我想取得有關雲端 HIPAA 的資訊

 

 

AWS HIPAA

有大量且數量持續成長的醫療保健供應商、付款人和 IT 專業人員都使用以 AWS 公用事業為基礎的雲端服務來處理、存放和傳輸 PHI。

AWS 讓受美國健康保險流通與責任法案 (HIPAA) 規範的涵蓋實體及其商業夥伴可以利用安全的 AWS 環境來處理、維護和存放受保護的醫療資訊。

AWS 提供一份以 HIPAA 為主題的白皮書,讓想要進一步了解如何利用 AWS 處理和儲存醫療資訊的客戶查閱。「利用 AWS 建立 HIPAA 合規醫療資料應用程式」白皮書概述公司如何利用 AWS 處理可促進 HIPAA 和 HITECH 合規的系統。

想要開始使用 AWS Artifact?閱讀逐步書面指示 » 

無法存取您的帳戶?向您的管理員申請免費 IAM 帳戶,並要求存取 Artifact IAM 政策

逐步教學影片 (2:15)

Security-Identity-Compliance_AWS Artifact

離線 BAA (1:45)

Security-Identity-Compliance_AWS Artifact

出現錯誤訊息? (0:55)

Security-Identity-Compliance_AWS Artifact

終止線上 BAA (1:30)

Security-Identity-Compliance_AWS Artifact
Build_HIPAA_Solutions
Build_Regulated_Workloads

美國健康保險流通與責任法案 (HIPAA) 於 1996 年通過。此法規的目的在於讓勞工在轉換工作或失業時更容易保留健康保險。法規的另一個目的是推動採用電子健康記錄,透過改善資訊共享提升美國健保系統的效率和品質。

隨著電子病歷使用的增加,該法規也包含對受保護的醫療資訊 (PHI) 安全和隱私提供保護的規定。PHI 包含各式各樣的個人識別健康資料以及和健康相關的資料,從保險和帳單資訊到診斷資料、臨床護理資料,及影像等實驗室結果和測試結果。法規適用的「涵蓋實體」包含直接處理病患和病患資料的醫院、醫療服務提供者、雇主贊助的醫療計劃、研究機構和保險公司。法律和規定也將保護 PHI 的需求擴張至「商業夥伴」。

2009 年透過經濟與臨床健康資訊科技法擴大 HIPAA 的涵蓋範圍。HIPAA 和 HITECH 建立了一套聯邦標準,旨在保護 PHI 的安全和隱私。這些規定包含在稱為「簡化管理」的規則中。HIPAA 和 HITECH 強制推行使用和公開 PHI 的相關需求、保護 PHI 的適當安全措施、個人權利和管理責任。如需 HIPAA 和 HITECH 如何保護健康資訊的詳細資訊,請參閱:http://www.hhs.gov/ocr/privacy/hipaa/understanding/index.html

健康資訊信賴聯盟或 HITRUST 共通安全架構 (CSF) 對其本身的解釋為:「是一種可認證的架構,為組織提供全面、彈性且有效率的方式來遵守法律規定和進行風險管理。HITRUST CSF 由醫療保健和資訊安全專業人員共同開發,將醫療保健相關規範和標準合理地整合至一個多樣化的安全架構。」

HITRUST CSF 將聯邦法 (如 HIPAA/HITECH)、州法 (如 Massachusetts) 和非政府架構 (如 COBIT PCI-DSS) 的安全控制統一在一個針對醫療保健需求和使用量身訂做的架構中。

AWS 提供可靠、可擴展和價格低廉的運算平台,使用與 HIPAA、HITECH 和 HITRUST CSF 一致的方法支援醫療保健客戶運用。舉例來說,我們其中一位客戶已在 AWS 內建立環境,並成功通過 HIPAA/HITECH 合規稽核,且獲得 HITRUST 認證。

根據美國健康保險流通與責任法案 (HIPAA),「商業夥伴」是指代表涵蓋實體執行職能或活動、或為涵蓋實體提供服務,但未受雇於涵蓋實體的個人或實體。「商業夥伴」也包含代表其他商業夥伴建立、接收、維護或傳輸受保護醫療資訊的次承攬人,根據 HIPAA 法規的規定,AWS 這類雲端服務供應商可視為商業夥伴。HIPAA 法規通常要求涵蓋實體和商業夥伴簽訂合約,以確保商業夥伴會適當地保護受保護的醫療資訊。商業夥伴合約也會根據各方的關係和商業夥伴執行的活動或服務,適當地釐清並限制受保護醫療資訊允許的用途和揭露。AWS 將這些合約稱為商業夥伴增補合約。

是。AWS 有標準的商業夥伴增補合約,我們將會提供給客戶簽章。它將 AWS 提供的特殊服務列入協定,並採用 AWS 共同的責任模型

您可以使用 AWS Artifact 檢閱、接受和管理帳戶中的商業夥伴增補合約 (BAA) 狀態。

沒有適用於 AWS 這類雲端供應商的 HIPAA 認證。為了符合我們操作模型適用的 HIPAA 需求,AWS HIPAA 風險管理計劃符合 FedRAMP 和 NIST 800-53,這兩者是映射至 HIPAA 安全規則的較高安全標準。NIST 支援符合這些標準且發佈 SP 800-66「實作 HIPAA 安全規則的基礎資源指南」,其中闡述 NIST 800-53 如何符合 HIPAA 安全規則。

客戶可在指定為 HIPAA 帳戶的帳戶中使用任何 AWS 服務,但他們只能在 BAA 定義的 HIPAA 合格服務中處理、存放和傳輸 PHI。HIPAA 合格服務參考頁面提供 HIPAA 合格服務的最新清單。 

AWS 遵循符合標準的風險管理計劃,以確保 HIPAA 合格服務具體支援 HIPAA 要求的安全、控制和管理程序。使用這些服務存放和處理 PHI,可讓客戶和 AWS 滿足我們以公用事業為基礎之操作模型適用的 HIPAA 需求。AWS 優先考量客戶的需要並新增合格的服務。

如需商業夥伴計劃的詳細資訊或要求新的合格服務,請聯絡我們

否。這是很常見的情況,許多創新 HIPAA 解決方案合作夥伴都在 AWS 上執行 SaaS 產品。在這個案例中,每個醫療保健提供者或涵蓋實體只會與 SaaS 合作夥伴建立 BAA,而 SaaS 合作夥伴會與 AWS 建立 BAA。如果涵蓋實體使用的 SaaS 合作夥伴也是 AWS HIPAA 相關系統的直接客戶,則涵蓋實體可能需要與 SaaS 合作夥伴建立一個 BAA,再與 AWS 建立另一個 BAA。

2017 年 5 月 15 日生效,與 AWS 簽署商業夥伴增補合約 (BAA) 的 AWS 客戶和 APN 合作夥伴將不再需要使用 Amazon EC2 專用執行個體或專用主機來處理受保護的醫療資訊 (PHI)。AWS HIPAA 合規計劃過去要求使用 Amazon EC2 處理受保護的醫療資訊 (PHI) 的客戶必須使用專用執行個體或專用主機。現在已移除這項要求。

HIPAA 資源

 

聯絡我們