Bangun aplikasi yang menyimpan, memproses, dan mentransmisikan informasi sensitif terkait kesehatan, sesuai dengan kewajiban privasi dan keamanan Anda.
Di AWS, keamanan dan privasi adalah prioritas utama
Khususnya untuk industri layanan kesehatan, kami menyediakan sejumlah sertifikasi dan akreditasi global (HIPAA, HITRUST, GDPR, dan lainnya) yang memungkinkan Anda menyimpan, memproses, atau mentransmisikan data paling sensitif di cloud dan meningkatkan postur keamanan serta kepatuhan Anda.
Peran dan Tanggung Jawab
Data Anda, yang disimpan di AWS, adalah data Anda. Model keamanan bersama kami memastikan kepemilikan dan kontrol data tetap berada di tangan Anda setiap saat. Kami menawarkan serangkaian solusi untuk menjaga agar data layanan kesehatan tetap terlindungi dan tersedia. AWS menyediakan akses ke lebih dari 130 layanan yang memenuhi syarat HIPAA serta berbagai sertifikasi untuk IT global dan standar kepatuhan yang relevan dengan industri, termasuk dukungan untuk GDPR, HITRUST, ENS High, HDS, dan C5. Selain itu, dengan Zona Ketersediaan yang berjumlah dua kali lebih banyak daripada penyedia cloud lainnya, organisasi kesehatan dapat memperoleh manfaat dari skala, keamanan, dan keandalan AWS.
AWS & Privasi Data
AWS menangani privasi data dengan sangat serius dan menjaga kepercayaan pelanggan adalah komitmen berkelanjutan. Pelanggan selalu mengelola akses ke layanan dan konten mereka. Kami tidak mengakses atau menggunakan konten pelanggan untuk tujuan apa pun tanpa persetujuan pelanggan. Pelanggan memilih wilayah tempat penyimpanan konten pelanggan mereka. Kami tidak akan memindahkan atau mereplikasi konten pelanggan di luar wilayah yang dipilih pelanggan tanpa persetujuan pelanggan.
Tanggung Jawab Bersama
Memahami cara membangun aplikasi layanan kesehatan di AWS berarti memahami model tanggung jawab bersama. Di AWS Cloud, keamanan merupakan tanggung jawab bersama antara AWS dan pelanggan. Hal ini berarti bahwa elemen keamanan tertentu (seperti keamanan fisik infrastruktur dasar) sekarang menjadi tanggung jawab AWS. Pelanggan tetap bertanggung jawab atas aspek keamanan lainnya (seperti tindakan keamanan yang digunakan untuk melindungi aplikasi Anda), sama seperti saat aplikasi Anda berjalan di pusat data tradisional.
Penyelarasan/Kerangka Kerja Kepatuhan Layanan Kesehatan AWS
- Sertifikasi kepatuhan AWS mendemonstrasikan “keamanan di cloud” dan keefektifan operasi kontrol AWS. Pelanggan bertanggung jawab atas keamanan di cloud.
- Pelanggan mewarisi sertifikasi kepatuhan ini dan dapat menggunakannya untuk mendemonstrasikan bagian kepatuhan mereka kepada auditor dan regulator.
Sertifikasi dan pengesahan kepatuhan dinilai oleh auditor independen pihak ketiga dan menghasilkan sertifikasi, laporan audit, atau pengesahan kepatuhan.
Pelanggan AWS tetap bertanggung jawab untuk mematuhi hukum dan regulasi kepatuhan yang berlaku. Dalam beberapa kasus, AWS menawarkan fungsionalitas (seperti fitur keamanan), pendukung, dan perjanjian hukum (seperti Perjanjian Pemrosesan Data dan Tambahan Asosiasi Bisnis AWS) untuk mendukung kepatuhan pelanggan.
Tidak ada sertifikasi formal yang tersedia untuk (atau dapat didistribusikan oleh) penyedia layanan cloud dalam ranah hukum dan peraturan ini.
