AWS Government, Education, & Nonprofits Blog

How to Bring Your PACS Solution to AWS

Portuguese to follow

A post by Melissa Ravanini, Solutions Architect, AWS Worldwide Public Sector

Healthcare providers have to purchase hardware, storage, and licenses, and then renew all of that when they are deprecated. They have to project future growth and then make large purchases based on that projection, which may turn out to be over or under estimated. Effort is spent on matters that are not core to the healthcare business.

One of the main solutions for patient care is the PACS (Picture Archiving and Communication System). This solution is responsible for storing, retrieving, presenting, and sharing medical images, like X-Rays, CT scans, MRIs, and Ultrasounds. Durability, availability, and lowering expenditures are top priorities for companies hosting PACS solutions.

According to the 2017 American College of Healthcare Executives’ annual survey, 57% of Healthcare CEOs list that reducing operating costs is among their main concerns. Forty-seven percent say it’s transitioning from volume to value.

So, how can AWS help?

AWS healthcare customers are storing their PACS images on Amazon S3. It offers 99.99% availability and is designed to achieve 99.999999999% durability. It can store any amount of data and you only pay for what you use, with no need to provision in advance.

Amazon S3 has its own API and many PACS solutions are not natively integrated with it. So, in order to make that integration more transparent with no impact to the application, you can use AWS Storage Gateway.

AWS Storage Gateway is a solution that exposes Amazon S3 as an iSCSI, NFS, or SMB drive to the operating system. Once this is done, the operating system will have a native integration with Amazon S3, as if it was a SAN or a network attached storage (NAS). For instance, our customers can map Amazon S3 as a D:/ drive in Windows or some mount point on Linux.

Why is this important?

If PACS’ data is on D: drive today and you want to migrate it all to AWS, you can just move your data to Amazon S3, mount Amazon S3 as a D: drive using AWS Storage Gateway, and everything will work seamlessly. For doctors who need to analyze those exam images or others with PACS solutions, it will seem like nothing has changed.

What if you only want to migrate all the data, but only part of the data?

Some of our customers want to migrate only part of the data, the “nearline” data. Nearline is all the data that was generated a few months ago, or even years ago. This strategy offloads less frequently accessed data to AWS, leaving only the data most likely to be accessed in a short period of time on-premises.

In that scenario, the operating system is already mounting the storage with online data in a drive letter, so you need to mount Amazon S3 in a different drive letter that it is today, p. ex., drive E:.

Once all the nearline data has been migrated to Amazon S3, the PACS solution will need to re-index that data, since it is no longer reachable in drive D:.

How can you import and re-index part of your data in a simple, fast, and cost-effective way?

Instead of buying or renting new storage just to re-index nearline data mapped in a different drive letter, our customers can leverage AWS Snowball to move their data, so it can then be re-indexed and imported into AWS.

AWS Snowball is a petabyte-scale solution used to transfer large amounts of data into and out of the AWS Cloud. AWS Snowball can be connected to your infrastructure using 10-Gigabit Ethernet and only paying for the days that the appliance is in your possession, plus shipping charges. There will be no charge for data transferred into AWS. For more information about AWS Snowball pricing, see here.

Once all the necessary data is migrated into AWS Snowball, you can use it to re-index data through a PACS solution. AWS Snowball will be exposed as an NAS drive and must be mounted with the same drive letter that will be exposed when the data is served in Amazon S3 through AWS Storage Gateway.

The step-by-step solution can be found in the diagrams below:

What about the latency of retrieving medical images so doctors can evaluate them?

Whenever doctors have to evaluate a patient’s image, depending on the exam, they need to investigate the historical data of that patient. In order for them to do that, they must load all the images and metadata related to that patient through their PACS solution.

AWS Storage Gateway offers an opportunity to implement a cache solution for more frequently accessed images and data. This helps to avoid latency during the doctors’ evaluation process, providing a better user experience. See Figure 2 and Figure 3 for more details.

It is recommended that the cache must be at least 20% of the total data stored on Amazon S3. In practice, our customers have a better experience when they provision cache enough to hold one month of data, or, depending on their use case, as much data as it is necessary in order for the doctors to finish most of their exam analysis for the current period.

