Gostaria de informações sobre a HIPAA na Nuvem

 

 

AWS HIPAA

Um número grade e crescente de provedores de saúde, pagantes e profissionais de TI estão usando os serviços de nuvem baseado em utilitários da AWS para processar, armazenar e transmitir PHI.

A AWS permite que entidades com cobertura e seus associados sujeitos à HIPAA (Health Insurance Portability and Accountability Act, Lei de Portabilidade e Responsabilidade de Seguros de Saúde) dos EUA se beneficiem do ambiente seguro da AWS para processamento, manutenção e armazenamento de informações protegidas relacionadas à saúde.

A AWS oferece um whitepaper sobre a HIPAA para os clientes interessados em saber mais sobre como podem aproveitar a AWS para o processamento e armazenamento de informações de saúde. O whitepaper "Creating HIPAA-Compliant Medical Data Applications with AWS" descreve como as empresas podem usar a AWS para processar sistemas que facilitam a conformidade com a HIPAA e a HITECH.

Você quer começar a usar o AWS Artifact? Leia as instruções detalhadas por escrito » 

Não consegue acessar a sua conta? Solicite ao administrador uma conta gratuita do IAM com acesso a políticas de IAM do Artifact.

Vídeo detalhado (2:15)

Security-Identity-Compliance_AWS Artifact

BAAs offline (1:45)

Security-Identity-Compliance_AWS Artifact

Você está vendo uma mensagem de erro? (0:55)

Security-Identity-Compliance_AWS Artifact

Encerre o BAA online (1:30)

Security-Identity-Compliance_AWS Artifact
Build_HIPAA_Solutions
Build_Regulated_Workloads

A Lei de Portabilidade e Responsabilidade de Provedores de Saúde (HIPAA) foi aprovada em 1996. A legislação foi desenvolvida para facilitar para os trabalhadores manter cobertura de seguro de saúde quando mudam de emprego ou são demitidos. A legislação também procurou estimular a adoção de registros de saúde eletrônicos para melhorar a eficiência e a qualidade do sistema de assistência média dos EUA através do compartilhamento de informações melhorado.

Junto com o aumento do uso de registros médicos eletrônicos, a lei incluiu a proteção da segurança e privacidade de informações de saúde protegidas (PHI, Protected Health Information). As PHI incluem um amplo conjunto de dados de saúde ou relacionados à saúde identificáveis pessoalmente, de informações de seguro e cobrança a dados de diagnóstico, dados de tratamentos clínicos e resultados de laboratórios, como imagens e resultados de exames. As regras aplicam-se às "Entidades Cobertas", que incluem hospitais, provedores de serviços médicos, planos de saúde oferecidos pelo empregador, instalações de pesquisas e seguradoras que tratam diretamente com pacientes e dados de pacientes. A lei e os regulamentos também estendem o requisito de proteger as PHI para "Associados Comerciais".

A HIPAA foi expandida pela Lei de Tecnologia da Informação para Saúde Clínica e Econômica em 2009. A HIPAA e a HITECH estabelecem um conjunto de normas federais destinadas a proteger a segurança e a privacidade das PHI. Essas disposições estão incluídas no que é conhecido como regras de "Simplificação Administrativa". A HIPAA e a HITECH impõem requisitos relacionados ao uso e à divulgação das PHI, medidas adequadas para proteção das PHI, direitos individuais e responsabilidades administrativas. Para obter informações adicionais sobre como a HIPAA e a HITECH protegem as informações de saúde, acesse: http://www.hhs.gov/ocr/privacy/hipaa/understanding/index.html

A Aliança de Informações de Segurança, ou estrutura de segurança comum (CSF) HITRUST, em suas próprias palavras, "é uma estrutura certificável que oferece às organizações uma abordagem abrangente, flexível e eficiente para conformidade com regulamentações e gerenciamento de risco. Desenvolvida em colaboração com profissionais da área de saúde e de segurança das informações, a CSF HITRUST racionaliza regulamentos e normas de saúde em uma estrutura de segurança abrangente."

A CSF HITRUST serve para unificar controles de segurança da lei federal, como HIPAA/HITECH, leis estaduais, como Massachusetts e estruturas não governamentais, como COBIT e PCI-DSS em uma única estrutura adaptada para as necessidades e o uso na saúde.

A AWS fornece uma plataforma de computação confiável, escalável e econômica que pode suportar aplicativos de clientes de saúda de uma maneira consistente com HIPAA, HITECH e HITRUST CSF. Como um exemplo, um de nossos clientes criou um ambiente na AWS que foi auditado com sucesso em relação à conformidade com a HIPAA/HITECH, além da certificação da HITRUST.

