Hébergeur de Données de Santé

HDS 인증을 받으면 클라우드에서 프랑스 국민의 의료 데이터를 호스팅하고자 하는 업체에 필요한 정보 보안을 보증받을 수 있습니다.

2024년 프랑스 보건 기구인 Agence du Numérique en Santé(ANS)가 도입한 HDS 버전 2.0은 프랑스 법률이 적용되는 개인 의료 데이터의 보안과 보호를 강화합니다. 주요 변경 사항은 다음과 같습니다.

• 데이터 주권 요구 사항: 의료 데이터 저장(활동 1 및 2)은 유럽경제지역(EEA) 내에서만 이루어져야 합니다.
• 강화된 투명성 의무: 하위 처리업체 및 비유럽 법률에 노출될 가능성과 관련해 더 높은 수준의 투명성이 요구됩니다.
• 유럽 사이버 보안 표준 준수: 데이터 이동성/가역성 요구 사항도 강화되었습니다.

공동 책임 모델에 따라, HDS 버전 2.0의 영향을 포함한 자체 규정 준수 요구 사항을 평가할 책임은 고객에게 있습니다. HDS 요구 사항은 ANS 웹 사이트에서 확인하실 수 있습니다.

HDS v1.1 인증은 전환 심사를 통해 획득한 v2.0 인증으로 대체되었습니다. AWS는 최신 v2.0 프레임워크에 따라 현재 인증을 받았습니다.

예. AWS는 27개 리전에서 HDSv2 인증을 보유하고 있습니다. 활동 1 및 2에 대한 EEA 데이터 레지던시 요구 사항이 적용되는 고객의 경우, 6개의 EEA 리전(프랑크푸르트, 아일랜드, 밀라노, 파리, 스톡홀름, 스페인)에서 2026년 5월 16일의 의무 전환 마감일 이후에도 규정을 중단 없이 계속 준수할 수 있습니다. 활동 3~6에는 인증된 27개 리전 모두 계속 사용할 수 있습니다.

AWS는 2026년 4월 21일에 HDS 프레임워크의 6개 활동 전체를 포괄하는 HDSv2 인증을 획득했습니다.

• 활동 1 및 2 — 물리적 인프라(EEA 리전만 해당)
      1. 의료 데이터 처리에 사용되는 정보 시스템의 하드웨어 인프라를 호스팅하기 위한 실물 사이트 제공 및 운영 상태 유지.
      2. 의료 데이터 처리에 사용되는 정보 시스템의 하드웨어 인프라 제공 및 운영 상태 유지.
• 활동 3~6 — 가상 인프라, 플랫폼, 운영 및 백업(인증된 27개 리전 모두)
      3. 의료 데이터 처리에 사용되는 정보 시스템의 가상 인프라 제공 및 운영 상태 유지.
      4. 정보 시스템 애플리케이션을 호스팅하기 위한 플랫폼 제공 및 운영 상태 유지.
      5. 의료 데이터를 포함한 정보 시스템의 관리 및 운영.
      6. 의료 데이터 백업.

중요 — 물리적 호스팅(활동 1 및 2)의 데이터 레지던시: HDSv2 프레임워크에서는 활동 1 및 2에 대해 의료 데이터를 유럽경제지역(EEA) 내에서만 물리적으로 저장하도록 요구합니다. 즉, HDS 요구 사항이 적용되는 경우 저장 대상 의료 데이터는 아래 나열된 EEA 리전 중 하나에 있어야 합니다. 활동 3~6(가상 인프라, 플랫폼 호스팅, 관리/운영, 백업)은 이러한 지리적 제한이 적용되지 않으며, 인증된 모든 리전에서 제공될 수 있습니다.

유럽(EEA) — 모든 활동(1~6) 대상

• 유럽(독일 프랑크푸르트)
• 유럽(아일랜드)
• 유럽(이탈리아 밀라노)
• 유럽(프랑스 파리)
• 유럽(스페인)
• 유럽(스웨덴 스톡홀름)

유럽(EEA 외 지역) — 활동 3~6만 대상

• 유럽(영국 런던)
• 유럽(스위스 취리히)

미주 — 활동 3~6만 대상

• 미국 동부(버지니아 북부)
• 미국 동부(오하이오)
• 미국 서부(오레곤)
• 미국 서부(캘리포니아 북부)
• 캐나다(중부)
• 캐나다 서부(캘거리)
• 남아메리카(브라질 상파울루)

