HIPAA

Обзор

HIPAA-sized

Все больше поставщиков медицинских услуг, плательщиков и ИТ-специалистов используют для обработки, хранения и передачи закрытой медицинской информации облачные сервисы с оплатой по факту использования.

AWS позволяет организациям, на которые распространяется действие Акта США о передаче и защите данных учреждений здравоохранения (HIPAA) 1996 г., и их бизнес-партнерам использовать безопасную среду AWS для обработки, обслуживания и хранения закрытой медицинской информации.

Подробные сведения об использовании AWS для обработки и хранения медицинской информации см. в техническом описании «Создание на AWS безопасной архитектуры, соответствующей требованиям HIPAA».

Клиенты AWS в области здравоохранения и медико-биологических разработок

  • Что такое HIPAA и HITECH?

    Акт о передаче и защите данных учреждений здравоохранения (HIPAA) 1996 г. – это законодательный акт, который позволяет американским работникам сохранять свою медицинскую страховку в случае смены или потери работы. Акт также нацелен на стимулирование использования электронных медицинских картотек, которые облегчают обмен информацией и, как следствие, повышают эффективность и качество американской системы здравоохранения.

    Кроме прочего, HIPAA содержит положения, предусматривающие защиту и сохранение конфиденциальности закрытой медицинской информации (PHI). PHI охватывает широкий спектр персональной медицинской информации, включая данные страховки и информацию об оплате, информацию о диагнозе, клиническом обслуживании и результатах обследований, например снимках и анализах. Правила HIPAA применяются к учреждениям, подпадающим под действие закона: больницам, поставщикам медицинских услуг, корпоративным организациям здравоохранения, научно-исследовательским учреждениям и страховым компаниям, которые работают непосредственно с пациентами и их данными. Требование HIPAA о защите PHI также распространяется на деловых партнеров этих учреждений.

    Закон о применении медицинских информационных технологий в экономической деятельности и клинической практике (HITECH), принятый в 2009 г., дополнил существующие положения HIPAA. HIPAA и HITECH совместно устанавливают набор государственных стандартов, обеспечивающих защиту и сохранение конфиденциальности PHI. Эти положения включены в так называемые правила по упрощению административных процедур. HIPAA и HITECH определяют требования по использованию и раскрытию PHI, соответствующие меры по защите PHI, персональные права и административные обязанности.

    Подробнее о том, как акты HIPAA и HITECH защищают медицинскую информацию, см. на странице Health Information Privacy сайта Министерства здравоохранения и социальных служб США.

  • Что такое HITRUST?

    Документ Common Security Framework (CSF) организации The Health Information Trust Alliance (HITRUST), согласно данному этой организацией описанию, является «авторитетной схемой, которая предоставляет организациям комплексный, гибкий и эффективный подход к обеспечению соответствия и управлению рисками. Схема HITRUST CSF была создана в сотрудничестве с экспертами в области здравоохранения и информационной безопасности, ее целью является создание единой всеобъемлющей системы безопасности для исполнения требований нормативных актов и стандартов в области здравоохранения».

    HITRUST CSF ставит своей целью унификацию механизмов обеспечения безопасности, предоставляемых федеральными законами (например, HIPAA и HITECH), законами штатов (такими как Стандарты защиты личной информации жителей Содружества в Массачусетсе) и неправительственными структурами (например, Советом по стандартам безопасности данных индустрии платежных карт) в единую схему, которая была бы оптимизирована для потребностей системы здравоохранения.

    AWS предоставляет надежную, масштабируемую и недорогую вычислительную платформу для поддержки медицинских приложений, совместимую с требованиями HIPAA, HITECH и HITRUST CSF.

  • Что такое договор делового партнерства?

    Согласно положениям HIPAA, поставщики облачных сервисов (CSP), такие как AWS, носят статус деловых партнеров. Договор делового партнерства (BAA) – это договор с AWS, необходимый по правилам HIPAA, чтобы гарантировать надлежащую защиту закрытой медицинской информации (PHI) со стороны AWS. Помимо этого, BAA разъясняет и в определенной степени ограничивает допустимые случаи использования и раскрытия PHI со стороны AWS на основании существующих взаимоотношений между компанией AWS и ее клиентами, а также выполняемых ею действий или предоставляемых сервисов.

  • Подписывает ли AWS договор делового партнерства, описанный в положениях и правилах HIPAA?