De acordo com a Lei de Portabilidade e Responsabilidade de Seguro de Saúde (HIPAA), um "associado comercial" é uma pessoa ou entidade que desempenha funções ou atividades em nome de, ou oferece determinados serviços a, uma entidade coberta e não é um funcionário de tal entidade. Um "associado comercial" também inclui um subcontratado que cria, recebe, mantém ou transmite informações de saúde protegidas em nome de outro associado comercial – de acordo com as regulamentos da HIPAA, provedores de serviço de nuvem como a AWS são considerados associados comerciais. As regras da HIPAA geralmente requerem que as entidades cobertas e os associados comerciais assinem contratos para garantir que os associados comerciais guardem corretamente as informações de saúde protegidas. O contrato de associado comercial também serve para esclarecer e limitar, conforme a necessidade, os usos e divulgações permitidas de informações de saúde protegidas pelo associado comercial, com base no relacionamento entre as partes e as atividades ou serviços sendo executados pelo associado. A AWS denomina esses contratos como adendos de associado comercial.

Sim. A AWS tem um adendo de associado comercial padrão que apresentaremos aos clientes para assinatura. Esse acordo considera os serviços exclusivos que a AWS oferece e acomoda o modelo de responsabilidade compartilhada da AWS.

Você pode usar o AWS Artifact para revisar, aceitar e gerenciar o status do seu adendo de associado comercial (BAA) da sua conta.

Não há certificação da HIPAA para um provedor de nuvem comercial como a AWS. De forma a atender aos requisitos da HIPAA aplicáveis ao nosso modelo operacional, a AWS alinha nosso programa de gerenciamento de risco da HIPAA com o FedRAMP e o NIST 800-53, uma norma de segurança superior que mapeia a norma de segurança da HIPAA. O NIST aceita este alinhamento e emitiu um SP 800-66, "An Introductory Resource Guide for Implementing the HIPAA Security Rule", que documenta como o NIST 800-53 está alinhado à regra de segurança da HIPAA.

Os clientes podem usar qualquer serviço da AWS em uma conta designada como uma conta da HIPAA, mas devem apenas processar, armazenar e transmitir PHI nos serviços qualificados pela HIPAA, definidos no BAA. A página HIPAA Eligible Services Reference tem a lista de serviços qualificados pela HIPAA. 

A AWS segue um programa de gerenciamento de risco baseado em padrões para garantir que os serviços qualificados pela HIPAA suportem especificamente os processos de segurança, controle e administração exigidos de acordo com a HIPAA. O uso desses serviços para armazenar e processar as PHI permite que nossos clientes e a AWS atendam aos requisitos da HIPAA aplicáveis ao nosso modelo operacional baseado em utilitários. A AWS prioriza e adiciona novos serviços qualificados com base na demanda do cliente.

Para obter mais informações sobre nosso programa de associado comercial ou para solicitar novos serviços qualificados, entre em contato conosco.

Não. Este é um cenário bastante comum e há vários parceiros de solução de HIPAAA inovadores operando suas ofertas de SaaS na AWS. Neste caso, cada provedor de saúde ou entidade coberta estabeleceria um BAA apenas com o parceiro de SaaS, e o parceiro de SaaS estabeleceria um BAA com a AWS. Se a entidade coberta usando o parceiro de SaaS também é um cliente direto da AWS para sistemas relacionados à HIPAA, então a entidade coberta pode precisar de um BAA com o parceiro de SaaS e outro BAA com a AWS.

A partir de 15 maio de 2017, os clientes da AWS e os parceiros do APN que tiverem assinado um Business Associate Addendum (BAA – Adendo de associado comercial) com a AWS não serão mais obrigados a usar as instâncias ou os hosts dedicados do Amazon EC2 para processar Protected Health Information (PHI – Informações protegidas relacionadas à saúde). Anteriormente, o programa de conformidade com a HIPAA da AWS exigia que os clientes que processassem PHI usando o Amazon EC2 utilizassem instâncias ou hosts dedicados. Essa exigência não existe mais.

A AWS oferece um whitepaper sobre a HIPAA para os clientes interessados em saber mais sobre como podem aproveitar a AWS para o processamento e armazenamento de informações de saúde. O whitepaper Creating HIPAA-Compliant Medical Data Applications with AWS descreve como as empresas podem usar a AWS para processar sistemas que facilitam a conformidade com a HIPAA e a HITECH.

Recursos da HIPAA

 

Entre em contato conosco