One other benefit of the AWS Storage Gateway cache is that it reduces the charges with data egress, that is, data transferred outside of AWS data centers, since cache data is not in AWS facilities.

What if most of the data won’t need to be accessed for a long period of time?

Amazon S3 has many types of storage classes, that varies from hot to cold storage. Amazon S3 Standard is our hottest storage used to store frequently accessed data. It servers content online and there is no charge for retrieving data. Amazon S3-Infrequent Access, on the other hand, is our warm storage. It also serves content online, but it charges a small fee when data is retrieved.

We just made it simpler for our customers who don’t know the usage pattern of their data, to store their data in the most cost-effective way. Amazon S3 Intelligent-Tiering is a storage class that automatically transitions data between frequent access and infrequent access storage tier based on access patterns.

For you to benefit from that feature, you must enable a Lifecycle Rule on the bucket that is receiving PACS’ images, as shown in Figure 4.

To use Amazon S3 Intelligent-Tiering, customers will pay a small monthly monitoring fee. There are no costs for transitioning data between storage classes. Costs for storage are the same charged for Amazon S3 – Standard and Amazon S3 – Infrequent Access when access directly.

For more information about Amazon S3 storage classes and prices, visit here. For more information on how to enable a Lifecycle Rule on an Amazon S3 bucket, visit here.

So, how to implement security?

For the sake of security, Snowball encrypts all data by default. You can use an AWS randomly generated encryption key or bring your own key to AWS. Data is encrypted by an AES-GCM algorithm with 256-bit secret key. Note that the keys are never stored inside the Snowball appliance. In order for Snowball to encrypt the data to be uploaded, it uses a key written in the manifest file that the customer must download prior to the import job. The encryption is done in the memory of our customers’ computers, not in the Snowball itself, so the data never leaves our customers’ facilities without encryption. Also, all data in transit is encrypted using SSL. For more information about how to implement security using Snowball, see here.

What if you need to be HIPAA compliant?

HIPAA stands for Health Insurance Portability and Accountability Act of 1996, which is legislation designed to assure the security and privacy of protected health information (PHI). PHI may be diagnosis data, patient data, lab results, and more. HIPAA applies to any entity that directly deals with patients and patient data.

All of the AWS services mentioned in this blog post are HIPAA eligible. If you plan to include Protected Health Information (as defined by HIPAA) on AWS , you must first accept the AWS Business Associate Addendum (AWS BAA). You can review, accept, and check the status of your AWS BAA through a self-service portal available in AWS Artifact. For a list of all HIPAA-eligible AWS services, see the link.


With AWS, our healthcare customers can tier their PACS data into the cloud in a seamless and secure way, served by 11 9s of durability, without the need to plan how much storage they will need to grow. You can host data at a fraction of what it costs to host and maintain it on-premises, using a service that replicates data in multiple facilities, increasing availability and durability of your PACS medical data.

Como trazer sua solução PACS para a AWS

Uma publicação de Melissa Ravanini, arquiteta de soluções, Setor Público da AWS

Os profissionais da área da saúde precisam comprar hardware, armazenamento e licenças, e depois têm que renovar tudo isso quando alcançarem o final de sua vida útil. Eles têm que fazer planos de crescimento para o futuro e realizar grandes compras com base nessa projeção, o que pode acabar sendo super ou subestimada ao final das contas. Todo este esforço é gasto em assuntos que não são o coração do negócio da área da saúde.

Uma das principais soluções com relação ao atendimento a pacientes é o PACS (Sistema de Arquivamento e Comunicação de Imagens). Essa solução é responsável por armazenar, recuperar, apresentar e compartilhar imagens médicas, como raios-X, tomografias computadorizadas, ressonâncias magnéticas e ultrassons. A durabilidade, a disponibilidade e a redução dos gastos são as principais prioridades para empresas que hospedam soluções PACS.

De acordo com a pesquisa anual de 2017 do American College of Healthcare Executives, 57% dos CEOs de assistência médica listam a redução dos custos operacionais entre suas maiores preocupações. 47% dizem que é extrair valor de um grande volume de dados.

