Conformidad con HIPAA

Información general

HIPAA-sized

Cada vez más proveedores, pagadores y profesionales de TI del sector de la sanidad utilizan los servicios en la nube basados en utilidades de AWS para procesar, almacenar y transmitir información sanitaria protegida.

AWS permite a las entidades y a sus socios comerciales que deban cumplir con la Ley de responsabilidad y portabilidad de seguros médicos de EE.UU. (U.S. Health Insurance Portability and Accountability Act, HIPPA), aprovechar el entorno seguro de AWS para procesar, mantener y almacenar información sanitaria protegida.

Además, AWS ofrece un documento técnico sobre HIPAA para los clientes que deseen informarse acerca de cómo pueden aprovechar los servicios de AWS para procesar y almacenar información sanitaria. En el documento técnico "Creación de aplicaciones para datos médicos en conformidad con HIPAA con AWS" se explica cómo las empresas pueden utilizar los servicios de AWS para procesar sistemas que posibilitan la conformidad con HIPAA y HITECH.

Clientes de AWS de los sectores de la sanidad y las ciencias biológicas

  • ¿Qué son HIPAA e HITECH?

    La Ley de responsabilidad y portabilidad de seguros médicos de EE.UU. (HIPAA) entró en vigor en 1996. Está diseñada para facilitar que los trabajadores mantengan su póliza de seguro médico cuando cambian de trabajo o pierden su empleo. La legislación también fomenta la adopción de expedientes médicos electrónicos a fin de mejorar la eficacia y la calidad del sistema sanitario estadounidense mediante la mejora en el intercambio de información.

    Además de incrementar el uso de expedientes médicos electrónicos, la ley contenía disposiciones para garantizar la seguridad y la privacidad de información sanitaria protegida (PHI). La información sanitaria protegida incluye una amplia variedad de datos sanitarios personalmente identificables y datos relacionados con la salud, desde información de facturación y del seguro hasta datos de diagnósticos, de atención clínica y de resultados de laboratorio, como imágenes y resultados de ensayos. Las normas se aplican a las "entidades afectadas", que incluyen hospitales, proveedores de servicios médicos, planes de salud respaldados por la empresa, instalaciones de investigación y compañías de seguros que interactúan directamente con los pacientes y sus datos. La ley y los reglamentos también incluyen el requisito de proteger la información sanitaria protegida ante los "socios empresariales".

    La ley HIPAA fue ampliada por la Ley sobre la tecnología de la información sanitaria para la economía y salud clínica en 2009. HIPAA e HITECH establecen un conjunto de estándares federales creados para garantizar la seguridad y privacidad de la información sanitaria protegida. Estas disposiciones se incluyen en lo que se conoce como las reglas de "simplificación administrativa". HIPAA e HITECH imponen requisitos relacionados con el uso y la divulgación de información sanitaria protegida, los métodos adecuados para proteger la misma, los derechos individuales y las responsabilidades administrativas. Para obtener información adicional sobre cómo HIPAA e HITECH protegen la información sanitaria, visite: http://www.hhs.gov/ocr/privacy/hipaa/understanding/index.html

  • ¿Qué es HITRUST?

    El marco de seguridad común (CSF) de Alianza en favor de la información sanitaria, o HITRUST, es, en sus propias palabras, "un marco certificable que proporciona a las organizaciones un enfoque exhaustivo, flexible y eficaz para la conformidad con los reglamentos y la administración de riesgos. Desarrollado en colaboración con profesionales sanitarios y de seguridad de la información, el CSF de HITRUST racionaliza los reglamentos y estándares sanitarios en un único marco de seguridad que lo engloba todo".

    El CSF de HITRUST sirve para unificar controles de seguridad de las leyes federales, como HIPAA/HITECH, las leyes estatales, como la de Massachusetts, y marcos no gubernamentales, como COBIT y PCI-DSS en un único marco diseñado específicamente en torno a las necesidades y los usos del sector sanitario.

    AWS proporciona una plataforma informática fiable, de escala ajustable y económica capaz de respaldar las aplicaciones de los clientes del sector sanitario conforme a HIPAA, HITECH y el CSF de HITRUST.

  • ¿Qué es un anexo para socios empresariales?

