O uso da AWS para aplicativos em conformidade com a HIPAA exige que sejam seguidas algumas estratégias gerais, como:

• Desacoplar dados protegidos do processamento/da orquestração;
• Rastrear onde os fluxos de dados estão usando a automação;
• Ter limites lógicos entre fluxos de trabalho protegidos e gerais.

Veja abaixo exemplos de padrões comuns de arquitetura. Recomendamos que você realize o processo de due dilligence e consulte a AWS ou o seu departamento interno de conformidade antes de fazer a implementação.

Exemplo 1: separe as Amazon Virtual Private Clouds (VPCs) para dados de PHIs das que não sejam para dados de PHIs. A VPC do lado direito será usada para testar um aplicativo móvel, enquanto que a VPC do lado esquerdo armazenará e processará PHIs. As PHIs não passam da VPC do lado esquerdo para a VPC do lado direito. Observação: a VPC à esquerda deve ser arquitetada em conformidade com nossas orientações da HIPAA.

Exemplo 2: estratégia de indireção. Quando um novo objeto com PHIs for gravado no S3 por meio do S3 Transfer Acceleration, um trigger do S3 sinalizará o AWS Lambda para que ele grave os metadados pertinentes em uma fila do Amazon SQS. Um serviço em execução no Amazon EC2 pesquisará a fila do SQS e, se novos dados estiverem disponíveis, ele extrairá os dados de PHIs do S3. Uma segunda função do Lambda aciona um alerta móvel que envia uma notificação de que o processamento de dados já começou. Nesse exemplo, somente o S3 e o EC2 são usados para armazenar, processar e transmitir todos os dados de PHIs. O Lambda e o SQS são usados apenas para orquestrar serviços ou notificar quando é necessário iniciar trabalhos.