على توحيد قواعد التحكم بناءً على جوانب من القانون الفيدرالي بالولايات المتحدة (مثل HIPAA وHITECH)، وقانون الولايات (مثل معايير ولاية ماساتشوستس لحماية المعلومات الشخصية الخاصة بالمقيمين في كومنولث الولاية)، والمعايير غير الحكومية المعترف بها كمعايير يجب الامتثال لها (مثل PCI DSS) وذلك في إطار عمل واحد تمت مواءمته ليتناسب مع احتياجات الرعاية الصحية.
إن قانون إخضاع التأمين الصحي لإمكانية النقل والمساءلة لعام 1996 (HIPAA) قانون فيدرالي بالولايات المتحدة. ويتم الاعتماد على بعض شروط قانون HIPAA كنقطة انطلاق لوضع قواعد معينة للتحكم في الأمان في إطارHITRUST CSF. ويجب على عملاء AWS الاستعانة بمشورة المستشارين القانونيين الذين يتعاملون معهم لاستيعاب الطريقة التي يتم بها تطبيق قانون HIPAA، أو القوانين المرتبطة به، عليهم.
-
هل خدمات AWS معتمدة من مؤسسة HITRUST؟
تم تقييم خدمات معينة من AWS وفقًا لبرنامج الضمان الخاص بـ HITRUST CSF من جانب إحدى جهات التقييم المعتمدة المختصة بإطارHITRUST CSF وتبين توافقها مع معايير الاعتماد HITRUST CSF v9.6. تتوفر القائمة الكاملة لخدمات AWS التي تم مراجعتها بواسطة مدقق خارجي وتم اعتمادها بموجب HITRUST CSF في خدمات AWS التي تقع ضمن نطاق برنامج الامتثال. يمكنك عرض وتنزيل شهادة HITRUST CSF الخاصة بنا عند الطلب من خلال AWS Artifact.
-
كيف يمكن للعملاء الاستفادة من خدمات AWS في سعيهم للالتزام بإطار HITRUST CSF؟
يستطيع عملاء AWS تصميم بيئة ما لدى AWS واستخدامها، والاستعانة بخدمات AWS لمساعدتهم في تلبية متطلبات إطار HITRUST CSF. ويمكن للعملاء اللجوء إلى استخدام الاعتماد المقدم لشركة AWS وفقًا لإطار HITRUST CSF فيما يتعلق بخدمات AWS من أجل الدعم اللازم للحصول على اعتماد خاص بهم وفقًا لإطار HITRUST CSF. المرجو الرجوع إلى اعتماد شركة AWS وفقًا لإطارHITRUST CSF. وتوفر AWS أيضًا وثائق توضيحية إضافية، وأدلة تبين أفضل الممارسات في صفحة موارد الامتثال لدى AWS.
-
ما الخدمات التي يمكنني الاستعانة بها من خلال حسابي لدى AWS إذا كنت أسعى للحصول على اعتماد وفقًا لإطار HITRUST CSF أو كنت حاصلاً بالفعل على اعتماد وفقًا لإطارHITRUST CSF؟
بالنسبة للعملاء الذين يسعون إلى الحصول على اعتماد وفقًا لإطار HITRUST CSF، فإن عملاء AWS يستطيعون تصميم بيئة لدى AWS واستخدامها بما يساعدهم على تلبية متطلبات إطار HITRUST CSF. ويمكن للعملاء الاستعانة بالاعتماد الذي حصلت عليه شركة AWS وفقًا لإطار HITRUST CSF من أجل الدعم اللازم لحصولهم على اعتماد وفقًا لإطار HITRUST CSF فيما يتعلق بالخدمات التي تقع في هذا النطاق. ويمكن للعملاء الاستفادة من خدمات AWS المعتمدة وفقًا لإطار HITRUST CSF للحصول على الدعم اللازم في إجراءات الاعتماد وفقًا لإطار HITRUST CSF (على سبيل المثال يمكن للعملاء الاستفادة من خدمة AWS Key Management Service، وهي من الخدمات التي يشملها الاعتماد، في إدارة الأمور الرئيسية في البيئة الخاصة بهم وفقًا لإطار HITRUST CSF). للاطلاع على أحدث قائمة بخدمات AWS المعتمدة وفقًا لإطار HITRUST CSF، راجع صفحة خدمات AWS في نطاق برنامج الامتثال. ويندرج أيضًا الكثير من خدمات AWS المعتمدة وفقًَا لإطار HITRUST CSF ضمن الخدمات المستوفية للشروط وفقًا لقانون HIPAA، والتي يمكن الوصول إليها في صفحة الويب مرجع الخدمات المستوفية للشروط وفقًا لقانون HIPAA. ويستطيع العملاء أيضًا الاستعانة بأي خدمة أخرى من خدمات AWS في إطار البيئة المعتمدة لديهم وفقًا لإطار HITRUST CSF، وذلك بما يخضع لتقييم العميل بشأن مدى ملاءمة الخدمة للاستخدام. لمعرفة الخدمات الأخرى المستخدمة في البيئة الخاصة بك فيما يتعلق بإطار HITRUST CSF، المرجو الرجوع إلى الاعتمادات والإقرارات المتعلقة بالأمان لدى AWS لمعرفة تلك الخدمات في صفحة الويب برامج الامتثال لدى AWS.
-
هل تتطلب مؤسسة HITRUST تشفير المعلومات الصحية؟
يجب على الجهات التي تسعى إلى الحصول على اعتماد من مؤسسة HITRUST اتخاذ الخطوات اللازمة لحماية المعلومات الصحية وتقع على مسؤولية كل جهة تقرير إذا ما كان التشفير إجراءً مناسبًا للوفاء بالتزاماتها المتعلقة بالأمان. توصي AWS بتشفير المعلومات الصحية في جميع الأحوال عند الاحتفاظ بها أو نقلها.
-
هل يمكن لعملاء AWS أن يرثوا شهادة AWS HITRUST؟
نعم، يمكن لعملاء AWS أن يرثوا شهادة AWS HITRUST CSF بشرط أن يستخدم العملاء الخدمات في النطاق فقط وأن يطبقوا الضوابط المفصلة في موقع HITRUST Alliance على الويب. يجب على العملاء تنزيل مصفوفة المسؤولية المشتركة AWS Custom HITRUST Shared Responsibility Matrix لتحديد عناصر تحكم HITRUST التي يمكن أن يرثها عملاء AWS كجزء من نموذج المسؤولية المشتركة. ينبغي للعملاء الرجوع إلى صفحة HITRUST على الويب للحصول على إرشادات حول كيفية الشروع في طلب توريث.