Cumplimiento normativo en la nube

El Programa Federal de Administración de Riesgos y Autorizaciones (FedRAMP) es un programa amplio del gobierno de EE. UU. que ofrece un enfoque estandarizado para la supervisión continua, las autorizaciones y la evaluación de la seguridad de servicios y productos en la nube. FedRAMP es obligatorio para todas las agencias federales estadounidenses y todos los servicios en la nube, incluido el Departamento de Salud y Servicios Humanos de los Estados Unidos.

 Se emitieron dos autorizaciones independientes para agencias basadas en el FedRAMP: una para la región AWS GovCloud (EE. UU.) y otra para las regiones de AWS Este de EE. UU. y Oeste de EE. UU.

HITRUST CSF (marco de seguridad en la nube) sirve para unificar los controles de seguridad basados en aspectos de la ley federal de los EE.UU. (como HIPAA e HITECH), la ley estatal (como las normas de Massachusetts para la protección de la información personal de los residentes de Commonwealth) y las normas de conformidad no gubernamentales reconocidas (como PCI DSS) en un marco único que se adapta a las necesidades del sector sanitario.

Un asesor aprobado para este marco ha evaluado ciertos servicios de AWS según el HITRUST CSF Assurance Program e indicó que cumplen con los criterios de la certificación del marco HITRUST CSF v9.3.

Los clientes pueden utilizar cualquier servicio de AWS en una cuenta designada como cuenta la HIPAA, pero solo deben procesar, almacenar y transmitir información sanitaria protegida (PHI) en los servicios compatibles con la HIPAA.

La Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA) es una legislación diseñada para facilitar a los trabajadores estadounidenses conservar la cobertura del seguro médico cuando cambian o pierden su trabajo. La legislación también busca fomentar la adopción de expedientes médicos electrónicos a fin de mejorar la eficacia y la calidad del sistema sanitario estadounidense mediante la mejora en el intercambio de información.

La Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica (HITECH) amplió las normas de la HIPAA en 2009. HIPAA y HITECH establecen un conjunto de estándares federales creados para garantizar la seguridad y la privacidad de la información sanitaria protegida. Estas disposiciones se incluyen en lo que se conoce como las reglas de «simplificación administrativa». HIPAA e HITECH imponen requisitos relacionados con el uso y la divulgación de la información sanitaria protegida, los métodos adecuados para protegerla, los derechos individuales y las responsabilidades administrativas.

La Administración de Alimentos y Medicamentos de los Estados Unidos (FDA) estableció la CFR 21 Parte 11 sobre registros electrónicos y firmas electrónicas. La CFR 21 Parte 11 se aplica a la industria de las ciencias biológicas que se incluyen en la Ley Federal de Alimentos, Medicamentos y Cosméticos de Estados Unidos, la Ley del Servicio de Salud Pública o cualquier otra normativa de la FDA que no sea la Parte 11. En conjunto, se identifican como "Reglas de predicado". En esencia, la Parte 11 se aplica cuando el registro en cuestión es predicado.

Leer más:

• Data Integrity and Compliance With Drug CGMP Questions and Answers Guidance for Industry (Integridad de los datos y conformidad con la Guía de preguntas y respuestas sobre prácticas recomendadas de fabricación actuales de medicamentos para el sector industrial).
  
• Part 11, Electronic Records; Electronic Signatures - Scope and Application (Parte 11, registros electrónicos, firmas electrónicas: ámbito y aplicación)
  
• Sistemas GxP en AWS

Los reguladores de todo el mundo continúan investigando las preocupaciones y los problemas con la integridad de los datos en la industria de las ciencias biológicas. La FDA publicó una guía sobre la integridad de los datos como aclaración para las organizaciones de ciencias biológicas con el objetivo de corregir de forma proactiva las preocupaciones y los problemas en cuestión.

Más información »

La Ley de Protección de Datos Personales y Documentos Electrónicos (PIPEDA) es una ley federal canadiense aplicable a la recopilación, el uso y la divulgación de información personal durante la realización de actividades comerciales en todas las provincias canadienses.

La Ley de Información sobre Salud (HIA) es una ley de privacidad en Alberta que se aplica a la recopilación, uso, divulgación y protección de la información sobre el estado que está en custodia o bajo el control de un custodio.

Actualmente, la región de Canadá (centro) de AWS está disponible para múltiples servicios, como Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) y Amazon Relational Database Service (Amazon RDS).

La Ley de Protección de Información de Salud Personal (PHIPA) es legislación sobre privacidad de Ontario que se aplica a la recopilación, el uso y la divulgación de información de salud personal (PHI) durante el suministro o la facilitación de servicios de salud.

La guía Health and Social Care Cloud Security – Good Practice Guide (Seguridad en la nube para sanidad y asistencia social: guía de buenas prácticas) ha sido redactada de manera conjunta por NHS Digital, NHS England, el Departamento de Salud y Asistencia Social de Inglaterra y NHS Improvement.

Esta guía explica las medidas de protección que deben implantarse para que las organizaciones sanitarias y de asistencia social pueden almacenar de manera segura datos sanitarios y de asistencia social, incluida información confidencial de los pacientes en la nube pública, por ejemplo, en soluciones que deslocalizan datos.

AWS hace posible la conformidad mediante la clasificación de cargas de trabajo que se implementan en AWS y ofrece soporte al implementar los controles adecuados según cada clase. El documento técnico, «Using AWS in the context of NHS Cloud Security Guidance» (Uso de AWS en el contexto de la guía de seguridad en la nube del Servicio Nacional de Salud inglés), incluye actividades detalladas de administración de riesgos para que las organizaciones las lleven a cabo. Comprende principalmente medidas técnicas apropiadas para el nivel de seguridad requerido.

