Implementación de referencia

Arquitectura de referencia para la HIPAA en AWS

Implemente una arquitectura de referencia que ayude a respaldar su programa de conformidad con la HIPAA

Ver la guía de implementación
Ver la matriz de los controles de seguridad

Esta solución está destinada a miembros del sector sanitario que quieran ejecutar cargas de trabajo en la nube de Amazon Web Services (AWS) dentro del ámbito de la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) de los EE. UU.

La matriz de los controles de seguridad muestra de qué manera los requisitos normativos de la HIPAA se asignan a configuraciones, componentes y decisiones vinculadas con la arquitectura de la solución.

Esta solución es parte de un conjunto de productos de conformidad de AWS que ofrece arquitecturas centradas en la seguridad para ayudar a los proveedores de servicios administrados, los equipos de aprovisionamiento de la nube, los desarrolladores, los integradores y los equipos de seguridad de la información a cumplir los controles estrictos de seguridad, conformidad y administración de riesgos.

Nota: Implementar esta solución no garantiza que la organización cumpla las leyes, certificaciones, políticas y regulaciones pertinentes.

AWS desarrolló esta solución.

  •  Lo que creará

  • Gracias a esta solución, es posible configurar lo siguiente:

    • Una arquitectura de alta disponibilidad, que abarca dos Zonas de disponibilidad.
    • Tres Virtual Private Clouds (VPC): administración, producción y desarrollo. Las VPC están configuradas con subredes de acuerdo con las prácticas recomendadas de AWS para proporcionarle su propia red virtual en AWS.
    • En la VPC de administración:
      • Una puerta de enlace de Internet que sirve como un punto de salida centralizado para el tráfico de Internet de alta disponibilidad.
      • Subredes públicas que incluyen gateways administradas de traducción de direcciones de red (NAT) a fin de permitir el acceso saliente a Internet a los recursos que se encuentran en las subredes privadas*
      • Subredes privadas para implementar los controles de infraestructura y seguridad.
      • Registros de flujos para auditorías.
    • En la VPC de producción:
      • Subredes privadas para implementar cargas de trabajo de producción.
      • Registros de flujos para auditorías.
    • En la VPC de desarrollo:
      • Subredes privadas para implementar cargas de trabajo de desarrollo.
      • Registros de flujos para auditorías.
    • AWS Transit Gateway para la comunicación entre VPC y conectividad del cliente.
    • Para los controles de registro y auditoría:
      • Amazon CloudWatch para el monitoreo de métricas y las alarmas de umbrales. Este servicio ofrece registros de flujos a un bucket de Amazon Simple Storage Service (Amazon S3).
      • AWS Config con el paquete de reglas de la HIPAA, asigna controles de HIPAA a elementos de configuración de AWS. Este servicio ofrece registros de flujos a un bucket de S3.
      • AWS CloudTrail para el registro de acceso de AWS. Este servicio ofrece registros de flujos a un bucket de S3.
    • Para la conectividad del cliente:
      • AWS Site-to-Site VPN o AWS Direct Connect para conectar con AWS Transit Gateway.
    • Para el control del acceso y los avisos:
      • Amazon Simple Notification Service (Amazon SNS) para enviar avisos por correo electrónico a partir de alarmas.
      • AWS Identity and Access Management (IAM) para el control de acceso y la autorización.
  •  Cómo implementar

  • Antes de implementar la solución de la HIPAA mediante el uso de información sanitaria protegida (PHI), debe aceptar el Anexo para socios empresariales (BAA) de AWS y configurar la cuenta de AWS según lo requerido por el BAA.

    Para implementar esta solución, siga las instrucciones que aparecen en la guía de implementación, que incluye estos pasos.

    1. Inicie sesión en su cuenta de AWS. Si no tiene ninguna cuenta de AWS, regístrese en https://aws.amazon.com.
    2. Lance la solución. La pila tarda aproximadamente 15 minutos en implementarse. Antes de crear la pila, elija la AWS Region (Región de AWS) desde la barra de herramientas superior.

    Amazon puede compartir la información de implementación de los usuarios con el socio de AWS que colaboró con AWS en esta solución.  

    Consulte la guía de implementación para obtener detalles
  •  Costos y licencias

  • Usted es responsable del costo de los servicios de AWS, así como de las licencias de terceros que se utilicen, mientras se ejecuta esta solución. No se aplican cargos adicionales por el uso de la solución.

    En esta solución, se incluyen parámetros de configuración que puede personalizar. Algunas de estas configuraciones, como el tipo de instancia, afectan al costo del despliegue. Para hacer estimaciones de costos, consulte las páginas de precios de cada servicio de AWS que utilice. Los precios están sujetos a cambios.

    Sugerencia: Después de implementar una solución, cree Informes de costo y uso de AWS para realizar el seguimiento de los costos asociados. Dichos informes envían métricas de facturación a un bucket de Amazon Simple Storage Service (Amazon S3) en su cuenta. Suministran estimaciones de costos en función del uso de cada mes y agregan los datos a finales del mes. Para obtener más información, consulte ¿Qué son los informes de costo y uso de AWS?