AWS를 사용하여 HIPAA(미국 건강 보험 양도 및 책임에 관한 법)에 따라 규제되는 민감한 워크로드를 실행할 수 있습니다. HIPAA에서 정의한 PHI(보호 대상 의료 정보)를 AWS 서비스에 포함시킬 계획이라면 우선 반드시 AWS BAA(Business Associate Addendum)를 수락해야 합니다. 귀하의 AWS BAA 상태는 AWS Artifact에서 제공되는 셀프 서비스를 통해 검토, 수락 및 확인할 수 있습니다.
모든 AWS 서비스를 의료 서비스 애플리케이션에 대해 사용할 수 있지만, AWS BAA에 포함된 서비스만 HIPAA 하의 PHI(보호 대상 의료 정보)를 저장, 처리 및 전송하는 데 사용할 수 있습니다.
HIPAA 애플리케이션에 AWS를 사용한다는 것은 다음과 같은 일반 전략을 따른다는 의미입니다.
- 보호 대상 데이터를 처리/오케스트레이션에서 분리
- 자동화를 통해 데이터의 흐름을 추적
- 보호 대상 워크플로와 일반 워크플로 간에 논리적 경계 설정
다음은 일반 아키텍처 패턴의 예입니다. 신중하게 세부 사항을 검토하고, 구현하기 전에 AWS 또는 내부 규정 준수 부서와 상담하는 것이 좋습니다.
예 1: PHI 데이터와 PHI가 아닌 데이터용 Amazon Virtual Private Cloud(VPC)를 분리합니다. VPC A는 모바일 앱을 테스트하는 데 사용하고 VPC B는 PHI를 저장하고 처리하는 데 사용합니다. PHI는 VPC B에서 VPC A로 이동하지 않습니다. 참고: VPC A는 HIPAA 지침에 따라 설계되어야 합니다.
예 2: 간접 전략. S3 Transfer Acceleration을 통해 PHI가 포함된 새로운 객체가 S3에 작성될 때, S3 트리거가 적절한 메타데이터를 Amazon SQS 대기열에 쓰도록 AWS Lambda에 신호를 보냅니다. Amazon EC2에서 실행되는 서비스가 SQS 대기열을 폴링하고, 새로운 데이터를 사용할 수 있는 경우에 S3에서 PHI 데이터를 가져옵니다. 두 번째 Lambda 함수가 모바일 알림을 트리거하여 데이터 처리가 시작되었음을 알립니다. 이 예에서는 S3와 EC2만 사용하여 모든 PHI 데이터를 저장, 처리 및 전송합니다. Lambda와 SQS는 서비스를 오케스트레이션하거나 작업이 시작되어야 할 때 알림을 전송하는 용도로만 사용됩니다.
AWS 영업 팀 및 아키텍처 부서와의 상담을 통해 시작하거나 자체적으로 시험 운영을 시작할 수 있도록 도와드립니다.