Keselarasan dan kerangka kerja kepatuhan mencakup keamanan atau persyaratan kepatuhan yang dikeluarkan untuk tujuan tertentu, seperti industri atau fungsi spesifik. AWS menyediakan fungsionalitas (seperti fitur keamanan) dan pendukung (termasuk playbook kepatuhan, dokumen pemetaan, dan laporan resmi) untuk jenis program ini.
Menyebutkan model tanggung jawab bersama saat berdiskusi tentang kepatuhan terhadap peraturan penting untuk dilakukan. AWS menghadirkan teknologi tercanggih yang telah mendapatkan sertifikasi dan pengesahan standar industri baik secara global maupun regional, jika memungkinkan, dan menyelaraskannya dengan kerangka kerja industri untuk membantu memfasilitasi implementasi kepatuhan layanan AWS untuk kepatuhan layanan kesehatan. Di bawah naungan model tanggung jawab bersama, pelanggan dapat mewarisi kontrol dan kemampuan kepatuhan untuk memenuhi kebutuhan kepatuhan layanan kesehatan di wilayah tersebut.
Di bawah ini informasi tentang sertifikasi representatif, undang-undang layanan kesehatan, dan kerangka kerja yang relevan.
Sertifikasi & Pengesahan Utama
ISO 9001
ISO 27001, 27017, 27018
SOC 1, 2, 3
PCI DSS Level 1
FedRAMP
Cyber Essentials Plus
DoD SRG
Undang-Undang Layanan Kesehatan - Regulasi & Privasi
GDPR
HIPAA
HITECH
PDPA-2012 (Singapura)
PIPEDA (Kanada)
Undang-Undang Privasi (Australia)
PDPA-2010 (Malaysia)
Penyelarasan & Kerangka Kerja Utama
CSA (Cloud Security Alliance)
Privacy Shield UE-AS
NIST
Kontrol IT BioPhorum
Amerika Serikat
AWS & FedRAMP
Program Manajemen Risiko dan Otorisasi Federal (FedRAMP) adalah program pemerintah AS yang memberikan pendekatan standar terhadap penilaian keamanan, otorisasi, dan pemantauan berkelanjutan untuk produk dan layanan cloud. FedRAMP bersifat wajib untuk semua lembaga federal AS dan semua layanan cloud, termasuk Departemen Kesehatan dan Layanan Masyarakat.
Dua otorisasi Lembaga FedRAMP yang terpisah telah dikeluarkan; satu otorisasi mencakup Wilayah AWS GovCloud (AS) dan satu otorisasi lainnya mencakup wilayah AWS AS Timur/Barat.
Kepatuhan AWS & HITRUST
HITRUST CSF (Kerangka Kerja Keamanan Cloud) berfungsi untuk menggabungkan kontrol keamanan berdasarkan aspek hukum federal AS (seperti HIPAA dan HITECH), undang-undang negara bagian (seperti Massachusetts’s Standards for the Protection of Personal Information of Residents of the Commonwealth), dan diakui oleh standar kepatuhan non-pemerintah (seperti PCI DSS) dalam sebuah kerangka kerja yang disesuaikan untuk kebutuhan layanan kesehatan.
Layanan AWS tertentu telah dinilai menurut Program Jaminan HITRUST CSF oleh Penilai HITRUST CSF yang telah disetujui karena dianggap memenuhi Kriteria Sertifikasi HITRUST CSF v9.3.
Pelanggan dapat menggunakan layanan AWS dalam akun yang ditentukan sebagai akun HIPAA, tetapi mereka hanya boleh memproses, menyimpan, dan mentransmisikan informasi kesehatan yang dilindungi (PHI) dalam layanan yang memenuhi syarat HIPAA.
Kepatuhan AWS, HIPAA, dan HITECH
Health Insurance Portability and Accountability Act tahun 1996 (HIPAA) adalah undang-undang yang didesain untuk mempermudah pekerja AS agar tetap mendapatkan jaminan kesehatan saat mereka berganti atau kehilangan pekerjaan. Undang-undang tersebut bertujuan untuk mendorong catatan kesehatan elektronik agar meningkatkan efisiensi dan kualitas sistem layanan kesehatan AS melalui penyebaran informasi yang lebih baik.
