HITRUST CSF
Übersicht
Die gemeinsamen Sicherheits-Rahmenbedingungen der Trust Alliance für Gesundheitsdaten (Health Information Trust Alliance Common Security Framework, HITRUST CSF) nutzen national und international anerkannte Standards und Vorschriften, wie z. B. GDPR, ISO, NIST, PCI und HIPAA, um eine umfassende Grundlage für Sicherheits- und Datenschutzkontrollen einzurichten.
HITRUST hat das HITRUST CSF Assurance Program entwickelt, das die allgemein anerkannten Anforderungen, Methoden und Werkzeuge beinhaltet, mit denen Unternehmen und ihre Geschäftspartner einen konsistenten und inkrementellen Ansatz zur Compliance-Verwaltung verfolgen können. Außerdem können Geschäftspartner und Anbieter auf einen umfangreichen Satz mit Anforderungen zugreifen und Berichte in Bezug auf diese Anforderungen erstellen.
AWS-Kunden sind in der Lage, eine AWS-Umgebung so zu entwerfen und zu implementieren und AWS-Services so zu nutzen, dass sie den Anforderungen von HITRUST CSF jederzeit nachkommen. Kunden können außerdem bestimmte Kontrollverfahren nutzen, die unter der durch HITRUST CSF validierten Bewertung von AWS-Services aufgebaut wurden.
-
Welche Beziehung besteht zwischen HITRUST CSF und HIPAA?
HITRUST CSF fasst die Sicherheitskontrollen auf Basis US-amerikanischer Bundesgesetze (wie HIPAA und HITECH), bundesstaatlicher Gesetze (wie Standards for the Protection of Personal Information of Residents of the Commonwealth des US-Bundesstaates Massachusetts) und anerkannter nicht-staatlicher Compliance-Standards (z. B. PCI DSS) zu einem gemeinsamen Rahmenwerk speziell für das Gesundheitswesen zusammen.
Das Gesetz „Health Insurance Portability and Accountability Act“ (HIPAA) von 1996 ist ein US-Bundesgesetz. Einige der Anforderungen des HIPAA stellen die Grundlage für bestimmte Sicherheitskontrollen von HITRUST CSF dar. AWS-Kunden sollten sich an ihre Rechtsberater wenden, um zu verstehen, wie sich HIPAA oder damit verbundene Gesetze auf sie auswirken.
-
Ist AWS HITRUST zertifiziert?
Ein genehmigter HITRUST CSF-Gutachter hat bestätigt, dass bestimmte AWS-Services im Rahmen des HITRUST CSF Assurance Program die HITRUST CSF v9.3-Zertifizierungskriterien erfüllen. Die vollständige Liste der AWS-Services, die von einem externen Prüfer geprüft und gemäß HITRUST CSF zertifiziert wurden, ist auf der Seite AWS-Services im Bereich nach Compliance-Programmen verfügbar. Sie können unsere HITRUST CSF-Zertifizierung auf Anfrage einsehen und herunterladen auf AWS Artifact.
-
Wie können Kunden AWS im Rahmen ihrer eigenen HITRUST CSF-Compliance nutzen?
AWS-Kunden können eine AWS-Umgebung entwerfen und implementieren und AWS-Services so nutzen, dass sie sie dabei unterstützen, den Anforderungen des HITRUST CSF nachzukommen. Kunden versuchen möglicherweise, die AWS HITRUST CSF-Zertifizierung der AWS-Services für den Support ihrer eigenen HITRUST CSF-Zertifizierung zu nutzen. Weitere Informationen finden Sie in der AWS HITRUST CSF-Zertifizierung. AWS stellt außerdem zusätzliche Whitepapers und Leitfäden mit bewährten Methoden auf der Webseite für die AWS-Compliance-Ressourcen zur Verfügung.
-
Welche Services kann ich in meinem AWS-Konto nutzen, wenn ich eine HITRUST CSF-Zertifizierung erhalten möchte oder bereits über eine HITRUST CSF-Zertifizierung verfüge?
Kunden, die nach einer HITRUST-Zertifizierung streben, können eine AWS-Umgebung entwerfen und implementieren und AWS-Services so nutzen, dass sie sie dabei unterstützen, den Anforderungen des HITRUST CSF nachzukommen. Kunden möchten die AWS HITRUST CSF-Zertifizierung möglicherweise für den Support ihrer eigenen HITRUST CSF-Zertifizierung für betroffene Services nutzen. Kunden möchten die zertifizierten AWS HITRUST CSF-Services möglicherweise für den Support des HITRUST CSF-Validierungsprozesses nutzen (so können Kunden beispielsweise AWS Key Management Service nutzen, ein abgedeckter Service für die Verwaltung von Schlüsseln in ihrer eigenen HITRUST CSF-Umgebung). Eine aktuelle Liste der HITRUST CSF-zertifizierten AWS-Services finden Sie auf der Website AWS-Services im Portfolio nach Compliance-Programm. Viele HITRUST CSF-zertifizierten AWS-Services sind auch HIPAA-konforme Services, die auf der Website Referenz zu Services, die unter die HIPAA-Bestimmungen fallen aufgeführt werden. Kunden können außerdem beliebige AWS-Services im Rahmen ihrer HITRUST CSF-zertifizierten Umgebung verwenden, und zwar unter der Voraussetzung, dass der jeweilige Kunde eine Bewertung der Eignung des jeweiligen Services für die Anwendung durchgeführt hat. Informationen zu weiteren Services, die in Ihrer HITRUST CSF-Umgebung verwendet werden, finden Sie unter den AWS-Sicherheitsakkreditierungen und -bescheinigungen für diese Services auf der Website AWS-Compliance-Programme.
-
Setzt HITRUST eine Verschlüsselung von Gesundheitsdaten voraus?
Einheiten, die eine HITRUST-Zertifizierung erhalten möchten, sind jedoch verpflichtet, Maßnahmen zum Schutz von Gesundheitsdaten zu ergreifen, und es liegt in der Verantwortung der einzelnen Einheiten festzustellen, ob die Verschlüsselung zur Erfüllung seiner Sicherheitsverpflichtungen geeignet ist. AWS empfiehlt, Gesundheitsdaten im gespeicherten Zustand und während der Übertragung immer zu verschlüsseln.
-
Können AWS-Kunden die AWS HITRUST Certification erben?
Ja, AWS Kunden können die AWS HITRUST CSF-Zertifizierung erben, vorausgesetzt, dass die Kunden nur Services innerhalb des Bereichs nutzen und die auf der Website der HITRUST Alliance beschriebenen Kontrollen anwenden. Kunden sollten die AWS Custom HITRUST Shared Responsibility-Matrix herunterladen, um die HITRUST-Steuerelemente zu bestimmen, die AWS-Kunden als Teil des Shared Responsibility-Modells erben können. Kunden sollten sich auf der HITRUST-Webseite informieren, wie sie eine Vererbungsanfrage initiieren können.