HIPAA

Visão geral

Um número crescente de prestadoras de serviços de saúde, pagantes e profissionais de TI estão usando os serviços de nuvem com base em utilitários da AWS para processar, armazenar e transmitir Protected Health Information (PHI – Informações de saúde protegidas).

A AWS permite que as entidades cobertas e seus associados comerciais sujeitos à lei Health Insurance Portability and Accountability Act (HIPAA – Lei de portabilidade e responsabilidade de provedores de saúde) de 1996 dos EUA se beneficiem do ambiente seguro da AWS para processamento, manutenção e armazenamento de informações protegidas relacionadas à saúde.

Para obter informações detalhadas sobre como usar a AWS para o processamento e armazenamento de informações de saúde, consulte o whitepaper Architecting for HIPAA Security and Compliance on Amazon Web Services.

Clientes das áreas de saúde e ciências biológicas da AWS

• O que são HIPAA e HITECH?

  A Health Insurance Portability and Accountability Act (HIPAA – Lei de portabilidade e responsabilidade de provedores de saúde) de 1996 é uma lei criada para facilitar a retenção da cobertura de seguros de saúde por trabalhadores dos EUA que mudam de trabalho ou que são demitidos. A legislação também procurou estimular a adoção de prontuários médicos eletrônicos para melhorar a eficiência e a qualidade do sistema de assistência média dos EUA por meio do compartilhamento de informações aperfeiçoado.

  Junto com o aumento do uso de prontuários médicos eletrônicos, a HIPAA incluiu a proteção da segurança e privacidade de Protected Health Information (PHI – Informações de saúde protegidas). As PHI incluem um amplo conjunto de dados de saúde ou relacionados à saúde identificáveis pessoalmente, incluindo informações de seguro e cobrança, dados de diagnóstico, dados de tratamentos clínicos e resultados laboratoriais, como imagens e resultados de exames. As regras da HIPAA aplicam-se às entidades cobertas, incluindo hospitais, prestadores de serviços médicos, planos de saúde oferecidos pelo empregador, instalações de pesquisas e seguradoras que tratam diretamente com pacientes e dados de pacientes. Os requisitos da HIPAA para proteger as PHI também se estendem aos associados comerciais.

  A Health Information Technology for Economic and Clinical Health Act (HITECH – Lei de tecnologia da informação para saúde econômica e clínica) ampliou as regras da HIPAA em 2009. A HIPAA e a HITECH estabelecem juntas um conjunto de normas federais destinadas a proteger a segurança e a privacidade das PHI. Essas disposições estão incluídas no que é chamado de regras de “Simplificação administrativa”. A HIPAA e a HITECH impõem requisitos relacionados ao uso e à divulgação das PHI, medidas adequadas para proteção das PHI, direitos individuais e responsabilidades administrativas.

  Para obter mais informações sobre como a HIPAA e a HITECH protegem informações sobre saúde, consulte a página Health Information Privacy do Departamento de Saúde e Serviços Humanos dos EUA.
  

• O que é a HITRUST?

  O Common Security Framework (CSF) da The Health Information Trust Alliance (HITRUST), em suas próprias palavras, “é uma estrutura certificável que oferece às organizações uma abordagem abrangente, flexível e eficiente para conformidade com regulamentações e gerenciamento de risco. Desenvolvida em colaboração com profissionais da área de saúde e de segurança da informação, a HITRUST CSF racionaliza regulamentos e normas de saúde em uma estrutura de segurança abrangente.”

  A HITRUST CSF unifica controles de segurança de leis federais (como HIPAA e HITECH), leis estaduais (como Standards for the Protection of Personal Information of Residents of the Commonwealth, de Massachusetts) e estruturas não governamentais (como o PCI Security Standards Council) em uma única estrutura, personalizada de acordo com as necessidades da área de saúde.

  A AWS disponibiliza uma plataforma de computação confiável, escalável e econômica capaz de oferecer suporte a aplicativos de clientes de saúde de modo consistente com HIPAA, HITECH e HITRUST CSF.
  

• O que é um adendo de associado comercial?

  Nos termos dos regulamentos da HIPAA, os provedores de serviços de nuvem (CSPs) como a AWS são considerados associados comerciais. O Business Associate Addendum (BAA – Adendo de associado comercial) é um contrato da AWS, obrigatório nos termos das regras da HIPAA, para garantir que a AWS protege Protected Health Information (PHI – Informações de saúde protegidas) de forma adequada. Além disso, o BAA serve para esclarecer e limitar, conforme o caso, os usos e as divulgações permissíveis de PHI pela AWS de acordo com a relação entre a AWS e nossos clientes, bem como as atividades ou serviços executados pela AWS.
  

