HIPAA

概览

越来越多的医疗保健服务提供商、付款人和 IT 专业人士都在使用 AWS 基于实用程序的云服务来处理、存储和传输受保护的健康信息 (PHI)。

AWS 让受美国《1996 年健康保险流通与责任法案》(HIPAA) 约束的实体及其商业伙伴可以利用安全的 AWS 环境来处理、维护和存储受保护的健康信息。

有关如何利用 AWS 处理和存储健康信息的详细信息，请参阅白皮书在 Amazon Web Services 上设计符合 HIPAA 安全性和合规性要求的架构。

AWS 医疗保健与生命科学客户

• 什么是 HIPAA 和 HITECH？

  《1996 年健康保险流通与责任法案》(HIPAA) 这项立法的目的在于使美国工人在跳槽或失业后更容易继续享受健康保险。该法案还力图推动电子健康记录的采用，以便通过加强信息共享来提高美国医疗保健系统的效率和质量。

  在推动采用电子病历的同时，HIPAA 还加入了相关规定来保障受保护健康信息 (PHI) 的安全性和隐私性。PHI 包含一系列非常广泛的可识别个人身份的健康数据和健康相关数据，包括保险和账单信息、诊断数据、临床护理数据、影像等实验室结果以及测试结果。HIPAA 的条例适用于所涉实体，其中包括直接接触病人并处理病人数据的医院、医疗服务提供商、由雇主赞助的健康计划、研究机构和保险公司。HIPAA 还将保护 PHI 这一要求的适用范围扩大到了商业伙伴。

  随着 2009 年经济与临床健康信息技术法案 (HITECH) 的颁布，HIPAA 条例得到了进一步的扩充。HIPAA 和 HITECH 共同建立起了一套联邦标准，意在保障 PHI 的安全性和隐私性。这些条款包含在称为“简化管理”的规则中。HIPAA 和 HITECH 强制推行使用和披露 PHI 的相关要求、保护 PHI 的适当安全措施、个人权利和管理责任。

  有关 HIPAA 和 HITECH 如何保护健康信息的更多信息，请参阅美国卫生及公共服务部门的健康信息隐私网页。
  

• 什么是 HITRUST？

  健康信息信任联盟 (HITRUST) 自身对其共同安全框架 (CSF) 的解释是，“是一个可认证的框架，为各企业提供了一种全面、灵活、高效的法律合规和风险管理方法。HITRUST CSF 由医疗保健和信息安全专业人士协作开发，将医疗保健相关法规和标准合理地整合至单个包罗万象的安全框架之中。”

  HITRUST CSF 有助于统一联邦法律（如 HIPAA 和 HITECH）、州法律（如马萨诸塞州的联邦居民个人信息保护标准）和非政府框架（如 PCI 安全标准理事会）的诸多安全控制措施，形成针对医疗保健需求专门设计的单个框架。

  AWS 提供一个可扩展且成本较低的可靠计算平台，能够以符合 HIPAA、HITECH 和 HITRUST CSF 要求的方式为医疗保健客户的应用程序提供支持。
  

• 什么是商业伙伴增订合约？

  根据 HIPAA 法规的规定，AWS 等云服务提供商 (CSP) 被视作商业伙伴。商业伙伴增订合约 (BAA) 是 HIPAA 条例要求的 AWS 合同，用于确保 AWS 以适当的方式保护受保护的健康信息 (PHI)。BAA 还会根据 AWS 和客户之间的关系以及 AWS 所执行的活动或提供的服务，恰当地阐明和限制 AWS 对 PHI 的使用和披露权限。
  

• AWS 是否会按照 HIPAA 法规和条例的规定签署商业伙伴增订合约？

  是。我们会将 AWS 的标准商业伙伴增订合约 (BAA) 提供给客户让他们签署。该增订合约涵盖 AWS 提供的特色服务，并采用 AWS 责任共担模型。

  要查看、接受和管理您账户的 BAA 状态，请在 AWS 管理控制台中登录 AWS Artifact。如果无法访问您的账户，请向您的管理员申请免费 IAM 账户并请求访问 Artifact IAM 策略。
  

  分步教程：了解如何使用 AWS Artifact 为您组织中的多个账户接受协议。(2:07)
  

  了解如何使用 AWS Artifact 为您的账户接受协议。(1:39)
  

• AWS 是否通过了 HIPAA 认证？

  没有面向 AWS 等云服务提供商 (CSP) 的 HIPAA 认证。为了满足适用于我们的运营模型的 HIPAA 要求，AWS 根据 FedRAMP 和 NIST 800-53（它们是与 HIPAA 安全规则相对应的更高安全标准）调整了 HIPAA 风险管理计划。NIST 支持这种对应，并发布了 SP 800-66，这是一个“实施 HIPAA 安全规则的介绍性资源指南”的文档，说明了如何将 NIST 800-53 与 HIPAA 安全规则对应。

• 如果与 AWS 签署了商业伙伴增订合约，我可以通过 AWS 账户使用哪些服务？

  客户可以通过被指定为 HIPAA 账户的账户使用任何 AWS 服务，但他们只能通过商业伙伴增订合约 (BAA) 中规定的符合 HIPAA 要求的服务处理、存储和传输受保护的健康信息。有关符合 HIPAA 要求的最新 AWS 服务列表，请参阅符合 HIPAA 要求的服务参考网页。

  AWS 采用基于标准的风险管理计划来确保符合 HIPAA 要求的服务明确支持 HIPAA 法案要求的安全、控制和管理程序。如果使用这些服务来存储和处理 PHI，客户和 AWS 就能成功满足适用于我们基于效用的运营模型的 HIPAA 要求。AWS 优先考量客户需求，并据此增加新的合格服务。

  有关商业伙伴计划的更多信息，或申请符合要求的新服务，请联系我们。
  

• 我是已签署 BAA 的 AWS SaaS 合作伙伴，向医疗保健服务提供商或其他所涉实体销售 SaaS 解决方案。这些所涉实体是否也需要与 AWS 签署 BAA？

  这种情况很常见，有很多 HIPAA 解决方案合作伙伴在 AWS 中运行他们的软件即服务 (SaaS) 产品。您以 AWS SaaS 合作伙伴的身份与 AWS 签署商业伙伴增订合约 (BAA)。每个医疗保健服务提供商或所涉实体只需与您，即 AWS SaaS 合作伙伴签署 BAA。如果使用 SaaS 解决方案的所涉实体同时也是 AWS HIPAA 相关系统的直接客户，那么，该实体可能需要分别与您和 AWS 签署 BAA。
  

• AWS HIPAA 合规性计划是否需要我使用 Amazon EC2 专用实例或专用主机来处理受保护的健康信息？

  已与 AWS 签署商业伙伴增订合约 (BAA) 的 AWS 客户和 Amazon 合作伙伴网络 (APN) 合作伙伴不需要使用 Amazon Elastic Compute Cloud (EC2) 专用实例或专用主机来处理受保护的健康信息 (PHI)。在 2017 年 5 月 15 日之前，AWS HIPAA 合规性计划要求使用 Amazon EC2 处理 PHI 的客户必须使用专用实例或专用主机，但我们已经取消了这项要求。