- 產業›
- 醫療保健與生命科學
雲端合規性
利用專為符合 HIPAA、HITRUST 與 GxP 等嚴格合規標準所打造的 AWS 服務,全面升級營運。
透過安全且合規的雲端服務釋放創新力
HIPAA 合規
- AWS 確保各項適用服務均具備 HIPAA 資格
- 簡化執行商業夥伴協議 (BAA) 的流程
- 內建技術保護措施以保護受保護的健康資訊 (PHI)
- 全面的稽核軌跡與精細的存取控制,以強化監督
GxP 合規
- 縮短佈建、設定與測試 GxP 合規基礎設施的時間
- 無縫繼承全球安全與合規控制措施
- 持續監控與提醒
全方位安全控制
- 針對傳輸中與靜態資料的端對端加密
- 精細的 Identity and Access Management (IAM)
- 網路隔離與區段化
- 全天候基礎設施監控與威脅偵測
全球合規架構
- HITRUST CSF 認證
- SOC 1、2 與 3 報告
- ISO 27001、27017 與 27018
- GDPR 與區域資料保護標準
您的資料,由您掌控
我們獨立的第三方認證展現了我們對「雲端安全性」的承諾。 客戶繼承這些合規認證,並可以使用它們向稽核員和監管機構部分展示其合規性。我們的合規認證與證書由第三方、獨立稽核員進行評估,並提供合規認證、稽核報告或證書。關鍵認證與證書包括:
- ISO 9001
- ISO 27001、27017、27018
- SOC 1、2、3
- PCI DSS 第 1 級
- FedRAMP
- Cyber Essentials Plus
- DoD SRG
針對 HIPAA、HITECH、GxP 與 GDPR 等產業法規,我們提供強大的安全功能與法律協議,包括商業夥伴增補合約 (BAA) 與資料處理協議 (DPA)。醫療保健法規包括:
- GDPR
- HIPAA
- HITECH
- PDPA-2012 (新加坡)
- PIPEDA (加拿大)
- 隱私權法案 (澳洲)
- PDPA-2010 (馬來西亞)
我們與產業架構的一致性進一步支援您的合規需求。關鍵一致性與架構包括:
- CSA (雲端安全聯盟)
- 歐美隱私屏障
- NIST
- BioPhorum IT 管控措施
全球醫療保健合規與架構一致性
美國
全部開啟聯邦風險與授權管理計劃 (FedRAMP) 是一項美國政府整體計劃,提供標準方法以進行雲端產品和服務的安全評估、授權和持續監控。所有美國聯邦機構和所有雲端服務都必須強制執行 FedRAMP,包括美國衛生與公衆服務部門。
已核發兩個個別的 FedRAMP 代理機構授權;一個包含 AWS GovCloud (美國) 區域,另一個涵蓋 AWS 美國東部/西部區域。
進一步了解 »美國 1996 年健康保險流通與責任法案 (HIPAA) 法規的目的在於讓美國勞工在轉換工作或失業時更容易保留健康保險。法規的另一個目的是鼓勵採用電子健康記錄,透過改善資訊共享提升美國健保系統的效率和品質。
經濟與臨床健康資訊科技法 (HITECH) 於 2009 擴大了 HIPAA 法規的範圍。HIPAA 和 HITECH 共同建立了一套聯邦標準,旨在保護 PHI 的安全和隱私。這些規定包含在稱為「簡化管理」的規則中。HIPAA 和 HITECH 強制推行使用和公開 PHI 的相關需求、保護 PHI 的適當安全措施、個人權利和管理責任。
進一步了解 »美國食品和藥物管理局 (FDA) 制定了 21CFRPart 11 – 電子記錄和電子簽名法規。21CFRPart11 適用於聯邦食品、藥品和化妝品法案、公共衛生服務法案,或除第 11 部分以外的任何 FDA 法規的生命科學產業。這些統稱為「聲明規則」。實質上,第 11 部分適用於聲明有關記錄的情況。
閱讀詳細內容:
世界各地的監管機構持續關註生命科學產業的資料完整性問題/疑慮。FDA 發佈了關於資料完整性的指引,為生命科學組織提供清晰的資訊,以便可以主動解決問題/疑慮。
加拿大
全部開啟《個人資訊保護與電子文件法》(PIPEDA) 是適用於在所有加拿大省分進行商業活動期間收集、使用和披露個人資訊的加拿大聯邦法。
《健康資訊法案》(HIA) 為亞伯達省的隱私法,適用於收集、使用、揭露和保護監管或受到監管人控制的健康資訊。
AWS 加拿大 (中部) 區域目前提供多種服務,例如 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3) 和 Amazon Relational Database Service (Amazon RDS)。
進一步了解 »個人醫療資訊保護法案 (PHIPA) 是安大略省的隱私法,適用於在提供或促進醫療保健服務期間收集、使用和披露個人醫療資訊 (PHI)。
