Hébergeur de Données de Santé

La certificazione HDS fornisce le garanzie necessarie per la sicurezza delle informazioni alle organizzazioni che desiderano ospitare dati sanitari di cittadini francesi nel cloud.

Introdotta dall’Agence du Numérique en Santé (ANS) nel 2024, la versione 2.0 di HDS mira a rafforzare la sicurezza e la protezione dei dati sanitari personali, in linea con la legislazione francese. Le modifiche principali includono:

• I requisiti di sovranità dei dati impongono che l’archiviazione di dati sanitari (attività 1 e 2) avvenga esclusivamente all’interno dello Spazio economico europeo (SEE).
• Obblighi di trasparenza rafforzati per quanto riguarda i sub-processori e la potenziale esposizione alla legislazione non europea.
• Allineamento con gli standard europei di sicurezza informatica e i requisiti rafforzati di portabilità/reversibilità dei dati.

In base al modello di responsabilità condivisa, è responsabilità dei nostri clienti valutare i propri requisiti di conformità, incluso l’impatto della versione 2.0 di HDS. I requisiti HDS sono disponibili sul sito Web di ANS.

La certificazione HDS v1.1 è stata sostituita dalla certificazione v2.0 ottenuta tramite l’audit di transizione. AWS è ora certificato secondo l’attuale framework v2.0.

Sì. AWS detiene la certificazione HDSv2 in 27 regioni. Per i clienti soggetti al requisito di residenza dei dati nell’area SEE per le attività 1 e 2, le sei regioni dell’area SEE (Francoforte, Irlanda, Milano, Parigi, Stoccolma e Spagna) garantiscono una conformità ininterrotta oltre il termine di transizione obbligatorio del 16 maggio 2026. Tutte le 27 regioni certificate rimangono idonee per le attività 3-6.

AWS ha ottenuto la certificazione HDSv2 il 21 aprile 2026, la quale copre tutte e sei le attività del framework HDS:

• Attività 1 e 2 — Infrastruttura fisica (solo regioni del SEE)
      1. Assegnazione e mantenimento in condizioni operative di siti fisici per ospitare l’infrastruttura hardware del sistema informativo utilizzato per l’elaborazione di dati sanitari.
      2. Assegnazione e mantenimento in condizioni operative dell’infrastruttura hardware del sistema informativo utilizzato per l’elaborazione di dati sanitari.
• Attività 3-6 — Infrastruttura virtuale, piattaforma, operazioni e backup (tutte le 27 regioni certificate)
      3. Assegnazione e mantenimento in condizioni operative dell’infrastruttura virtuale del sistema informativo utilizzato per l’elaborazione di dati sanitari.
      4. Fornitura e manutenzione in condizioni operative della piattaforma per l’hosting delle applicazioni del sistema informativo.
      5. Amministrazione e operatività del sistema informativo che contiene i dati sanitari
      6. Backup dei dati sanitari.

Importante — Residenza dei dati per l’hosting fisico (Attività 1 e 2): nell’ambito dell’HDSv2, le attività 1 e 2 richiedono che i dati sanitari siano archiviati fisicamente esclusivamente all’interno dello Spazio economico europeo (SEE). Ciò significa che se sei soggetto ai requisiti HDS, i tuoi dati sanitari a riposo devono risiedere in una delle regioni SEE elencate di seguito. Le attività da 3 a 6 (infrastruttura virtuale, hosting di piattaforme, amministrazione/funzionamento e backup) non sono soggette a questa restrizione geografica e possono essere fornite da qualsiasi regione certificata.

Europa (AEA): idonea per tutte le attività (1—6)

• Europa (Francoforte, Germania)
• Europa (Irlanda)
• Europa (Milano, Italia)
• Europa (Parigi, Francia)
• Europa (Spagna)
• Europa (Stoccolma, Svezia)

Europa (non SEE): idonea solo per le attività 3-6

• Europa (Londra, Regno Unito)
• Europa (Zurigo, Svizzera)

Americhe: idonee solo per le attività 3-6

• Stati Uniti orientali (Virginia settentrionale)
• Stati Uniti orientali (Ohio)
• Stati Uniti occidentali (Oregon)
• Stati Uniti occidentali (California settentrionale)
• Canada (Centrale)
• Canada occidentale (Calgary)
• Sud America (San Paolo, Brasile)