Como a AWS pode ajudar?

Os clientes do setor de saúde da AWS estão armazenando imagens PACS no Amazon S3. Ele oferece 99,99% de disponibilidade e foi projetado para alcançar 99,999999999% de durabilidade. Ele pode armazenar qualquer quantidade de dados e você paga apenas pelo que usar, sem a necessidade de provisionar antecipadamente.

O Amazon S3 tem sua própria API e muitas soluções PACS, em geral, não estão integradas nativamente a ele. Então, para tornar essa integração mais transparente e sem impacto para as aplicações, a AWS oferece a seus clientes o AWS Storage Gateway.

O AWS Storage Gateway é uma solução que expõe o Amazon S3 como uma unidade iSCSI, NFS ou SMB para o sistema operacional. Ao utilizá-lo, o sistema operacional terá uma integração nativa com o Amazon S3, como se fosse uma SAN ou um armazenamento de rede (NAS). Por exemplo, nossos clientes podem mapear o Amazon S3 como uma unidade D:/ no Windows ou algum ponto de montagem no Linux.

Por que isso é importante?

Se os dados do PACS estiverem em uma unidade D: hoje e você quiser migrar todos eles para a AWS, você pode simplesmente migrar seus dados para o Amazon S3, montar o Amazon S3 como uma unidade D: usando o AWS Storage Gateway e tudo funcionará perfeitamente. Para a solução PACs e para os médicos que precisam emitir laudos dos exames, será como se nada tivesse mudado.

E se você não quiser migrar todos os dados, mas apenas parte deles?

Alguns de nossos clientes querem migrar apenas parte dos dados, os dados “nearline”. Nearline são todos os dados gerados meses atrás, ou até anos atrás. Essa estratégia leva os dados menos acessados à AWS, deixando nas instalações do cliente apenas os dados com maior probabilidade de serem acessados.

Nesse cenário, o sistema operacional já está montando o disco com dados on-line em uma letra de unidade, portanto é necessário montar o Amazon S3 em uma letra de unidade diferente da atual, por exemplo, unidade E:.

Depois que todos os dados nearline tiverem sido migrados para o Amazon S3, a solução PACS precisará reindexar esses dados, já que os mesmos não estarão mais disponíveis na unidade D:.

Como importar e reindexar parte de seus dados de maneira simples, rápida e econômica?

Em vez de comprar ou alugar armazenamento apenas para reindexar dados nearline mapeados em uma letra de unidade diferente, nossos clientes podem aproveitar o AWS Snowball para mover seus dados, para que então possam ser reindexados e importados para a AWS.

O AWS Snowball é uma solução em escala de petabytes usada para transferir grandes quantidades de dados para/da nuvem AWS. O AWS Snowball pode ser conectado à sua infraestrutura usando Ethernet de 10 Gigabits pagando apenas pelos dias em que o appliance ficar em posse do cliente, mais as tarifas de postagem. Não haverá cobrança por dados transferidos para a AWS. Sobre a definição de preço do AWS Snowball, consulte aqui.

Depois que todos os dados necessários forem migrados para o AWS Snowball, você pode usá-lo para reindexar dados por meio do seu PACS. O AWS Snowball será exposto como uma unidade NAS e precisa ser montado com a mesma letra de unidade que será exposta quando os dados forem disponibilizados no Amazon S3 por meio do AWS Storage Gateway.

A solução passo a passo pode ser encontrada nos diagramas abaixo:

E quanto à latência de recuperação de imagens médicas para que os médicos possam avaliá-las?

Quando os médicos precisam analisar o exame de um paciente, a depender do exame, eles precisarão investigar os dados históricos desse paciente. Para tanto, será necessário carregar todas as imagens e metadados relacionados a esse paciente por meio da solução PACS.

O AWS Storage Gateway oferece a possibilidade de implementar uma solução de cache para imagens e dados acessados com mais frequência. Isso minimiza a latência durante o processo de avaliação pelo médico, proporcionando melhor experiência para o usuário. Veja mais detalhes nas Figuras 2 e 3.

