HIPAA

Обзор

Все больше поставщиков медицинских услуг, плательщиков и ИТ‑специалистов используют для обработки, хранения и передачи закрытой медицинской информации облачные сервисы AWS с оплатой по факту использования.

AWS позволяет организациям, на которые распространяется действие Акта США о передаче и защите данных учреждений здравоохранения (HIPAA) 1996 г., и их бизнес‑партнерам использовать безопасную среду AWS для обработки, обслуживания и хранения закрытой медицинской информации.

Подробные сведения об использовании AWS для обработки и хранения медицинской информации см. в техническом описании Создание на AWS безопасной архитектуры, соответствующей требованиям HIPAA.

Клиенты AWS в области здравоохранения и медико‑биологических разработок

• Что такое HIPAA и HITECH?

  Акт о передаче и защите данных учреждений здравоохранения (HIPAA) 1996 г. – это закон, который позволяет американским работникам сохранять свою медицинскую страховку в случае смены или потери работы. Акт также нацелен на стимулирование использования электронных медицинских картотек, которые упрощают обмен информацией и, как следствие, повышают эффективность и качество американской системы здравоохранения.

  Кроме прочего, HIPAA содержит положения, предусматривающие защиту и обеспечение конфиденциальности закрытой медицинской информации (PHI). Определение PHI охватывает широкий спектр персональной медицинской информации, включая данные страховки и информацию об оплате, информацию о диагнозе, клиническом обслуживании и результатах обследований, например снимках и анализах. Правила HIPAA применяются к учреждениям, подпадающим под действие закона: больницам, поставщикам медицинских услуг, корпоративным организациям здравоохранения, научно‑исследовательским учреждениям и страховым компаниям, которые работают непосредственно с пациентами и их данными. Требование HIPAA о защите PHI также распространяется на деловых партнеров этих учреждений.

  Закон о применении медицинских информационных технологий в экономической деятельности и клинической практике (HITECH), принятый в 2009 г., дополнил существующие положения HIPAA. HIPAA и HITECH совместно устанавливают набор государственных стандартов, обеспечивающих защиту и сохранение конфиденциальности PHI. Эти положения включены в так называемые правила по упрощению административных процедур. HIPAA и HITECH определяют требования по использованию и раскрытию PHI, соответствующие меры по защите PHI, персональные права и административные обязанности.

  Подробнее о том, как акты HIPAA и HITECH обеспечивают защиту медицинской информации, см. на странице Health Information Privacy сайта Министерства здравоохранения и социальных служб США.
  

• Что такое HITRUST?

  Документ Common Security Framework (CSF) организации The Health Information Trust Alliance (HITRUST), согласно данному этой организацией определению, является «авторитетной схемой, которая предоставляет организациям комплексный, гибкий и эффективный подход к обеспечению соответствия и управлению рисками. Схема HITRUST CSF была создана в сотрудничестве с экспертами в области здравоохранения и информационной безопасности, ее целью является создание единой всеобъемлющей системы безопасности для исполнения требований нормативных актов и стандартов в сфере здравоохранения».

  HITRUST CSF ставит своей целью унификацию механизмов обеспечения безопасности, предоставляемых федеральными законами (например, HIPAA и HITECH), законами штатов (такими как Стандарты защиты личной информации жителей Содружества в Массачусетсе) и неправительственными структурами (например, Советом по стандартам безопасности данных индустрии платежных карт) в единую схему, которая была бы оптимизирована для потребностей системы здравоохранения.

  AWS предоставляет надежную, масштабируемую и недорогую вычислительную платформу для поддержки медицинских приложений, совместимую с требованиями HIPAA, HITECH и HITRUST CSF.
  

• Что такое договор делового партнерства?

  Согласно положениям HIPAA, поставщики облачных сервисов (CSP), такие как AWS, носят статус деловых партнеров. Договор делового партнерства (BAA) – это договор с AWS, необходимый по правилам HIPAA, чтобы гарантировать надлежащую защиту закрытой медицинской информации (PHI) со стороны AWS. Помимо этого, BAA разъясняет и в определенной степени ограничивает допустимые случаи использования и раскрытия PHI со стороны AWS на основании существующих взаимоотношений между компанией AWS и ее клиентами, а также выполняемых ею действий или предоставляемых сервисов.
  