Health Information Technology for Economic and Clinical Health Act (HITECH) memperluas aturan HIPAA pada tahun 2009. HIPAA dan HITECH bersama-sama menetapkan serangkaian standar federal yang bertujuan untuk melindungi keamanan dan privasi PHI. Ketentuan ini tercakup dalam aturan "Penyederhanaan Administratif". HIPAA dan HITECH menentukan persyaratan terkait penggunaan serta pengungkapan PHI, pengamanan yang tepat untuk melindungi PHI, hak individu, dan tanggung jawab administratif.
Kanada
Personal Information Protection and Electronic Documents Act (PIPEDA)
Personal Information Protection and Electronic Documents Act (PIPEDA) adalah undang-undang federal Kanada yang berlaku untuk pengumpulan, penggunaan, dan pengungkapan informasi pribadi dalam aktivitas komersial di seluruh provinsi di Kanada.
Health Information Act (HIA) adalah undang-undang privasi di Alberta yang berlaku untuk pengumpulan, penggunaan, pengungkapan, dan perlindungan informasi kesehatan yang ada dalam pengawasan atau di bawah kontrol pengawas.
Wilayah AWS Kanada (Pusat) saat ini tersedia untuk beberapa layanan, seperti: Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), dan Amazon Relational Database Service (Amazon RDS).
Personal Health Information Protection Act (Ontario)
Personal Health Information Protection Act (PHIPA) adalah undang-undang privasi di Ontario yang berlaku untuk pengumpulan, penggunaan, dan pengungkapan informasi kesehatan pribadi (Personal Health Information/PHI) dalam memberikan atau memfasilitasi layanan kesehatan.
Inggris
Keamanan Cloud Layanan Kesehatan dan Sosial – Panduan Praktik yang Baik
Keamanan Cloud Layanan Kesehatan dan Sosial – Panduan Praktik yang Baik telah ditulis secara bersama-sama oleh NHS Digital, NHS England, Department of Health and Social Care, dan NHS Improvement.
Panduan ini menjelaskan tentang perlindungan yang harus diterapkan agar organisasi layanan kesehatan dan sosial dapat dengan aman menemukan data layanan kesehatan dan sosial, yang mencakup informasi rahasia pasien di cloud publik termasuk solusi yang memanfaatkan data off-shoring.
AWS memungkinkan kepatuhan dengan mengklasifikasikan beban kerja yang sedang dilakukan deployment ke AWS dan mendukungnya dengan mengimplementasikan kontrol yang sesuai dengan kelas. Laporan resmi “Menggunakan AWS Dalam Hal Panduan Keamanan Cloud NHS” mencakup aktivitas manajemen risiko mendetail yang harus dilakukan organisasi, yang sebagian besar terdiri dari tindakan teknis yang sesuai dengan level keamanan yang diperlukan.
Prancis
Hébergeur de Données de Santé (HDS)
Hébergeur de Données de Santé (HDS) - Diperkenalkan oleh lembaga kesehatan pemerintahan Prancis, “Agence du Numérique en Santé” (ANS), sertifikasi HDS (Hébergeur de Données de Santé) bertujuan untuk memperkuat keamanan dan perlindungan data kesehatan pribadi.
Untuk menjadi penyedia IT yang bersertifikat HDS, penyedia IT harus bersertifikat ISO 27001. Ini berarti bahwa layanan yang tercakup dalam sertifikasi ISO 27001 kami dicakup dalam cakupan HDS. Layanan AWS yang tercakup dalam sertifikasi ISO/IEC 27001:2013 dapat ditemukan dalam halaman web Bersertifikat ISO.