La MHRA continúa centrándose cada vez más en la integridad de los datos. El aumento en el uso de captura de datos electrónicos, automatización de sistemas y tecnologías remotas ha aumentado a su vez la complejidad de las cadenas de suministro y los métodos de trabajo, que incluyen el uso de proveedores externos. La MHRA publicó una Guía de integridad de los datos específicamente para ofrecer más claridad y establecer las expectativas para la industria de las ciencias biológicas con el fin de garantizar la conformidad con la integridad de los datos.

Más información »

El Hébergeur de Données de Santé (HDS) es una certificación de la agencia gubernamental francesa para la salud, «Agence du Numérique en Santé» (ANS), cuyo objetivo es reforzar la seguridad y la protección de los datos de salud personales.

Para contar con la certificación HDS, un proveedor de TI debe tener la certificación ISO 27001. Esto significa que los servicios cubiertos por nuestra certificación ISO 27001 están incluidos en el ámbito de HDS. En la página web sobre certificaciones ISO, podrá encontrar los servicios de AWS que entran en el ámbito de la certificación ISO/IEC 27001:2013.  

La integridad de los datos continúa siendo un tema importante en todo el mundo. La EMA (Agencia Europea de Medicamentos) ha publicado una nueva guía de prácticas recomendadas de fabricación para garantizar la integridad de los datos que trata los datos relacionados con los que se generan en el proceso de prueba, fabricación, embalaje, distribución y supervisión de medicamentos.

Leer más:  

• Sistemas GxP en AWS
  

La DiGAV (Ordenanza de Aplicaciones de Salud Digital) se estableció en abril de 2020 como respaldo a la digitalización del sistema sanitario alemán. Esta ordenanza permite que ciertas aplicaciones de asistencia sanitaria sean reconocidas como reembolsables de acuerdo con el sistema de seguro médico estatutario alemán. Sin embargo, para que las organizaciones cumplan con dicha ordenanza y sean aptas para el reembolso, deben demostrar que sus aplicaciones cumplen los requisitos de protección de datos de la DiGAV, incluido el hecho de que los datos personales sean procesados exclusivamente dentro del Área Económica Europea (AEE) o en un país establecido como adecuado para tal fin según la Comisión Europea, con base en el artículo 45 del Reglamento General de Protección de Datos (RGPD) de la Unión Europea.

AWS proporciona varias de las principales herramientas de la industria para ayudar a los clientes con las normativas y regulaciones locales, incluida la Ley de Suministro Digital (Digital Supply Act, DVG) de Alemania y la Ordenanza de Aplicaciones de Salud Digital (Digital Health Applications Ordinance, DiGAV) asociada, para facilitar la migración a la nube de cargas de trabajo relacionadas con la asistencia sanitaria.

La integridad de los datos continúa siendo un tema importante en todo el mundo. La EMA (Agencia Europea de Medicamentos) ha publicado una nueva guía de prácticas recomendadas de fabricación para garantizar la integridad de los datos que trata los datos relacionados con los que se generan en el proceso de prueba, fabricación, embalaje, distribución y supervisión de medicamentos.

Leer más:  

• Sistemas GxP en AWS
  

La Ley de Protección de la Información Personal (APPI) es la legislación principal que trata los datos personales en Japón.

La APPI se aplica a todos los operadores comerciales (individuos y entidades) que manejan información personal. Esta ley también distingue entre información personal y datos personales (lo cual esta misma ley define como información personal que forma parte de una base de datos con este contenido). Las obligaciones de los operadores comerciales varían dependiendo de si adquieren, usan o proporcionan información personal o datos personales.

AWS implementa y mantiene medidas de seguridad técnicas y organizativas aplicables a los servicios de infraestructura en la nube de AWS bajo marcos y certificaciones de garantía de seguridad reconocidos a nivel mundial, como ISO 27001, ISO 27017, ISO 27018, PCI DSS nivel 1 y SOC 1 , 2 y 3. Estas medidas de seguridad técnicas y de organización están validadas por asesores externos independientes y están diseñadas para evitar el acceso no autorizado o la divulgación del contenido del cliente.

La Ley de Protección de Datos Personales de 2012 (PDPA) es la ley correspondiente a la protección de datos personales en Singapur, que incluye la transferencia internacional de datos personales con fines de procesamiento. La ley PDPA rige la recopilación, el uso, la divulgación y la protección de datos personales.

AWS implementa y mantiene medidas de seguridad técnicas y organizativas aplicables a los servicios de infraestructura en la nube de AWS bajo marcos y certificaciones de garantía de seguridad reconocidos a nivel mundial, como ISO 27001, ISO 27017, ISO 27018, PCI DSS nivel 1 y SOC 1 , 2 y 3. Estas medidas de seguridad técnicas y de organización están validadas por asesores externos independientes y están diseñadas para evitar el acceso no autorizado o la divulgación del contenido del cliente.

AWS respalda a muchas organizaciones de asistencia sanitaria en todo el mundo con la tecnología precisa para marcar la diferencia: desde el uso compartido de datos médicos para diagnosticar enfermedades aún no conocidas hasta la identificación de nuevos virus para evitar otra pandemia, entre otras muchas funciones clave; todo ello a la vez que permite a los clientes cumplir con los requisitos más elevados de seguridad y conformidad. Por nombrar un ejemplo, los Sistemas de Información Sanitaria Integrados (Integrated Health Information Systems, IHiS) de Singapur, la agencia responsable de suministrar las tecnologías que respaldan la asistencia sanitaria pública en Singapur, se trasladaron a AWS para escalar de forma segura sus sistemas de TI para operaciones de vacunación, y así soportar cargas significativamente más altas en muy poco tiempo, de una carga inicial de 8000 vacunaciones diarias a un pico de 80 000 en un plazo de
cuatro semanas.