• Подписывает ли AWS договор делового партнерства, описанный в положениях и правилах HIPAA?

  Да. У AWS есть стандартный договор делового партнерства (BAA), который мы предлагаем на подпись клиентам. В нем приняты во внимание особенности сервисов AWS, а также учитывается модель общей ответственности AWS.

  Войдите в раздел AWS Artifact Консоли управления AWS, чтобы ознакомиться и подписать BAA, а затем контролировать его статус для своего аккаунта. Если у вас нет доступа к аккаунту, запросите у администратора бесплатный аккаунт пользователя IAM и политику IAM для доступа к Artifact.
  

  Step-by-step: Learn how to use AWS Artifact to accept agreements for multiple accounts in your org. (2:07)
  

  See how to use AWS Artifact to accept an agreement for your account. (1:39)
  

• Получила ли AWS сертификацию HIPAA?

  Для поставщиков облачных сервисов (CSP), таких как AWS, сертификация HIPAA не предусмотрена. Чтобы обеспечить соответствие требованиям HIPAA, применимым к нашей операционной модели, AWS объединяет свою модель управления рисками HIPAA со стандартом FedRAMP, а также NIST 800‑53, который является более строгим стандартом безопасности, охватывающим правила безопасности HIPAA. Данное объединение поддерживается институтом NIST, который выпустил документ SP 800‑66 An Introductory Resource Guide for Implementing the HIPAA Security Rule, содержащий информацию о соответствии NIST 800‑53 и правилам безопасности HIPAA.

• Какие сервисы можно использовать в аккаунте AWS, если с AWS заключен договор делового партнерства?

  Клиенты вправе использовать любые сервисы AWS в рамках аккаунта, ориентированного на соблюдение требований HIPAA, но закрытую медицинскую информацию (PHI) разрешается обрабатывать, хранить и передавать только с помощью сервисов, соответствующих требованиям HIPAA и перечисленных в договоре делового партнерства (BAA). Актуальный список сервисов AWS, соответствующих требованиям HIPAA, приведен на странице справки по сервисам, соответствующим требованиям HIPAA.

  AWS придерживается программы управления рисками, основанной на стандартах, чтобы обеспечить в сервисах поддержку безопасности, управления и административных процессов, которые предусмотрены требованиями HIPAA. При использовании перечисленных сервисов для хранения и обработки PHI наши клиенты и AWS обеспечивают соответствие требованиям HIPAA, применимым к нашей операционной модели с оплатой по факту использования. На основании запросов клиентов AWS определяет приоритеты и добавляет в список новые сервисы.

  Для получения дополнительной информации о программе делового партнерства, а также для отправки запроса на добавление необходимого сервиса свяжитесь с нами.
  

• Я являюсь SaaS‑партнером AWS, имею заключенный договор BAA и продаю свои SaaS‑решения медицинским учреждениям и иным организациям, подпадающим под действие HIPAA. Обязаны ли в таком случае данные организации заключить договор BAA с AWS?

  Это чрезвычайно распространенная практика, и многие партнеры, предлагающие решения HIPAA по модели «программное обеспечение как услуга» (SaaS), запускают их на AWS. Являясь SaaS‑партнером AWS, вы заключаете с AWS договор делового партнерства (BAA). После этого каждое медицинское учреждение или иная соответствующая организация подписывают BAA только с вами, как с SaaS‑партнером AWS. Если такая организация использует ваше партнерское SaaS‑решение, но при этом является непосредственным клиентом AWS и использует системы, которые подпадают под действие HIPAA, возможно, ей потребуется заключить один BAA с вами и еще один с AWS.
  

• Обязан ли я использовать выделенные инстансы или выделенный хостинг Amazon EC2 для обработки PHI в рамках программы AWS по обеспечению соответствия требованиям HIPAA?

  Клиенты AWS и партнеры, входящие в партнерскую сеть Amazon (APN), которые заключили договор делового партнерства (BAA) с AWS, не обязаны использовать выделенные инстансы и выделенный хостинг сервиса Amazon Elastic Compute Cloud (EC2) для обработки закрытой медицинской информации (PHI). До 15 мая 2017 г. программа AWS по обеспечению соответствия требованиям HIPAA требовала, чтобы клиенты, которые обрабатывают PHI с помощью Amazon EC2, в обязательном порядке использовали выделенные инстансы и выделенный хостинг, но это требование было устранено.