Me gustaría recibir información sobre HIPAA en la nube

 

 

HIPAA en AWS

Cada vez más proveedores, pagadores y profesionales informáticos del sector de la sanidad utilizan los servicios en la nube basados en utilidades de AWS para procesar, almacenar y transmitir información sanitaria protegida.

AWS permite a las entidades y a sus socios comerciales, en sujeción a la Ley de responsabilidad y portabilidad de seguros médicos de EE.UU. (U.S. Health Insurance Portability and Accountability Act, HIPPA), aprovechar el entorno seguro de AWS para procesar, mantener y almacenar información sanitaria protegida.

AWS ofrece además un documento técnico sobre HIPAA para los clientes que deseen informarse acerca de cómo pueden aprovechar AWS para procesar y almacenar información sanitaria. El documento técnico "Creating HIPAA-Compliant Medical Data Applications with AWS" explica cómo las empresas pueden utilizar AWS para procesar sistemas que posibilitan la conformidad con HIPAA y HITECH.

¿Desea comenzar a usar AWS Artifact? Lea las instrucciones escritas paso a paso » 

¿No tiene acceso a su cuenta? Solicite una cuenta de IAM gratuita a su administrador y solicite acceso a las políticas de IAM de Artifact.

Video paso a paso (2:15)

Security-Identity-Compliance_AWS Artifact

BAA offline (1:45)

Security-Identity-Compliance_AWS Artifact

¿Ve un mensaje de error? (0:55)

Security-Identity-Compliance_AWS Artifact

Finalizar BAA online (1:30)

Security-Identity-Compliance_AWS Artifact
Build_HIPAA_Solutions
Build_Regulated_Workloads

La Ley de responsabilidad y portabilidad de seguros médicos de EE.UU. (HIPAA) entró en vigor en 1996. Está diseñada para facilitar que los trabajadores mantengan su póliza de seguro médico cuando cambian de trabajo o pierden su empleo. La legislación también fomenta la adopción de expedientes médicos electrónicos a fin de mejorar la eficacia y la calidad del sistema sanitario estadounidense mediante la mejora en el intercambio de información.

Además de incrementar el uso de expedientes médicos electrónicos, la ley contenía disposiciones para garantizar la seguridad y la privacidad de información sanitaria protegida (PHI). La información sanitaria protegida incluye una amplia variedad de datos sanitarios personalmente identificables y datos relacionados con la salud, desde información de facturación y del seguro hasta datos de diagnósticos, de atención clínica y de resultados de laboratorio, como imágenes y resultados de ensayos. Las normas se aplican a las "entidades afectadas", que incluyen hospitales, proveedores de servicios médicos, planes de salud respaldados por la empresa, instalaciones de investigación y compañías de seguros que interactúan directamente con los pacientes y sus datos. La ley y los reglamentos también incluyen el requisito de proteger la información sanitaria protegida ante los "socios empresariales".

La ley HIPAA fue ampliada por la Ley sobre la tecnología de la información sanitaria para la economía y salud clínica en 2009. HIPAA e HITECH establecen un conjunto de estándares federales creados para garantizar la seguridad y privacidad de la información sanitaria protegida. Estas disposiciones se incluyen en lo que se conoce como las reglas de "simplificación administrativa". HIPAA e HITECH imponen requisitos relacionados con el uso y la divulgación de información sanitaria protegida, los métodos adecuados para proteger la misma, los derechos individuales y las responsabilidades administrativas. Para obtener información adicional sobre cómo HIPAA e HITECH protegen la información sanitaria, visite: http://www.hhs.gov/ocr/privacy/hipaa/understanding/index.html

El marco de seguridad común (CSF) de Alianza en favor de la información sanitaria, o HITRUST, es, en sus propias palabras, "un marco certificable que proporciona a las organizaciones un enfoque exhaustivo, flexible y eficaz para la conformidad con los reglamentos y la administración de riesgos. Desarrollado en colaboración con profesionales sanitarios y de seguridad de la información, el CSF de HITRUST racionaliza los reglamentos y estándares sanitarios en un único marco de seguridad que lo engloba todo".

El CSF de HITRUST sirve para unificar controles de seguridad de la ley federal, como HIPAA/HITECH, la ley estatal, como la de Massachusetts, y marcos no gubernamentales, como COBIT y PCI-DSS en un único marco diseñado específicamente en torno a las necesidades y el uso del sector sanitario.

AWS proporciona una plataforma informática fiable, escalable y económica capaz de respaldar las aplicaciones de los clientes del sector sanitario conforme a HIPAA, HITECH y el CSF de HITRUST. Por ejemplo, uno de nuestros clientes ha creado un entorno en AWS que, tras una auditoría, se ha declarado conforme con HIPAA/HITECH, además de disponer de certificación HITRUST.