    De acuerdo con la Ley de responsabilidad y portabilidad de seguros médicos de EE.UU. (HIPAA), un "socio empresarial" es una persona o entidad que realiza funciones o actividades en nombre de, o proporciona ciertos servicios a, una entidad afectada, pero no está empleado por dicha entidad. La definición de "socio empresarial" también incluye subcontratistas que crean, recibe, mantienen o transmiten información sanitaria protegida en nombre de otro socio empresarial. Según los reglamentos de HIPAA, los proveedores de servicios en la nube como AWS se consideran socios empresariales. Las reglas de HIPAA, por lo general, exigen que las entidades afectadas y los socios empresariales firmen contratos a fin de garantizar que los socios empresariales salvaguardarán la información sanitaria protegida. El contrato del socio empresarial también sirve para clarificar y limitar, según sea adecuado, los tipos de uso y divulgación de la información sanitaria protegida permitidos al socio empresarial, en función de la relación entre las partes y las actividades o servicios que ofrece el socio empresarial. AWS se refiere a estos contratos como los anexos para socios empresarialesl.

  • ¿AWS firmará un anexo para socios empresariales tal y como se describe en las reglas y los reglamentos de HIPAA?

    Sí. AWS cuenta con un anexo para socios empresariales estándar que los clientes deben firmar. Tiene en cuenta los servicios exclusivos que AWS proporciona y da cabida al modelo de responsabilidad compartida de AWS.

    Puede utilizar AWS Artifact para examinar, aceptar y administrar el estado de su anexo para socios empresariales (BAA) de su cuenta.

    Video paso a paso
    ¿Ve un mensaje de error?
    BAA offline
    Finalizar BAA online
  • ¿AWS cuenta con una de certificación HIPAA?

    No existe ninguna certificación HIPAA para un proveedor en la nube como AWS. Para cumplir los requisitos de HIPAA aplicables a nuestro modelo operativo, AWS adapta nuestro programa de administración de riesgos de HIPAA al FedRAMP y a NIST 800-53, un estándar de seguridad superior relacionado con la regla de seguridad de HIPAA. NIST respalda esta correspondencia y ha publicado 800-66, "An Introductory Resource Guide for Implementing the HIPAA Security Rule", donde se explica cómo NIST 800-53 se corresponde con la regla de seguridad de HIPAA.

  • ¿Qué servicios puedo utilizar en mi cuenta de AWS si tengo un acuerdo de socio empresarial con AWS?

    Los clientes pueden utilizar cualquier servicio de AWS en una cuenta designada como cuenta HIPAA, pero solo deberían procesar, almacenar y transmitir información sanitaria protegida en los servicios compatibles con HIPAA definidos en el acuerdo de socio empresarial. La página de referencia para los servicios compatibles con HIPAA contiene la lista más reciente de servicios que reúnen los requisitos de HIPAA.

    AWS sigue un programa de administración de riesgos basado en estándares para garantizar que los servicios compatibles con HIPAA respaldan específicamente los procesos de seguridad, control y administración exigidos por HIPAA. El uso de estos servicios para almacenar y procesar la información sanitaria protegida permite a nuestros clientes y a AWS cumplir con los requisitos de HIPAA aplicables a nuestro modelo operativo basado en utilidades. AWS prioriza y agrega servicios nuevos compatibles en función de la demanda de los clientes.

    Para obtener más información sobre nuestro programa de socios empresariales o para solicitar servicios compatibles nuevos, póngase en contacto con nosotros.

  • Si es un socio de SaaS de AWS con un acuerdo de socio empresarial que vende soluciones de SaaS a proveedores u otras entidades afectadas del sector sanitario, ¿estas también deben firmar el acuerdo de socio empresarial con AWS?

    No. Esta situación es muy común. Existen varios socios de soluciones HIPAA innovadoras que ejecutan sus ofertas SaaS en AWS. En este caso, cada proveedor o entidad afectada del sector sanitario firmaría un acuerdo con un socio empresarial solamente con el socio de SaaS, quien a su vez firmaría un acuerdo con AWS. Si la entidad cubierta que recurre al socio de SaaS también es cliente directo de AWS de sistemas relacionados con HIPAA, entonces es posible que tenga que firmar un contrato con el socio de SaaS y otro con AWS.

  • ¿Qué se modificó en el programa de conformidad con HIPAA de AWS?

    A partir del 15 de mayo de 2017, los clientes de AWS y los socios de APN que firmaron el anexo de asociado empresarial (BAA) con AWS ya no serán obligados a utilizar hosts dedicados o instancias dedicadas de Amazon EC2 para procesar información sanitaria protegida (PHI). Anteriormente, el programa de conformidad con HIPAA de AWS obligaba a los clientes que procesaban información sanitaria protegida (PHI) con Amazon EC2 a usar instancias o hosts dedicados. Este requisito se eliminó.

compliance-contactus-icon
¿Tiene preguntas? Entre en contacto con un representante del área de conformidad de AWS
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »