Standard HIPAA

Panoramica

HIPAA-sized

Un numero crescente di aziende, terzi paganti e professionisti IT che operano nel settore sanitario usano i servizi cloud di AWS basati su utilità per elaborare, archiviare e trasmettere informazioni sanitarie.

AWS consente ai soggetti interessati e a relativi partner sottoposti allo U.S. Health Insurance Portability and Accountability Act (HIPAA) di sfruttare l'ambiente sicuro di AWS per elaborare, conservare e archiviare informazioni sanitarie.

AWS, inoltre, offre un whitepaper dedicato allo standard HIPAA per i clienti che desiderano approfondire l'argomento e conoscere come impiegare AWS per elaborare e archiviare informazioni sanitarie. Il whitepaper "Creating HIPAA-Compliant Medical Data Applications with AWS" illustra come utilizzare AWS per elaborare sistemi che semplificano la conformità agli standard HIPAA e HITECH.

Clienti AWS di sanità e settore scientifico

  • Cosa si intende per HIPAA e HITECH?

    La legge Health Insurance Portability and Accountability Act (HIPAA) è stata approvata nel 1996. Tale normativa è stata elaborata per rendere più semplice ai lavoratori conservare la copertura dell'assicurazione sanitaria nel momento in cui cambiano o perdono il lavoro. La normativa intende anche favorire l'adozione di record in formato elettronico per migliorare l'efficienza e la qualità del sistema sanitario statunitense mediante la condivisione delle informazioni.

    La legge, oltre a incoraggiare l'uso di record elettronici, contiene provvedimenti per promuovere maggiore attenzione sulla sicurezza e la privacy delle informazioni sanitarie protette. Tali informazioni includono un lungo elenco di informazioni personali e sanitarie, ad esempio dati sull'assicurazione, informazioni di fatturazione, diagnosi, dati clinici e risultati di laboratorio (incluse immagini e parametri degli esami). La normativa si applica a tutti i "soggetti interessati", che possono essere ospedali, cliniche, piani sanitari sponsorizzati da datori di lavoro, centri di ricerca e compagnie assicurative che trattano direttamente con pazienti e relativi dati. La legislazione e le normative, inoltre, estendono i requisiti di protezione delle informazioni sanitarie ai partner.

    Lo standard HIPAA è stato esteso mediante l'Health Information Technology for Economic and Clinical Health Act nel 2009. HIPAA e HITECH stabiliscono un insieme di standard federali volti a proteggere la sicurezza e la privacy delle informazioni sanitarie protette. Queste disposizioni sono incluse in quelle che vengono definite regole di semplificazione amministrativa. HIPAA e HITECH impongono requisiti correlati all'uso e alla divulgazione delle informazioni sanitarie, alla protezione di tali informazioni, ai diritti individuali e alle responsabilità amministrative. Per ulteriori informazioni su come HIPAA e HITECH proteggono le informazioni sanitarie, visita la pagina http://www.hhs.gov/ocr/privacy/hipaa/understanding/index.html.

  • Cos'è HITRUST?

    La Health Information Trust Alliance o HITRUST Common Security Framework (CSF) si definisce "un framework di certificazione che offre alle aziende un approccio completo, flessibile ed efficiente alla conformità normativa e alla gestione del rischio. Sviluppata in collaborazione con professionisti del settore sanitario e della sicurezza informatica, lo standard HITRUST CSF condensa normative e standard in ambito medico in un framework di sicurezza completo".

    Lo standard HITRUST CSF consente di unificare i controlli di sicurezza stabiliti dalla legge federale, ad esempio HIPAA/HITECH, la legge dello stato, ad esempio del Massachusetts, e framework non governativi quali COBIT e PCI-DSS in un singolo framework ideato appositamente per l'ambito sanitario.

    AWS offre una piattaforma di elaborazione affidabile, scalabile e a costi ridotti in grado di supportare le applicazioni dei clienti in ambito sanitario in conformità agli standard HIPAA, HITECH e HITRUST CSF.

  • Cos'è un addendum al contratto di società in affari?