De acuerdo con la Ley de responsabilidad y portabilidad de seguros médicos de EE.UU. (HIPAA), un "socio empresarial" es una persona o entidad que realiza funciones o actividades en nombre de, o proporciona ciertos servicios a, una entidad afectada, pero no está empleado por dicha entidad. La definición de "socio empresarial" también incluye subcontratistas que crean, recibe, mantienen o transmiten información sanitaria protegida en nombre de otro socio empresarial. Según los reglamentos de HIPAA, los proveedores de servicios en la nube como AWS se consideran socios empresariales. Las reglas de HIPAA, por lo general, exigen que las entidades afectadas y los socios empresariales firmen contratos a fin de garantizar que los socios empresariales salvaguardarán la información sanitaria protegida. El contrato del socio empresarial también sirve para clarificar y limitar, según sea adecuado, los tipos de uso y divulgación de la información sanitaria protegida permitidos al socio empresarial, en función de la relación entre las partes y las actividades o servicios que ofrece el socio empresarial. AWS se refiere a estos contratos como los anexos para socios empresarialesl.

Sí. AWS dispone de un anexo para socios empresariales estándar que los clientes han de firmar. Tiene en cuenta los servicios exclusivos que AWS proporciona y da cabida al modelo de responsabilidad compartida de AWS.

Puede utilizar AWS Artifact para examinar, aceptar y administrar el estado de su anexo para socios empresariales (BAA) de su cuenta.

No existe ninguna certificación HIPAA para un proveedor en la nube como AWS. Para cumplir los requisitos de HIPAA aplicables a nuestro modelo operativo, AWS adapta nuestro programa de administración de riesgos de HIPAA al FedRAMP y a NIST 800-53, un estándar de seguridad superior relacionado con la regla de seguridad de HIPAA. NIST respalda esta correspondencia y ha publicado SP 800-66, "An Introductory Resource Guide for Implementing the HIPAA Security Rule," que explica cómo NIST 800-53 se corresponde con la regla de seguridad de HIPAA.

Los clientes pueden utilizar cualquier servicio de AWS en una cuenta designada como cuenta HIPAA, pero solo deberían procesar, almacenar y transmitir información sanitaria protegida en los servicios compatibles con HIPAA definidos en el acuerdo con el socio empresarial. La página de referencia para los servicios compatibles con HIPAA contiene la lista más reciente de servicios compatibles con HIPAA.

AWS sigue un programa de administración de riesgos basado en estándares para garantizar que los servicios compatibles con HIPAA respaldan específicamente los procesos de seguridad, control y administración exigidos por HIPAA. El uso de estos servicios para almacenar y procesar la información sanitaria protegida permite a nuestros clientes y a AWS cumplir con los requisitos de HIPAA aplicables a nuestro modelo operativo basado en utilidades. AWS prioriza y agrega servicios nuevos compatibles en función de la demanda de los clientes.

Para más información sobre nuestro programa de socios empresariales, o para solicitar más servicios compatibles, póngase en contacto con nosotros.

No. Esta situación es muy común. Existen varios socios de soluciones HIPAA innovadoras que ejecutan sus ofertas SaaS en AWS. En este caso, cada proveedor o entidad afectada del sector sanitario firmaría un acuerdo con un socio empresarial solamente con el socio de SaaS, quien a su vez firmaría un acuerdo con AWS. Si la entidad cubierta que recurre al socio de SaaS también es cliente directo de AWS de sistemas relacionados con HIPAA, entonces es posible que tenga que firmar un contrato con el socio de SaaS y otro con AWS.

A partir del 15 de mayo de 2017, los clientes de AWS y los socios de APN que firmaron el anexo de asociado empresarial (BAA) con AWS ya no serán obligados a utilizar hosts dedicados o instancias dedicadas de Amazon EC2 para procesar información sanitaria protegida (PHI). Anteriormente, el programa de conformidad con HIPAA de AWS obligaba a los clientes que procesaban información sanitaria protegida (PHI) con Amazon EC2 a usar instancias o hosts dedicados. Este requisito se eliminó.

AWS ofrece además un documento técnico sobre HIPAA para los clientes que deseen informarse acerca de cómo pueden aprovechar AWS para procesar y almacenar información sanitaria. El documento técnico Creating HIPAA-Compliant Medical Data Applications with AWS explica cómo las empresas pueden utilizar AWS para procesar sistemas que posibilitan la conformidad con HIPAA y HITECH.

Recursos de HIPAA

 

Contacte con nosotros