HIPAA

Visão geral

HIPAA-sized

Um número crescente de prestadoras de serviços de saúde, pagantes e profissionais de TI estão usando os serviços de nuvem com base em utilitários da AWS para processar, armazenar e transmitir Protected Health Information (PHI – Informações de saúde protegidas).

A AWS permite que entidades com cobertura e seus associados sujeitos à Health Insurance Portability and Accountability Act (HIPAA – Lei de portabilidade e responsabilidade de provedores de saúde) de 1996 dos EUA se beneficiem do ambiente seguro da AWS para processamento, manutenção e armazenamento de informações protegidas relacionadas à saúde.

Para obter informações detalhadas sobre como usar a AWS para o processamento e armazenamento de informações de saúde, consulte o whitepaper Arquitetura para segurança e conformidade com a HIPAA na Amazon Web Services.

Clientes das áreas de saúde e ciências biológicas da AWS

  • O que são HIPAA e HITECH?

    A Health Insurance Portability and Accountability Act (HIPAA – Lei de portabilidade e responsabilidade de provedores de saúde) de 1996 é uma legislação criada para facilitar a retenção da cobertura de seguros de saúde por trabalhadores dos EUA que mudam de trabalho ou são demitidos. A legislação também procurou estimular a adoção de registros de saúde eletrônicos para melhorar a eficiência e a qualidade do sistema de assistência média dos EUA através do compartilhamento de informações melhorado.

    Junto com o aumento do uso de registros médicos eletrônicos, a HIPAA incluiu a proteção da segurança e privacidade de Protected Health Information (PHI – Informações de saúde protegidas). As PHI incluem um amplo conjunto de dados de saúde ou relacionados à saúde identificáveis pessoalmente, incluindo informações de seguro e cobrança, dados de diagnóstico, dados de tratamentos clínicos e resultados de laboratórios, como imagens e resultados de exames. As regras da HIPAA aplicam-se às entidades cobertas, que incluem hospitais, provedores de serviços médicos, planos de saúde oferecidos pelo empregador, instalações de pesquisas e seguradoras que tratam diretamente com pacientes e dados de pacientes. Os requisitos da HIPAA para proteger PHI também se estendem aos associados comerciais.

    A Health Information Technology for Economic and Clinical Health Act (HITECH – Lei de Tecnologia da Informação para Saúde Econômica e Clínica) ampliou as regras da HIPAA em 2009. A HIPAA e a HITECH estabelecem juntas um conjunto de normas federais destinadas a proteger a segurança e a privacidade das PHI. Essas disposições estão incluídas no que é conhecido como regras de “Simplificação Administrativa”. A HIPAA e a HITECH impõem requisitos relacionados ao uso e à divulgação das PHI, medidas adequadas para proteção das PHI, direitos individuais e responsabilidades administrativas.

    Para obter mais informações sobre como a HIPAA e a HITECH protegem informações sobre saúde, consulte a página Health Information Privacy do Departamento de Saúde e Serviços Humanos dos EUA.

  • O que é a HITRUST?

    O Common Security Framework (CSF) da The Health Information Trust Alliance (HITRUST), em suas próprias palavras, “é uma estrutura certificável que oferece às organizações uma abordagem abrangente, flexível e eficiente para conformidade com regulamentações e gerenciamento de risco. Desenvolvida em colaboração com profissionais da área de saúde e de segurança das informações, a HITRUST CSF racionaliza regulamentos e normas de saúde em uma estrutura de segurança abrangente.”

    A HITRUST CSF unifica controles de segurança de leis federais (como HIPAA e HITECH), leis estaduais (como Standards for the Protection of Personal Information of Residents of the Commonwealth de Massachusetts) e estruturas não governamentais (como o PCI Security Standards Council) em uma única estrutura, personalizadas de acordo com as necessidades da área de saúde.

    A AWS disponibiliza uma plataforma de computação confiável, escalável e econômica capaz de apoiar aplicativos de clientes de saúde de modo uniforme com HIPAA, HITECH e HITRUST CSF.

  • O que é um adendo de associado comercial?

    Nos termos dos regulamentos da HIPAA, os provedores de serviços de nuvem (CSPs) como a AWS são considerados associados comerciais. O Business Associate Addendum (BAA – Adendo de associado comercial) é um contrato da AWS, obrigatório nos termos das regras da HIPAA, para garantir que a AWS protege Protected Health Information (PHI – Informações de saúde protegidas) de forma adequada. Além disso o BAA serve para clarificar e limitar, conforme o caso, os usos e as divulgações permissíveis de PHI pela AWS de acordo com a relação entre a AWS e nossos clientes, bem como as atividades ou serviços executados pela AWS.

