Hébergeur de Données de Santé

Сертификация HDS обеспечивает необходимую гарантию информационной безопасности для компаний, которые хотят размещать данные о здоровье французских граждан в облаке.

Сертификация HDS версии 2.0, представленная Агентством цифровой статистики в области здравоохранения (ANS) в 2024 году, усиливает безопасность и защиту персональных медицинских данных, регулируемых французским законодательством. Ключевые изменения:

• Требования к суверенитету данных, обязывающие хранить медицинские данные (виды операций 1 и 2) исключительно в Европейской экономической зоне (ЕЭЗ).
• Усиленные обязательства по прозрачности в отношении привлеченных обработчиков данных и возможного воздействия законодательства за пределами Европы.
• Соответствие европейским стандартам кибербезопасности и усиленным требованиям к возможностям переноса/обратимости обработки данных.

В соответствии с Моделью общей ответственности, клиент самостоятельно отвечает за оценку собственных применимых требований соответствия, включая влияние HDS версии 2.0. Требования HDS можно найти на веб-сайте ANS.

Сертификат HDS v1.1 был заменен сертификатом версии 2.0, полученным в рамках переходного аудита. Теперь AWS сертифицирована в соответствии с текущим фреймворком версии 2.0.

Да. AWS имеет сертификат HDSv2 в 27 регионах. Для клиентов, подпадающих под требование размещения данных в ЕЭЗ (виды операций 1 и 2), шесть регионов ЕЭЗ (Франкфурт, Ирландия, Милан, Париж, Стокгольм, Испания) обеспечивают непрерывное соблюдение требований после обязательного переходного срока 16 мая 2026 года. Все 27 сертифицированных регионов можно использовать для операций 3–6.

21 апреля 2026 года AWS получила сертификат HDSv2, охватывающий все шесть видов операций фреймворка HDS:

• Виды операций 1 и 2: физическая инфраструктура (только регионы ЕЭЗ)
      1. Предоставление и поддержание в рабочем состоянии физических площадок для размещения аппаратной инфраструктуры информационной системы, используемой для обработки медицинских данных.
      2. Предоставление и поддержание в рабочем состоянии аппаратной инфраструктуры информационной системы, используемой для обработки медицинских данных.
• Виды операций 3–6: виртуальная инфраструктура, платформа, операции и резервное копирование (все 27 сертифицированных регионов)
      3. Предоставление и поддержание в рабочем состоянии аппаратной инфраструктуры информационной системы, используемой для обработки медицинских данных.
      4. Предоставление и поддержание в рабочем состоянии платформы для размещения приложений информационных систем.
      5. Администрирование и эксплуатация информационной системы, содержащей медицинские данные.
      6. Резервное копирование медицинских данных.

Важно: локализация данных для физического хостинга (операции 1 и 2): согласно концепции HDSv2, виды операций 1 и 2 требуют физического хранения медицинских данных исключительно в Европейской экономической зоне (ЕЭЗ). Это означает, что если на вас распространяются требования HDS, место хранения ваших медицинских данных находиться в одном из перечисленных ниже регионов ЕЭЗ. Виды операций 3–6 (виртуальная инфраструктура, хостинг платформ, администрирование/эксплуатация и резервное копирование) не подпадают под это географическое ограничение и могут осуществляться из любого сертифицированного региона.

Европа (ЕЭЗ) – подходит для всех видов операций (1–6)

• Европа (Франкфурт, Германия)
• Европа (Ирландия)
• Европа (Милан, Италия)
• Европа (Париж, Франция)
• Европа (Испания)
• Европа (Стокгольм, Швеция)

Европа (не входящая в ЕЭЗ) – подходит только для операций 3–6

• Европа (Лондон, Великобритания)
• Европа (Цюрих, Швейцария)

Северная и Южная Америка – подходят только для операций 3–6

• Восток США (Северная Вирджиния)
• Восток США (Огайо)
• Запад США (Орегон)
• Запад США (Северная Калифорния)
• Канада (Центральная)
• Канада запад (Калгари)
• Южная Америка (Сан-Паулу, Бразилия)