아시아 태평양 및 오세아니아 — 활동 3~6만 대상

• 아시아 태평양(일본 도쿄)
• 아시아 태평양(호주 시드니)
• 아시아 태평양(호주 멜버른)
• 아시아 태평양(싱가포르)
• 아시아 태평양(인도 뭄바이)
• 아시아 태평양(대한민국 서울)
• 아시아 태평양(홍콩)
• 아시아 태평양(인도네시아 자카르타)
• 아시아 태평양(일본 오사카)
• 아시아 태평양(인도 하이데라바드)

중동 및 이스라엘 — 활동 3~6만 대상

• 중동(UAE 두바이)
• 이스라엘(텔아비브)

HDS 인증을 받으려는 IT 공급자는 ISO 27001 인증을 획득해야 합니다. AWS ISO 27001 인증 범위에 속하는 서비스는 HDS 범위에도 포함됩니다. ISO/IEC 27001:2022 범위에 포함되는 AWS 서비스는 ISO 인증 웹 페이지에서 확인하실 수 있습니다.

공동 책임 모델에 따라, 자사의 규정 준수 요구 사항을 평가할 책임은 고객에게 있습니다. 자세한 내용은 ANS 웹 사이트를 검토하세요. HDS 표준은 ANS 웹 사이트에서 확인하실 수 있습니다.

AWS의 HDS 인증은 공동 책임 모델에 따라 ‘클라우드 자체의 보안’을 입증함으로써 고객이 자사 HDS 인증 프로세스와 관련하여 ‘클라우드 내의 보안’과 관련한 항목에 리소스를 집중적으로 투입하도록 지원합니다.

예. AWS HDSv2 인증서는 AWS Artifact에서 다운로드할 수 있습니다. 인증 호스트 목록은 ANS 웹 사이트에서 확인하실 수 있습니다.

AWS European Sovereign Cloud는 HDS v2.0 인증 범위에 아직 포함되어 있지 않습니다. 이 리전은 기본적인 규정 준수 인증(ISO 27001, SOC 2, C5)을 이미 획득했으며, AWS는 이 리전을 HDS 인증 범위에 포함하는 방안을 검토하고 있습니다. 추가 업데이트는 추후 제공될 예정입니다.

HDS 인증 호스팅 활동에 참여하는 모든 처리업체에 대한 중앙 집중식 참조 정보는 AWS 하위 처리업체 페이지에서 확인할 수 있습니다. 또한 고객은 ANS 웹 사이트를 통해 인증 증명 정보를 열람할 수 있으며, 여기에서 HDS 인증 호스팅 활동에 관여하는 하위 처리업체의 공식 인증 현황과 세부 정보를 확인할 수 있습니다.

이를 통해 고객은 AWS의 HDS 규정 준수 인프라 내에서 의료 데이터를 처리하는 모든 하위 처리업체의 규정 준수 현황과 인증 현황을 중앙에서 일괄적으로 명확하게 확인할 수 있습니다.

AWS는 고객이 여러 업계 표준 형식으로 의료 데이터를 검색하고 잘 문서화된 방법을 사용해 워크로드를 마이그레이션할 수 있도록 포괄적인 데이터 이동성과 고객 제어 메커니즘을 유지합니다.

고객 데이터 소유권 및 제어

AWS 공동 책임 모델, AWS 이용계약(섹션 6.1), HDS v2 부속 계약(섹션 12)에 따라 고객은 자신의 콘텐츠에 대한 완전한 소유권과 통제권을 갖습니다. AWS는 AWS의 지원 없이도 기본 서비스 기능을 사용해 언제든지 데이터를 검색할 수 있는 기능을 제공합니다.

주요 이동성 기능

• 계약 조항: 프랑스 공중보건정책법에서는 의료 데이터 호스팅 제공업체와 고객 간에 특정 계약 조건을 체결하도록 요구합니다. AWS 고객은 AWS 데이터 처리 부속 계약(AWS DPA) 및 해당되는 특정 약관을 참조할 수 있습니다.
• 의료 및 생명 과학: AWS는 의료 부문을 위한 참조 아키텍처, 모범 사례 가이드, 전문 솔루션을 제공합니다. 자세한 내용은 AWS for Health에서 확인하세요.
• AWS Landing Zone Accelerator for Healthcare: HDS 규정을 준수하는 인프라 배포를 위한 참조 구현입니다. 자세한 내용은 GitHub에서 확인하세요.