  • A AWS assinará um Adendo de associado comercial como descrito nas regras e regulamentos da HIPAA?

    Sim. A AWS tem um Business Associate Addendum (BAA – Adendo de associado comercial) que apresenta aos clientes para assinatura. Esse acordo considera os serviços exclusivos que a AWS oferece e acomoda o modelo de responsabilidade compartilhada da AWS.

    Para revisar, aceitar e gerenciar o status do BAA para sua conta, faça login no AWS Artifact no Console de Gerenciamento da AWS. Se você não conseguir acessar a sua conta, solicita uma conta gratuita do IAM de seu administrador e acesso às políticas do IAM para o Artifact.

    Step-by-step: Learn how to use AWS Artifact to accept agreements for multiple accounts in your org. (2min07s)

    Veja como usar o AWS Artifact para aceitar um contrato para a sua conta. (1min39s)

  • A AWS é certificada pela HIPAA?

    Não há certificação da HIPAA para um provedor de serviços de nuvem como a AWS. De forma a atender aos requisitos da HIPAA aplicáveis ao nosso modelo operacional, a AWS alinha nosso programa de gerenciamento de risco da HIPAA com o FedRAMP e o NIST 800-53, que são normas de segurança mais abrangentes relacionadas à regra de segurança da HIPAA. O NIST aceita este alinhamento e emitiu a SP 800-66, An Introductory Resource Guide for Implementing the HIPAA Security Rule, que documenta como o NIST 800-53 está alinhado à regra de segurança da HIPAA.

  • Quais serviços posso usar na minha conta da AWS se tenho um Adendo de associado comercial com a AWS?

    Os clientes podem usar qualquer serviço da AWS em uma conta designada como uma conta da HIPAA, mas devem apenas processar, armazenar e transmitir informações protegidas de saúde (PHI) nos serviços qualificados pela HIPAA, definidos no Adendo de associado comercial (BAA). Para obter a lista mais recente dos serviços da AWS qualificados para a HIPAA, consulte a página Referência de serviços qualificados pela HIPAA.

    A AWS segue um programa de gerenciamento de risco baseado em padrões para garantir que os serviços qualificados pela HIPAA suportem especificamente os processos de segurança, controle e administração exigidos de acordo com a HIPAA. O uso desses serviços para armazenar e processar as PHI permite que nossos clientes e a AWS atendam aos requisitos da HIPAA aplicáveis ao nosso modelo operacional baseado em utilitários. A AWS prioriza e adiciona novos serviços qualificados com base na demanda do cliente.

    Para obter mais informações sobre nosso programa de associado comercial ou para solicitar novos serviços qualificados, entre em contato conosco.

  • Sou um parceiro de SaaS da AWS com um BAA e vendo soluções de SaaS para provedores de saúde ou outras entidades cobertas. Essas entidades cobertas também precisam assinar um BAA com a AWS?

    Não. Esse cenário é bastante comum e vários parceiros de soluções de HIPAA executam ofertas de software como serviço (SaaS) na AWS. Você, como parceiros de SaaS da AWS, assina um Adendo de associado comercial (BAA) com a AWS. Em seguida, cada provedor de saúde ou entidade coberta assina um BAA com você, o parceiro de SaaS da AWS. Se a entidade coberta usando soluções de SaaS também é um cliente direto da AWS para sistemas relacionados à HIPAA, então a entidade coberta pode precisar de um BAA com o parceiro de SaaS e outro BAA com a AWS.

  • O programa de conformidade com a HIPAA da AWS exige que eu use instâncias dedicadas ou hosts dedicados do Amazon EC2 para processar informações de saúde protegidas?

    Os clientes da AWS e os parceiros da rede de parceiros da Amazon (APN) que assinarem um Adendo de associado comercial (BAA) com a AWS não precisam usar instâncias dedicadas ou hosts dedicados do Amazon Elastic Compute Cloud (EC2) para processar informações de saúde protegidas (PHI). Até 15 de maio de 2017, o programa de conformidade da AWS com a HIPAA exigia que os clientes que processavam PHI usando o Amazon EC2 usassem instâncias dedicadas ou hosts dedicados, mas esse requisito foi removido.

compliance-contactus-icon
Dúvidas? Entre em contato com um representante comercial da AWS
Você está explorando funções de conformidade?
Inscreva-se hoje »
Você quer ficar atualizado sobre a Conformidade da AWS?
Siga-nos no Twitter »