Азиатско-Тихоокеанский регион и Океания – подходят только для операций 3–6

• Азиатско-Тихоокеанский регион (Токио, Япония)
• Азиатско-Тихоокеанский регион (Сидней, Австралия)
• Азиатско-Тихоокеанский регион (Мельбурн, Австралия)
• Азиатско-Тихоокеанский регион (Сингапур)
• Азиатско-Тихоокеанский регион (Мумбаи, Индия)
• Азиатско-Тихоокеанский регион (Сеул, Южная Корея)
• Азиатско-Тихоокеанский регион (Гонконг)
• Азиатско-Тихоокеанский регион (Джакарта, Индонезия)
• Азиатско-Тихоокеанский регион (Осака, Япония)
• Азиатско-Тихоокеанский регион (Хайдарабад, Индия)

Ближний Восток и Израиль – подходят только для операций 3–6

• Ближний Восток (Дубай, ОАЭ)
• Израиль (Тель-Авив)

Чтобы пройти сертификацию HDS, поставщик IT-услуг должен пройти сертификацию ISO 27001. Сервисы, на которые распространяется сертификат AWS ISO 27001, входят в область действия HDS. Сервисы AWS, подпадающие под действие стандарта ISO/IEC 27001:2022, можно найти на веб-странице о сертификации ISO.

В соответствии с Моделью общей ответственности ответственность за оценку собственного соответствия требованиям лежит на клиенте. Чтобы получить более подробную информацию, зайдите на веб-сайт ANS. Стандарты HDS можно найти на веб-сайте ANS.

В соответствии с Моделью общей ответственности сертификация HDS подтверждает обеспечение «безопасности облака» (Security of the Cloud), позволяя клиентам сосредоточить свои ресурсы на аспектах, связанных с «безопасностью в облаке» (Security in the Cloud) в рамках их процесса сертификации HDS.

Да. Сертификат AWS HDSv2 можно скачать на AWS Artifact. Список сертифицированных хостов можно найти на веб-сайте ANS.

AWS European Sovereign Cloud пока не подпадает под действие сертификации HDS v2.0. Регион получил базовые сертификаты соответствия (ISO 27001, SOC 2, C5), и AWS рассматривает возможность включения этого региона в область сертификации HDS. Дополнительная обновленная информация будет предоставлена в свое время.

Централизованный справочник по всем обработчикам данных, участвующим в хостинговых услугах, сертифицированных HDS, доступен на странице Привлеченные AWS обработчики данных. Кроме того, клиенты могут получить доступ к проверке сертификатов на веб-сайте ANS, где представлен официальный статус сертификации и сведения о привлеченных обработчиках данных, участвующих в хостинговых услугах, сертифицированных HDS.

Это обеспечивает клиентам прозрачный централизованный доступ к проверке соответствия и сертификационного статуса всех привлеченных обработчиков медицинских данных в инфраструктуре AWS, соответствующей HDS.

AWS обеспечивает комплексные возможности переноса данных и механизмы контроля со стороны клиентов, позволяя им извлекать медицинские данные в нескольких общепринятых отраслевых форматах и переносить рабочие нагрузки с использованием хорошо документированных методов.

Владение данными клиента и контроль над ними

В соответствии с Моделью общей ответственности AWS, Клиентским соглашением AWS (раздел 6.1) и Дополнением HDS v2 (раздел 12) клиенты сохраняют полное право собственности и контроль над своим контентом. AWS предоставляет возможность извлекать данные в любое время с помощью встроенных функций без помощи AWS.

Ключевые возможности переноса данных

• Договорные положения: Кодекс общественного здравоохранения Франции требует выполнения конкретных договорных условий между владельцем медицинских данных и его клиентами. Клиенты AWS могут ознакомиться с Приложением по обработке данных AWS (AWS DPA) и применимыми конкретными условиями.
• Здравоохранение и медико-биологические науки: AWS предлагает эталонные архитектуры, руководства по передовой практике и специализированные решения для сектора здравоохранения. Узнайте больше на сайте AWS для здравоохранения.
• Акселератор Целевой зоны AWS для здравоохранения: эталонная реализация для развертывания инфраструктуры, соответствующей требованиям HDS. См. подробности на Github.