    Да. У AWS есть стандартный договор делового партнерства (BAA), который мы предлагаем на подпись клиентам. В нем приняты во внимание особенности сервисов AWS, а также учитывается модель общей ответственности AWS.

    Войдите в раздел AWS Artifact в Консоли управления AWS, чтобы ознакомиться и принять BAA, а затем контролировать его статус в рамках аккаунта. Если у вас нет доступа к аккаунту, запросите у администратора бесплатный IAM-аккаунт и доступ к политикам Artifact IAM.

    Пошаговая видеоинструкция
    Получили сообщение об ошибке?
    Офлайн-договор BAA
    Расторжение онлайн-договора BAA
  • Получила ли AWS сертификацию HIPAA?

    Для поставщиков облачных сервисов (CSP), таких как AWS, сертификация HIPAA не предусмотрена. Чтобы обеспечить соответствие требованиям HIPAA, применимым к нашей операционной модели, AWS объединяет свою модель управления рисками HIPAA со стандартом FedRAMP, а также NIST 800-53, который является более строгим стандартом безопасности, включающим правила безопасности HIPAA. Данное объединение поддерживается институтом NIST, который выпустил «Вводный справочник по ресурсам для реализации правил безопасности HIPAA, SP 800-66», содержащий информацию о соответствии NIST 800-53 и правилам безопасности HIPAA.

  • Какими сервисами я могу пользоваться в аккаунте AWS, если у меня заключен с AWS договор делового партнерства?

    Клиенты вправе использовать любые сервисы AWS в рамках аккаунта, ориентированного на соблюдение требований HIPAA, но закрытую медицинскую информацию (PHI) разрешается обрабатывать, хранить и передавать только с помощью сервисов, соответствующих требованиям HIPAA и перечисленных в договоре делового партнерства (BAA). Актуальный список сервисов AWS, соответствующих требованиям HIPAA, приведен на странице Справки по сервисам, соответствующим требованиям HIPAA.

    AWS придерживается программы управления рисками, основанной на стандартах, чтобы обеспечить в сервисах поддержку безопасности, управления и административных процессов, которые предусмотрены требованиями HIPAA. При использовании перечисленных сервисов для хранения и обработки ЗМИ наши клиенты и AWS обеспечивают соответствие требованиям HIPAA, применимым к нашей операционной модели с оплатой по факту использования. На основании запросов клиентов AWS определяет приоритеты и добавляет в список новые сервисы.

    Для получения дополнительной информации о программе делового партнерства, а также для отправки запроса на добавление необходимого сервиса свяжитесь с нами.

  • Я являюсь SaaS-партнером AWS, имею заключенный договор BAA и продаю свои SaaS-решения медицинским учреждениям и иным организациям, подпадающим под действие HIPAA. Обязаны ли в таком случае данные организации заключить договор BAA с AWS?

    Нет. Это чрезвычайно распространенная практика, и многие партнеры, предлагающие решения HIPAA по модели «программное обеспечение как услуга» (SaaS), запускают их на платформе AWS. Являясь SaaS-партнером AWS, вы заключаете с AWS договор делового партнерства (BAA). После этого каждое медицинское учреждение или иная соответствующая организация подписывают BAA только с вами, как с SaaS-партнером AWS. Если такая организация использует ваше партнерское SaaS-решение, но при этом является непосредственным клиентом AWS и использует системы, которые подпадают под действие HIPAA, возможно, ей потребуется заключить один BAA с вами и еще один с AWS.

  • Обязан ли я использовать выделенные инстансы или выделенный хостинг Amazon EC2 для обработки PHI в рамках программы AWS по обеспечению соответствия требованиям HIPAA?

    Клиенты AWS и партнеры, входящие в партнерскую сеть Amazon (APN), которые заключили договор делового партнерства (BAA) с AWS, не обязаны использовать выделенные инстансы и выделенный хостинг сервиса Amazon Elastic Compute Cloud (EC2) для обработки закрытой медицинской информации (PHI). До 15 мая 2017 г. программа AWS по обеспечению соответствия требованиям HIPAA требовала, чтобы клиенты, которые обрабатывают PHI с помощью Amazon EC2, в обязательном порядке использовали выделенные инстансы и выделенный хостинг, но это требование было устранено.

compliance-contactus-icon
Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере соответствия требованиям?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следить за новостями в Twitter »