英國
全部開啟衛生及社會關懷雲端安全 – 良好實務指南由英國國民保健署數位部、英格蘭國民保健署、英國衛生和社會關懷部以及英國國民保健署改進處聯合編寫。
本指引解釋了必須採取的保護措施,以便衛生及社會關懷組織能夠安全地定位衛生及社會關懷資料,包括公有雲端 (包括利用離岸資料的解決方案) 中的機密患者資訊。
AWS 透過對部署到 AWS 的工作負載進行分類,並實作適合相應類別的控制來協助客戶實現合規。白皮書「NHS 使用 AWS 的雲端安全指南」中包含組織要開展的風險管理活動詳細資訊,主要內容為達到所需安全級別應採取的技術措施。
MHRA 繼續進一步關注資料完整性。使用電子資料採集、系統自動化和雲端技術日益增多,這增加了供應鏈和工作方式的複雜性,其中包括使用第三方供應商。MHRA 專門發佈了資料完整性指引,旨在為生命科學產業提供更高的清晰度和設定期望,以確保資料完整性合規。
法國
全部開啟Hébergeur de Données de Santé (HDS) – HDS 由法國衛生主管機關 "Agence du Numérique en Santé" (ANS) 推行,HDS (Hébergeur de Données de Santé) 認證旨在加強對個人健康資料的安全和保護。
若要獲取 HDS 認證,IT 供應商必須先獲得 ISO 27001 認證。這意味著我們的 ISO 27001 認證涵蓋了 HDS 的範圍。您可以在 ISO 認證網頁上找到處於 ISO/IEC 27001:2013 認證範圍內的 AWS 服務。
資料完整性仍然是世界範圍內的一個重要話題。EMA – 歐洲藥品總署發佈了新的生產製造指引 (GMP),以確保資料完整性,其中涵蓋與藥品檢測、生產製造、包裝、分銷和監測過程中所產生資料的相關資料。
閱讀詳細內容:
德國
全部開啟DiGAV 於 2020 年 4 月推出,旨在支援德國衛生系統的數位化。DiGAV 使某些醫療保健應用程式在德國法定健康保險制度下被認為可獲退款。但是,對於要遵循 DiGAV 並透過它取得補償資格的組織,必須證明其應用程式符合 DiGAV 資料保護要求,包括個人資料僅在歐洲經濟區 (EEA) 或由歐盟委員會根據歐盟一般資料保護規範 (GDPR) 第 45 條認定適格的國家/地區處理。
AWS 提供許多業界領先的工具,在客戶將其醫療工作負載遷移到雲端的過程中,支援他們滿足當地法規和立法要求,包括《德國數位供應法》(DVG) 和相關的《數位健康應用程式條例》(DiGAV)。
資料完整性仍然是世界範圍內的一個重要話題。EMA – 歐洲藥品總署發佈了新的生產製造指引 (GMP),以確保資料完整性,其中涵蓋與藥品檢測、生產製造、包裝、分銷和監測過程中所產生資料的相關資料。
閱讀詳細內容:
日本
全部開啟《個人資訊保護法》(APPI) 是日本處理個人資料的主要法規。
APPI 適用於處理個人資訊的所有企業經營者 (個人與實體)。APPI 對個人資訊與個人資料 (APPI 將其定義為組成個人資訊資料庫的個人資訊) 的解讀也有所不同。企業經營者的義務會依他們是否取得、使用或提供個人資訊或個人資料而異。
AWS 在全球認可的安全保證架構和認證下,實施和維護適用於 AWS 雲端基礎結構服務的技術和組織安全措施,包括 ISO 27001、ISO 27017、ISO 27018、PCI DSS 第 1 級和 SOC 1、2、3。這些技術和組織安全措施由獨立的第三方評估機構驗證,旨在防止未經授權存取或披露客戶內容。
新加坡
全部開啟《個人資料保護法案 2012》(PDPA) 是新加坡為保護個人資料所施行的法律,涵蓋為了處理個人資料而在國際間傳送的情形。PDPA 掌管個人資料的收集、使用、揭露和保護。
AWS 在全球認可的安全保證架構和認證下,實施和維護適用於 AWS 雲端基礎結構服務的技術和組織安全措施,包括 ISO 27001、ISO 27017、ISO 27018、PCI DSS 第 1 級和 SOC 1、2、3。這些技術和組織安全措施由獨立的第三方評估機構驗證,旨在防止未經授權存取或披露客戶內容。
AWS 透過為全球許多醫療保健組織提供技術,支援他們快速產生影響,從使用醫療資料共享來診斷以前未知的疾病到識別新病毒以預防另一種疫情的爆發以及實現許多其他關鍵功能,同時使客戶能夠滿足最高的安全和合規要求。例如,負責提供支援新加坡公共衛生的技術的機構新加坡綜合健康資訊系統 (IHiS) 求助於 AWS,以安全地擴展其疫苗接種營運 IT 系統,從而能夠在短時間內處理急劇增加的工作量,從最初的每天 8,000 次疫苗接種量到四週後的每天 80,000 次疫苗
接種量。