Asia Pacifico e Oceania: idonei solo per le attività 3-6

• Asia Pacifico (Tokyo, Giappone)
• Asia Pacifico (Sydney, Australia)
• Asia Pacifico (Melbourne, Australia)
• Asia Pacifico (Singapore)
• Asia Pacifico (Mumbai, India)
• Asia Pacifico (Seoul, Corea del Sud)
• Asia Pacifico (Hong Kong)
• Asia Pacifico (Jakarta, Indonesia)
• Asia Pacifico (Osaka, Giappone)
• Asia Pacifico (Hyderabad, India)

Medio Oriente e Israele: idonei solo per le attività 3-6

• Medio Oriente (Dubai, Emirati Arabi Uniti)
• Israele (Tel Aviv)

Per ottenere la certificazione HDS un provider IT deve essere certificato ISO 27001. I servizi coperti dalla certificazione AWS ISO 27001 sono inclusi nell’ambito di HDS. I servizi AWS nell’ambito della norma ISO/IEC 27001:2022 sono disponibili sulla pagina Web della certificazione ISO.

In base al modello di responsabilità condivisa, è responsabilità dei clienti valutare i propri requisiti di conformità. Consulta il sito Web di ANS per maggiori dettagli. Lo standard HDS è disponibile sul sito Web di ANS.

Secondo quanto stabilito nel modello di responsabilità condivisa, la certificazione HDS di AWS dimostra la “sicurezza del cloud”, permettendo ai clienti di concentrare la propria attenzione sulle problematiche correlate alla “sicurezza nel cloud” durante la procedura di certificazione.

Sì. Il certificato HDSv2 di AWS può essere scaricato da AWS Artifact. L’elenco degli host certificati è disponibile sul sito Web di ANS.

L’AWS European Sovereign Cloud non rientra ancora nell’ambito della certificazione HDS v2.0. La regione ha ottenuto le certificazioni di conformità fondamentali (ISO 27001, SOC 2 e C5) e AWS sta valutando l’inclusione di questa regione nell’ambito della certificazione HDS. Un ulteriore aggiornamento verrà fornito non appena possibile.

Il riferimento centralizzato per tutti i processori che prendono parte alle attività di hosting certificate HDS è disponibile nella pagina dei sub-processori di AWS. Inoltre, i clienti hanno la possibilità di verificare la certificazione tramite il sito Web di ANS, che fornisce informazioni ufficiali sullo stato della certificazione e sui sub-processori coinvolti nelle attività di hosting con certificazione HDS.

Ciò assicura ai clienti un accesso chiaro e centralizzato alla verifica della conformità e dello stato di certificazione di tutti i sub-processori che gestiscono i dati sanitari all’interno dell’infrastruttura conforme all’HDS di AWS.

AWS offre meccanismi completi di portabilità e controllo dei dati che permettono ai clienti di recuperare i propri dati sanitari in diversi formati standard del settore e di migrare i carichi di lavoro mediante metodi ben documentati.

Proprietà e controllo dei dati dei clienti

In base al modello di responsabilità condivisa AWS, al Contratto clienti AWS (Sezione 6.1) e all’Addendum HDS v2 (Sezione 12), i clienti mantengono la proprietà e il controllo completi dei propri contenuti. AWS offre la possibilità di recuperare i dati in qualsiasi momento, tramite funzionalità di servizio native, senza richiedere l’assistenza di AWS.

Principali funzionalità di portabilità

• Clausole contrattuali: il Codice della sanità pubblica francese richiede l’esecuzione di condizioni contrattuali specifiche tra l’host di dati sanitari e i suoi clienti. I clienti AWS possono fare riferimento all’Addendum sull’elaborazione dei dati AWS (AWS DPA) e ai termini specifici applicabili.
• Salute e scienze della vita: AWS offre architetture di riferimento, guide alle best practice e soluzioni specializzate per il settore sanitario. Ulteriori informazioni su AWS per la sanità.
• AWS Landing Zone Accelerator per l’assistenza sanitaria: un’implementazione di riferimento per la distribuzione di infrastrutture conformi a HDS. Ulteriori informazioni su Github.