• A AWS assinará um Adendo de associado comercial como descrito nas regras e regulamentos da HIPAA?

  Sim. A AWS tem um Business Associate Addendum (BAA – Adendo de associado comercial) que apresenta aos clientes para assinatura. Esse acordo considera os serviços exclusivos que a AWS oferece e acomoda o modelo de responsabilidade compartilhada da AWS.

  Para revisar, aceitar e gerenciar o status do BAA para sua conta, faça login no AWS Artifact no Console de Gerenciamento da AWS. Se você não conseguir acessar a sua conta, solicite uma conta gratuita do IAM para seu administrador e solicite acesso às políticas do IAM para o Artifact.
  

  Passo a passo: Saiba como usar o AWS Artifact para aceitar acordos para várias contas em sua organização. (2:07)
  

  Veja como usar o AWS Artifact para aceitar um contrato para a sua conta. (1:39)
  

• A AWS é certificada pela HIPAA?

  Não há certificação da HIPAA para um provedor de serviços de nuvem (CSP) como a AWS. Para atender aos requisitos da HIPAA aplicáveis ao nosso modelo operacional, a AWS alinha nosso programa de gerenciamento de risco da HIPAA com a FedRAMP e a NIST 800-53, que são normas de segurança mais abrangentes relacionadas à regra de segurança da HIPAA. A NIST aceita esse alinhamento e lançou o guia SP 800-66, An Introductory Resource Guide for Implementing the HIPAA Security Rule, que documenta como a NIST 800-53 está alinhada à regra de segurança da HIPAA.

• Quais serviços poderei usar na minha conta da AWS se eu tiver um Adendo de associado comercial com a AWS?

  Os clientes podem usar qualquer serviço da AWS em uma conta designada como uma conta da HIPAA, mas devem apenas processar, armazenar e transmitir informações protegidas de saúde (PHI) nos serviços qualificados pela HIPAA definidos no Adendo de associado comercial (BAA). Para obter a lista mais recente dos serviços da AWS qualificados para a HIPAA, consulte a página Referência de serviços qualificados pela HIPAA.

  A AWS segue um programa de gerenciamento de risco baseado em normas para garantir que os serviços qualificados pela HIPAA ofereçam suporte especificamente aos processos de segurança, controle e administração exigidos de acordo com a HIPAA. O uso desses serviços para armazenar e processar as PHI permite que nossos clientes e a AWS atendam aos requisitos da HIPAA aplicáveis ao nosso modelo operacional baseado em utilitários. A AWS prioriza e adiciona novos serviços qualificados com base na demanda do cliente.

  Para obter mais informações sobre nosso programa de associado comercial ou para solicitar novos serviços qualificados, entre em contato conosco.
  

• Sou parceiro de SaaS da AWS com um BAA e vendo soluções de SaaS para provedores de saúde ou outras entidades cobertas. Essas entidades cobertas também precisam assinar um BAA com a AWS?

  Não. Esse cenário é bastante comum e vários parceiros de soluções de HIPAA executam ofertas de software como serviço (SaaS) na AWS. Você, como parceiros de SaaS da AWS, assina um Adendo de associado comercial (BAA) com a AWS. Em seguida, cada provedor de saúde ou entidade coberta assina um BAA com você, o parceiro de SaaS da AWS. Se a entidade coberta usando soluções de SaaS também for cliente direto da AWS para sistemas relacionados à HIPAA, a entidade coberta poderá precisar de um BAA com o parceiro de SaaS e de outro BAA com a AWS.
  

• O programa de conformidade com a HIPAA da AWS exige que eu use instâncias dedicadas ou hosts dedicados do Amazon EC2 para processar informações de saúde protegidas?

  Os clientes da AWS e os parceiros da rede de parceiros da Amazon (APN) que assinarem um Adendo de associado comercial (BAA) com a AWS não precisam usar instâncias dedicadas ou hosts dedicados do Amazon Elastic Compute Cloud (EC2) para processar informações de saúde protegidas (PHI). Até 15 de maio de 2017, o programa de conformidade da AWS com a HIPAA exigia que os clientes que processavam PHI usando o Amazon EC2 usassem instâncias dedicadas ou hosts dedicados, mas esse requisito foi removido.