È possibile usare AWS per eseguire carichi di lavoro sensibili in conformità con la normativa Health Insurance Portability and Accountability Act (HIPAA) degli USA. Se desideri includere informazioni sanitarie protette (secondo quanto definito nella normativa HIPAA) nei servizi AWS, dovrai prima accettare il BAA (Business Associate Addendum) di AWS. Per consultare, accettare e verificare lo stato di un BAA, utilizza il portale self-service disponibile in AWS Artifact.

Tutti i servizi AWS possono essere utilizzati nelle applicazioni di ambito sanitario, ma solo i servizi coperti dal contratto possono essere impiegati per memorizzare, elaborare e trasmettere informazioni sanitarie protette secondo quanto definito dalla normativa HIPAA.

Consulta l'elenco aggiornato di servizi coperti da AWS BAA »

L'utilizzo di AWS per applicazioni conformi alla norma HIPAA significa seguire alcune strategie di base quali:

  • Disaccoppiare i dati protetti da elaborazione/orchestrazione
  • Seguire il flusso dei dati tramite automatizzazione
  • Disporre di confini logici tra flussi di lavoro protetti e generali

In basso sono forniti esempi di modelli architetturali. Prima di procedere all'implementazione, si consiglia di effettuare le opportune verifiche di fattibilità e di consultare AWS o il reparto interno che si occupa di conformità.

 

Esempio 1: separazione tra Amazon Virtual Private Cloud (VPC) per informazioni sanitarie protette e per altri tipi di dati. Il VPC a destra viene utilizzato per testare un'app per dispositivi mobili, mentre quello a sinistra memorizza ed elabora informazioni sanitarie protette. Tali informazioni non passano da un cloud privato virtuale all'altro. Nota: il VPC a sinistra deve essere conforme alle linee guida sullo standard HIPAA.

Esempio 2: strategie indirette. Quando un nuovo oggetto contenente informazioni sanitarie protette viene scritto in S3 tramite S3 Transfer Acceleration, questo servizio invia un trigger ad AWS Lambda affinché trascriva i relativi metadati in una coda di Amazon SQS. Un servizio in esecuzione in Amazon EC2 eseguirà il polling della coda SQS; se sono disponibili nuovi dati, le informazioni sanitarie protette saranno estratti da S3. Una seconda funzione Lambda attiverà un avviso che indicherà l'avvio dell'elaborazione. In questo esempio le informazioni sanitarie protette vengono memorizzate, elaborate e trasmesse solo da S3 e EC2; Lambda ed SQS sono impiegati esclusivamente per orchestrare i servizi o inviare notifiche su quando dovrebbero essere avviati i processi.

 

Strategie indirette

AWS offre una serie di risorse tecniche per aiutare i clienti che desiderano creare applicazioni conformi alla norma HIPAA, tra cui:

Possiamo offrirti una consulenza dell'ufficio commerciale e del team di progettisti oppure puoi iniziare oggi stesso con un progetto pilota.

Contatta l'ufficio commerciale di AWS | Crea un account AWS