Recomenda-se que o cache tenha no mínimo 20% do total de dados armazenados no Amazon S3. Na prática, nossos clientes têm uma experiência melhor quando provisionam cache suficiente para manter um mês de dados ou, dependendo do caso de uso, o máximo de dados necessário para que os médicos concluam a maioria das análises de exames necessárias para o período.

Outro benefício do cache do AWS Storage Gateway é que ele reduz as cobranças de saída de dados, que são os dados transferidos para fora dos datacenters da AWS, já que os dados em cache não estão nas instalações da AWS.

E se não for necessário acessar a maioria dos dados por um longo período?

O Amazon S3 tem muitos tipos de classes de armazenamento que variam de armazenamento quente a armazenamento frio. O Amazon S3 Standard é usado para armazenar dados quentes, ou seja, dados acessados frequentemente. Ele disponibiliza o conteúdo on-line e não há cobrança para a recuperação de dados. Já o Amazon S3-Infrequent Access é armazenamento morno. Nele, o conteúdo também é disponibilizado de forma on-line, mas cobra uma pequena tarifa quando os dados são recuperados.

Muitos clientes não conhecem o padrão de uso de seus dados. Para eles, nós ofereceremos o Amazon S3 Intelligent-Tiering, que é uma classe de armazenamento que transfere dados automaticamente o Amazon S3 Standard e o Amazon S3-Infrequent Access com base em padrões de acesso, com o objetivo de que nossos clientes armazenem seus dados da maneira mais econômica sem esforço de gestão.

Para se beneficiar desse recurso, é necessário ativar uma regra de ciclo de vida no local onde estão as imagens PACS, como demostrado na Figura 4.

Para usar o Amazon S3 Intelligent-Tiering, os clientes pagarão uma pequena taxa de monitoramento mensal. Não há custos para transferir dados entre classes de armazenamento. Os custos do armazenamento são os mesmos cobrados no Amazon S3 – Standard e no Amazon S3 – Infrequent Access.

Para obter mais informações sobre as classes e os preços do armazenamento do Amazon S3, acesse este link. Para obter mais informações sobre como ativar uma regra de ciclo de vida no Amazon S3, acesse este link.

Então, como implementar segurança?

Para prover segurança, por padrão, o AWS Snowball criptografa todos os dados. Você pode usar uma chave de criptografia da AWS gerada aleatoriamente ou trazer sua própria chave para a AWS. Os dados são criptografados por um algoritmo AES-GCM com uma chave secreta de 256 bits. Observe que as chaves nunca são armazenadas dentro do appliance do AWS Snowball. Para que o AWS Snowball criptografe os dados a serem carregados, ele usa uma chave escrita no arquivo de manifesto que o cliente precisa baixar antes da tarefa de importação. A criptografia é feita na memória dos computadores de nossos clientes, não no AWS Snowball em si, assim os dados nunca saem das instalações de nossos clientes sem criptografia. Além disso, todos os dados em trânsito são criptografados usando SSL. Para obter mais informações sobre como implementar segurança usando o AWS Snowball, consulte aqui.

E se você precisar de conformidade com a HIPAA?

HIPAA significa Health Insurance Portability and Accountability Act (Lei de portabilidade e responsabilidade de provedores de saúde) de 1996, que é a legislação criada para garantir a segurança e a privacidade de Protected Health Information (PHI – Informações de saúde protegidas). PHI podem ser dados de diagnóstico, dados de pacientes, resultados laboratoriais e muito mais. A HIPAA se aplica a qualquer pessoa jurídica que lide com pacientes e dados de pacientes.

Todos os serviços da AWS mencionados neste blog são classificados como HIPAA. Para obter uma lista de todos os serviços da AWS classificados como HIPAA, consulte este link.


Com a AWS, nossos clientes do setor de saúde podem armazenar os dados do PACS na nuvem de forma transparente e segura com 99,999999999% de durabilidade, sem precisar planejar com antecedência quanto precisarão de armazenamento caso precisem crescer. É possível armazenar dados a uma fração do que custa hospedá-os e mantê-los nas suas instalações, usando um serviço que replica dados em várias instalações, aumentando a disponibilidade e a durabilidade dos dados médicos de seu PACS.