Jerman
Kepatuhan DiGAV
DiGAV diperkenalkan pada bulan April 2020 untuk mendukung digitalisasi sistem kesehatan Jerman. DiGAV memungkinkan aplikasi layanan kesehatan tertentu untuk dikenali sebagai aplikasi yang dapat ditarik kembali di bawah sistem asuransi kesehatan wajib Jerman. Namun, agar organisasi mematuhi dan memungkinkan kelayakan penggantian biaya melalui DiGAV, organisasi harus menunjukkan bahwa aplikasi mereka memenuhi persyaratan perlindungan data DiGAV, termasuk fakta bahwa data pribadi diproses secara eksklusif di Wilayah Ekonomi Eropa (EEA) atau di negara yang mendapatkan keputusan penerimaan Komisi Eropa berdasarkan Pasal 45 General Data Protection Regulation (GDPR) UE.
AWS menyediakan sejumlah alat yang terdepan di industri untuk mendukung pelanggan memenuhi persyaratan peraturan dan legislatif lokal, termasuk German Digital Supply Act (DVG) dan Digital Health Applications Ordinance (DiGAV) terkait, saat mereka memindahkan beban kerja layanan kesehatan ke cloud.
Jepang
Act on the Protection of Personal Information (APPI)
Act on the Protection of Personal Information (APPI) adalah undang-undang utama yang menangani data pribadi di Jepang.
APPI berlaku untuk semua operator bisnis (individu dan entitas) yang menangani informasi pribadi. APPI juga membedakan antara informasi pribadi dan data pribadi (yang didefinisikan oleh APPI sebagai informasi pribadi yang merupakan bagian dari database informasi pribadi). Kewajiban pada operator bisnis bervariasi, bergantung pada apakah operator bisnis memperoleh, menggunakan, atau menyediakan informasi pribadi atau data pribadi.
AWS mengimplementasikan dan mengelola tindakan-tindakan keamanan teknis dan organisasional yang berlaku untuk layanan infrastruktur AWS Cloud di bawah kerangka kerja dan sertifikasi jaminan keamanan yang diakui secara global, termasuk ISO 27001, ISO 27017, ISO 27018, PCI DSS Level 1, serta SOC 1, 2, dan 3. Tindakan keamanan teknis dan organisasional ini divalidasi oleh penilai pihak ketiga yang independen, dan didesain untuk mencegah adanya akses tidak sah atau pengungkapan konten pelanggan.
Singapura
Personal Data Protection Act 2012 (PDPA)
Personal Data Protection Act 2012 (PDPA) adalah undang-undang yang berlaku untuk perlindungan data pribadi di Singapura, termasuk saat data pribadi ditransfer ke luar negeri untuk tujuan pemrosesan. PDPA mengatur pengumpulan, penggunaan, pengungkapan, dan perlindungan data pribadi.
AWS mengimplementasikan dan mengelola tindakan-tindakan keamanan teknis dan organisasional yang berlaku untuk layanan infrastruktur AWS Cloud di bawah kerangka kerja dan sertifikasi jaminan keamanan yang diakui secara global, termasuk ISO 27001, ISO 27017, ISO 27018, PCI DSS Level 1, serta SOC 1, 2, dan 3. Tindakan keamanan teknis dan organisasional ini divalidasi oleh penilai pihak ketiga yang independen, dan didesain untuk mencegah adanya akses tidak sah atau pengungkapan konten pelanggan.
AWS mendukung banyak organisasi layanan kesehatan secara global, dengan menyediakan teknologi yang diperlukan untuk bergerak, dengan kecepatan yang diperlukan untuk memberikan dampak—mulai dari menggunakan data medis bersama untuk mendiagnosis penyakit yang belum diketahui sebelumnya, hingga mengidentifikasi virus baru untuk mencegah pandemi lain, dan banyak fungsi penting lainnya—sekaligus memungkinkan pelanggan untuk memenuhi persyaratan keamanan dan kepatuhan yang paling ketat. Sebagai salah satu contoh, Integrated Health Information Systems (IHiS) di Singapura, lembaga yang bertanggung jawab memasok teknologi yang mendukung layanan kesehatan publik Singapura, beralih ke AWS untuk menskalakan sistem IT operasi vaksinnya secara aman guna mempertahankan beban yang jauh lebih tinggi dalam waktu yang sangat singkat, dari beban awal harian sebesar 8.000 vaksinasi hingga mencapai 80.000 vaksinasi dalam kurun waktu
empat minggu.