    Secondo la normativa Health Insurance Portability and Accountability Act (HIPAA), una "società in affari" è una persona o entità facente funzioni o che agisce per conto di (oppure fornisce determinati servizi a) un'entità coperta, di cui non è alle dipendenze. La definizione di "società in affari" include anche un subappaltatore che crei, riceva, conservi o trasmetta informazioni sanitarie per conto di un'altra società in affari; secondo la normativa HIPAA, i provider di servizi cloud come AWS sono considerate società in affari. La normativa HIPAA in genere richiede che i soggetti interessati e le società in affari stipulino un contratto per garantire il corretto trattamento delle informazioni sanitarie da parte delle società in affari. Il contratto di società in affari, inoltre, serve a chiarire e limitare la divulgazione e gli usi consentiti delle informazioni sanitarie protette da parte della società in affari, in base alla relazione tra le parti e alle attività eseguite o ai servizi offerti dalla stessa. AWS chiama questi contratti "Addendum al contratto di società in affari".

  • AWS firmerà un addendum al contratto di società in affari secondo quanto descritto nella normativa e nelle disposizioni HIPAA?

    Sì. AWS dispone di un addendum standard al contratto di società in affari che fa firmare ai propri clienti. Tiene conto dei servizi forniti da AWS e impiega il modello di responsabilità condivisa di AWS.

    È possibile utilizzare AWS Artifact per esaminare, accettare e gestire lo stato di un addendum al contratto di società in affari o BAA (Business Associate Addendum) per un account.

    Istruzioni dettagliate
    In caso di errore
    BAA offline
    Terminare un BAA
  • AWS è certificata secondo la normativa HIPAA?

    Non è previsto alcun tipo di certificazione HIPAA per i provider di servizi cloud come AWS. Per soddisfare i requisiti HIPAA applicabili al nostro modello operativo, AWS ha allineato il proprio programma di gestione del rischio HIPAA con FedRAMP e NIST 800-53, uno standard di sicurezza superiore che fa riferimento alle regole di protezione HIPAA. NIST supporta questo allineamento e ha pubblicato la 800-66, "An Introductory Resource Guide for Implementing the HIPAA Security Rule", per documentare come NIST 800-53 si allinei alle normative di sicurezza HIPAA.

  • Quali servizi è possibile usare in un account AWS in presenza di un BAA con AWS?

    I clienti potranno impiegare tutti i servizi AWS all'interno dell'account designato per l'uso secondo la normativa HIPAA, ma potranno elaborare, immagazzinare e trasmettere informazioni sanitarie protette solamente nell'ambito dei servizi definiti nel BAA. Nella pagina Riferimento servizi idonei ai fini HIPAA è disponibile l'elenco aggiornato dei servizi idonei ai fini HIPAA.

    AWS segue un programma di gestione del rischio basato su standard, per garantire la conformità ai processi previsti dalla normativa HIPAA in fatto di sicurezza, controlli e amministrazione. L'utilizzo di questi servizi per memorizzare ed elaborare le informazioni sanitarie protette consente ai clienti e ad AWS di attenersi ai requisiti della norma HIPAA applicabili nel modello operativo basato su utilità in uso. La priorità e l'aggiunta di nuovi servizi da parte di AWS si basa sulla domanda dei clienti.

    Per ulteriori informazioni sul programma per società in affari, oppure per richiedere l'applicazione della conformità a nuovi servizi, contattaci.

  • Quando un partner SaaS di AWS con un BAA vende le proprie soluzioni SaaS a un'azienda nel settore sanitario o ad altri soggetti interessati, questi ultimi devono firmare un BAA con AWS?

    No. Si tratta di uno scenario frequente, in quanto ci sono molti partner di soluzioni HIPAA innovativi che offrono le loro soluzioni SaaS in AWS. In questo caso, ogni azienda del settore sanitario o soggetto interessato dovrà stipulare un BAA solo con il partner SaaS, mentre questo avrà un BAA con AWS. Se il soggetto interessato che impiega la soluzione SaaS è anche un cliente diretto di AWS per i sistemi conformi alla norma HIPAA, il soggetto interessato potrà avere un BAA con il partner SaaS e un BAA con AWS.

  • Cosa è cambiato nel programma di conformità agli standard HIPAA di AWS?

    A partire dal 15 maggio 2017, i clienti di AWS e i partner APN che hanno firmato un contratto di società in affari con AWS non saranno più obbligati a utilizzare le istanze dedicate o gli host dedicati di Amazon EC2 per trattare informazioni sanitarie protette. In precedenza, il programma di conformità agli standard HIPAA prevedeva che i clienti che dovevano trattare informazioni sanitarie protette con Amazon EC2 dovevano necessariamente operare su istanze dedicate o host dedicati. Questo requisito è stato rimosso.

compliance-contactus-icon
Hai domande? Contatta un rappresentante di conformità di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »