Conformidade com a HIPAA

Visão geral

HIPAA-sized

Um número grande e crescente de prestadoras de serviços de saúde, pagantes e profissionais de TI estão usando os serviços de nuvem com base em utilitários da AWS para processar, armazenar e transmitir PHI.

A AWS permite que entidades com cobertura e seus associados sujeitos à Health Insurance Portability and Accountability Act (HIPAA – Lei de portabilidade e responsabilidade de seguros de saúde) dos EUA se beneficiem do ambiente seguro da AWS para processar, manter e armazenar informações protegidas relacionadas à saúde.

A AWS oferece um whitepaper sobre a HIPAA para os clientes interessados em saber mais sobre como podem utilizar a AWS para processar e armazenar informações de saúde. O whitepaper "Como criar aplicativos de dados médicos compatíveis com a HIPAA na AWS" descreve como as empresas podem usar a AWS para processar sistemas que facilitam a compatibilidade com a HIPAA e a HITECH.

Clientes das áreas de saúde e ciências biológicas da AWS

  • O que são HIPAA e HITECH?

    A HIPAA foi aprovada em 1996. A legislação foi desenvolvida para facilitar para os trabalhadores manter cobertura de seguro de saúde quando mudam de emprego ou são demitidos. A legislação também procurou estimular a adoção de registros de saúde eletrônicos para melhorar a eficiência e a qualidade do sistema de assistência média dos EUA através do compartilhamento de informações melhorado.

    Junto com o aumento do uso de registros médicos eletrônicos, a lei incluiu a proteção da segurança e privacidade de informações de saúde protegidas (PHI, Protected Health Information). As PHI incluem um amplo conjunto de dados de saúde ou relacionados à saúde identificáveis pessoalmente, de informações de seguro e cobrança a dados de diagnóstico, dados de tratamentos clínicos e resultados de laboratórios, como imagens e resultados de exames. As regras aplicam-se às "Entidades Cobertas", que incluem hospitais, provedores de serviços médicos, planos de saúde oferecidos pelo empregador, instalações de pesquisas e seguradoras que tratam diretamente com pacientes e dados de pacientes. A lei e os regulamentos também estendem o requisito de proteger as PHI para "Associados Comerciais".

    A HIPAA foi expandida pela Lei de tecnologia da informação para saúde clínica e econômica em 2009. A HIPAA e a HITECH estabelecem um conjunto de normas federais destinadas a proteger a segurança e a privacidade das PHI. Essas disposições estão incluídas no que é conhecido como regras de "Simplificação Administrativa". A HIPAA e a HITECH impõem requisitos relacionados ao uso e à divulgação das PHI, medidas adequadas para proteção das PHI, direitos individuais e responsabilidades administrativas. Para obter informações adicionais sobre como a HIPAA e a HITECH protegem as informações de saúde, acesse: http://www.hhs.gov/ocr/privacy/hipaa/understanding/index.html

  • O que é a HITRUST?

    A Aliança de Informações de Segurança, ou estrutura de segurança comum (CSF) HITRUST, em suas próprias palavras, "é uma estrutura certificável que oferece às organizações uma abordagem abrangente, flexível e eficiente para conformidade com regulamentações e gerenciamento de risco. Desenvolvida em colaboração com profissionais da área de saúde e de segurança das informações, a CSF HITRUST racionaliza regulamentos e normas de saúde em uma estrutura de segurança abrangente."

    A CSF HITRUST unifica controles de segurança da lei federal, como HIPAA/HITECH, leis estaduais, como Massachusetts e estruturas não governamentais, como COBIT e PCI DSS, em uma única estrutura adaptada para as necessidades e o uso na área de saúde.

    A AWS disponibiliza uma plataforma de computação confiável, escalável e econômica capaz de apoiar aplicativos de clientes de saúde de modo uniforme com HIPAA, HITECH e HITRUST CSF.

  • O que é um adendo de associado comercial?

    De acordo com a Lei de Portabilidade e Responsabilidade de Seguro de Saúde (HIPAA), um "associado comercial" é uma pessoa ou entidade que desempenha funções ou atividades em nome de, ou oferece determinados serviços a, uma entidade coberta e não é um funcionário de tal entidade. Um "associado comercial" também inclui um subcontratado que cria, recebe, mantém ou transmite informações de saúde protegidas em nome de outro associado comercial – de acordo com as regulamentos da HIPAA, provedores de serviço de nuvem como a AWS são considerados associados comerciais. As regras da HIPAA geralmente requerem que as entidades cobertas e os associados comerciais assinem contratos para garantir que os associados comerciais guardem corretamente as informações de saúde protegidas. O contrato de associado comercial também serve para esclarecer e limitar, conforme a necessidade, os usos e divulgações permitidas de informações de saúde protegidas pelo associado comercial, com base no relacionamento entre as partes e as atividades ou serviços sendo executados pelo associado. A AWS denomina esses contratos como adendos de associado comercial.

  • A AWS assinará um adendo de associado comercial como descrito nas regras e regulamentos da HIPAA?

    Sim. A AWS tem um adendo de associado comercial padrão que apresentaremos aos clientes para assinatura. Esse adendo considera os serviços exclusivos que a AWS oferece e acomoda o modelo de responsabilidade compartilhada da AWS.

    Você pode usar o AWS Artifact para revisar, aceitar e gerenciar o status do adendo de associado comercial (BAA) da sua conta.

    Vídeo detalhado
    Você está vendo uma mensagem de erro?
    BAAs offline
    Encerre o BAA online
  • A AWS tem a certificação da HIPAA?

    Não há certificação da HIPAA para um provedor de nuvem comercial como a AWS. De forma a atender aos requisitos da HIPAA aplicáveis ao nosso modelo operacional, a AWS alinha nosso programa de gerenciamento de risco da HIPAA com o FedRAMP e o NIST 800-53, uma norma de segurança superior que mapeia a norma de segurança da HIPAA. O NIST aceita este alinhamento e emitiu a SP 800-66, "An Introductory Resource Guide for Implementing the HIPAA Security Rule", que documenta como o NIST 800-53 está alinhado à regra de segurança da HIPAA.

  • Quais serviços posso usar na minha conta da AWS se tenho um BAA com a AWS?

    Os clientes podem usar qualquer serviço da AWS em uma conta designada como uma conta da HIPAA, mas devem apenas processar, armazenar e transmitir PHI nos serviços qualificados pela HIPAA, definidos no BAA. A página de referência de serviços qualificados pela HIPAA apresenta a lista de serviços qualificados por ela.

    A AWS segue um programa de gerenciamento de risco baseado em padrões para garantir que os serviços qualificados pela HIPAA suportem especificamente os processos de segurança, controle e administração exigidos de acordo com a HIPAA. O uso desses serviços para armazenar e processar as PHI permite que nossos clientes e a AWS atendam aos requisitos da HIPAA aplicáveis ao nosso modelo operacional baseado em utilitários. A AWS prioriza e adiciona novos serviços qualificados com base na demanda do cliente.

    Para obter mais informações sobre nosso programa de associado comercial ou para solicitar novos serviços qualificados, entre em contato conosco.

  • Se você é um parceiro de SaaS da AWS com um BAA e vende suas soluções de SaaS a provedores de saúde ou outras entidades cobertas, essas entidades também precisam assinar um BAA com a AWS?

    Não. Este é um cenário bastante comum e há vários parceiros de solução de HIPAAA inovadores operando suas ofertas de SaaS na AWS. Neste caso, cada provedor de saúde ou entidade coberta estabeleceria um BAA apenas com o parceiro de SaaS, e o parceiro de SaaS estabeleceria um BAA com a AWS. Se a entidade coberta usando o parceiro de SaaS também é um cliente direto da AWS para sistemas relacionados à HIPAA, então a entidade coberta pode precisar de um BAA com o parceiro de SaaS e outro BAA com a AWS.

  • O que mudou no programa de compatibilidade com a HIPAA da AWS?

    A partir de 15 maio de 2017, os clientes da AWS e os parceiros do APN que tiverem assinado um Business Associate Addendum (BAA – Adendo de associado comercial) com a AWS não serão mais obrigados a usar as instâncias ou os hosts dedicados do Amazon EC2 para processar Protected Health Information (PHI – Informações protegidas relacionadas à saúde). Anteriormente, o programa de conformidade com a HIPAA da AWS exigia que os clientes que processassem PHI usando o Amazon EC2 utilizassem instâncias ou hosts dedicados. Essa exigência não existe mais.

compliance-contactus-icon
Dúvidas? Entre em contato com um representante de conformidade da AWS
Você está explorando funções de conformidade?
Inscreva-se hoje »
Você quer ficar atualizado sobre a conformidade da AWS?
Siga-nos no Twitter »