HIPAA 合規

概觀

HIPAA-sized

有大量且數量持續成長的醫療保健供應商、付款人和 IT 專業人員都使用以 AWS 公用事業為基礎的雲端服務來處理、存放和傳輸 PHI。

AWS 讓受美國健康保險流通與責任法案 (HIPAA) 規範的涵蓋實體及其商業夥伴可以利用安全的 AWS 環境來處理、維護和存放受保護的醫療資訊。

AWS 提供一份以 HIPAA 為主題的白皮書,讓想要進一步了解如何利用 AWS 處理和儲存醫療資訊的客戶查閱。「利用 AWS 建立 HIPAA 合規醫療資料應用程式」白皮書概述公司如何利用 AWS 處理可促進 HIPAA 和 HITECH 合規的系統。

AWS 醫療保健和生命科學客戶

  • 什麼是 HIPAA 與 HITECH?

    美國健康保險流通與責任法案 (HIPAA) 於 1996 年通過。此法規的目的在於讓勞工在轉換工作或失業時更容易保留健康保險。法規的另一個目的是推動採用電子健康記錄,透過改善資訊共享提升美國健保系統的效率和品質。

    隨著電子病歷使用的增加,該法規也包含對受保護的醫療資訊 (PHI) 安全和隱私提供保護的規定。PHI 包含各式各樣的個人識別健康資料以及和健康相關的資料,從保險和帳單資訊到診斷資料、臨床護理資料,及影像等實驗室結果和測試結果。法規適用的「涵蓋實體」包含直接處理病患和病患資料的醫院、醫療服務提供者、雇主贊助的醫療計劃、研究機構和保險公司。法律和規定也將保護 PHI 的需求擴張至「商業夥伴」。

    2009 年透過經濟與臨床健康資訊科技法擴大 HIPAA 的涵蓋範圍。HIPAA 和 HITECH 建立了一套聯邦標準,旨在保護 PHI 的安全和隱私。這些規定包含在稱為「簡化管理」的規則中。HIPAA 和 HITECH 強制推行使用和公開 PHI 的相關需求、保護 PHI 的適當安全措施、個人權利和管理責任。如需 HIPAA 和 HITECH 如何保護健康資訊的詳細資訊,請參閱:http://www.hhs.gov/ocr/privacy/hipaa/understanding/index.html

  • 什麼是 HITRUST?

    健康資訊信賴聯盟或 HITRUST 共通安全架構 (CSF) 對其本身的解釋為:「是一種可認證的架構,為組織提供全面、彈性且有效率的方式來遵守法律規定和進行風險管理。HITRUST CSF 由醫療保健和資訊安全專業人員共同開發,將醫療保健相關規範和標準合理地整合至一個多樣化的安全架構。」

    HITRUST CSF 將聯邦法 (如 HIPAA/HITECH)、州法 (如 Massachusetts) 和非政府架構 (如 COBIT PCI-DSS) 的安全控制統一在一個針對醫療保健需求和使用量身訂做的架構中。

    AWS 提供可靠、可擴展和價格低廉的運算平台,使用與 HIPAA、HITECH 和 HITRUST CSF 一致的方法支援醫療保健客戶運用。

  • 什麼是商業夥伴增補合約?

    根據美國健康保險流通與責任法案 (HIPAA),「商業夥伴」是指代表涵蓋實體執行職能或活動、或為涵蓋實體提供服務,但未受雇於涵蓋實體的個人或實體。「商業夥伴」也包含代表其他商業夥伴建立、接收、維護或傳輸受保護醫療資訊的次承攬人,根據 HIPAA 法規的規定,AWS 這類雲端服務供應商可視為商業夥伴。HIPAA 法規通常要求涵蓋實體和商業夥伴簽訂合約,以確保商業夥伴會適當地保護受保護的醫療資訊。商業夥伴合約也會根據各方的關係和商業夥伴執行的活動或服務,適當地釐清並限制受保護醫療資訊允許的用途和揭露。AWS 將這些合約稱為商業夥伴增補合約。

  • AWS 是否會根據 HIPAA 法規和規定中所述,簽署商業夥伴增補合約?

    是。AWS 有標準的商業夥伴增補合約,我們將會提供給客戶簽章。它將 AWS 提供的特殊服務列入協定,並採用 AWS 共同的責任模型

    您可以使用 AWS Artifact 檢閱、接受和管理帳戶中的商業夥伴增補合約 (BAA) 狀態。

    逐步教學影片
    出現錯誤訊息?
    離線 BAA
    終止線上 BAA
  • AWS 是否通過 HIPAA 認證?

    沒有適用於 AWS 這類雲端供應商的 HIPAA 認證。為了符合我們操作模型適用的 HIPAA 需求,AWS HIPAA 風險管理計劃符合 FedRAMP 和 NIST 800-53,這兩者是映射至 HIPAA 安全規則的較高安全標準。NIST 支援符合這些標準且發佈 SP 800-66「實作 HIPAA 安全規則的基礎資源指南」,其中闡述 NIST 800-53 如何符合 HIPAA 安全規則。

  • 如果與 AWS 簽署 BAA,我的 AWS 帳戶可使用哪些服務?

    客戶可在指定為 HIPAA 帳戶的帳戶中使用任何 AWS 服務,但他們只能在 BAA 定義的 HIPAA 合格服務中處理、存放和傳輸 PHI。HIPAA 合格服務參考頁面提供 HIPAA 合格服務的最新清單。

    AWS 遵循符合標準的風險管理計劃,以確保 HIPAA 合格服務具體支援 HIPAA 要求的安全、控制和管理程序。使用這些服務存放和處理 PHI,可讓客戶和 AWS 滿足我們以公用事業為基礎之操作模型適用的 HIPAA 需求。AWS 優先考量客戶的需要並新增合格的服務。

    如需商業夥伴計劃的詳細資訊或要求新的合格服務,請聯絡我們

  • 如果您是已簽署 BAA 的 AWS SaaS 合作夥伴,且將 SaaS 解決方案銷售給醫療保健提供者或其他涵蓋實體,這些涵蓋實體是否也需要與 AWS 簽署 BAA?

    否。這是很常見的情況,許多創新 HIPAA 解決方案合作夥伴都在 AWS 上執行 SaaS 產品。在這個案例中,每個醫療保健提供者或涵蓋實體只會與 SaaS 合作夥伴建立 BAA,而 SaaS 合作夥伴會與 AWS 建立 BAA。如果涵蓋實體使用的 SaaS 合作夥伴也是 AWS HIPAA 相關系統的直接客戶,則涵蓋實體可能需要與 SaaS 合作夥伴建立一個 BAA,再與 AWS 建立另一個 BAA。

  • AWS HIPAA 合規計劃有哪些變更?

    2017 年 5 月 15 日生效,與 AWS 簽署商業夥伴增補合約 (BAA) 的 AWS 客戶和 APN 合作夥伴將不再需要使用 Amazon EC2 專用執行個體或專用主機來處理受保護的醫療資訊 (PHI)。AWS HIPAA 合規計劃過去要求使用 Amazon EC2 處理受保護的醫療資訊 (PHI) 的客戶必須使用專用執行個體或專用主機。現在已移除這項要求。

compliance-contactus-icon
有問題?與 AWS 合規代表聯繫
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »