根據您的隱私權和安全義務,建置儲存、處理和傳輸敏感健康相關資訊的應用程式。
在 AWS,安全和隱私權仍然是首要任務
我們專門針對醫療保健產業,提供許多全球認證和資格鑑定 (HIPAA、HITRUST、GDPR 等),讓您在取得這些認證和資格鑑定的過程中培養相關能力,從而能夠在雲端中儲存、處理或傳輸最敏感的資料,並改善安全和合規狀態。
角色和責任
您儲存在 AWS 中的資料就是您的資料。我們的共同安全模式可確保您始終擁有資料的所有權和控制權。我們提供了一套強大的解決方案來保護醫療保健資料並讓資料方便存取。AWS 為產業相關的全球 IT 和合規標準提供 130 多項符合 HIPAA 要求的服務和多種認證,包括對 GDPR、HITRUST、ENS High、HDS 和 C5 的支援。並且,AWS 可用區域的數量是任何其他雲端供應商的至少兩倍,醫療機構可以從 AWS 的規模、安全性和可靠性中受益。
AWS 資料隱私權
AWS 非常重視資料隱私權,且維持客戶信任是我們一貫的宗旨。客戶始終管理對其服務和內容的存取。未經客戶的同意,我們不會出於任何目的存取或使用客戶內容。客戶選擇要將其客戶內容存放在哪個區域。未經客戶同意,我們不會將客戶內容移出或複寫到客戶指定區域以外的地方。
共同的責任
了解如何在 AWS 上建置醫療保健應用程式意味著了解共同的責任模式。在 AWS 雲端中,安全是 AWS 和客戶的共同責任。這意味著某些安全元素 (例如底層基礎設施的實體安全性) 現在由 AWS 負責。客戶仍需對其他方面的安全性負責,例如用於保護您應用程式的安全措施,這與您的應用程式在傳統資料中心執行時沒有什麼不同。
AWS 醫療保健合規遵循/架構
- AWS 合規認證可證明「雲端本身的安全」和 AWS 控制的執行有效性。 客戶負責雲端內部的安全。
- 客戶繼承這些合規認證,並可以使用它們向稽核員和監管機構部分展示其合規性。
合規認證與證書由第三方、獨立稽核員進行評估,並因此產生合規認證、稽核報告或證書。
AWS 客戶仍需負責遵守適用的合規法律與法規。在某些情況下,AWS 提供功能 (例如安全功能)、輔助程式及法律協議 (例如 AWS 資料處理協議及商業夥伴增補合約) 以支援客戶合規。
在這些法律與法規範疇內,沒有正式的認證可提供給雲端服務供應商,也沒有正式的認證可供雲端服務供應商頒發。
合規遵循與架構包括針對特定目的已發佈的安全或合規要求,例如特定產業或功能。AWS 為此類計劃提供功能 (例如安全功能) 及輔助程式 (包括合規手冊、指南文件及白皮書)。
在討論法規合規時,務必提及責任共同責任模式。AWS 引入最先進的技術,盡可能在全球和地區通過產業標準認證並取得證書,並遵循產業架構,以協助醫療保健合組織促進 AWS 服務的合規實作,從而實現合規。 在共同責任模式下,客戶可以繼承合規控制和能力,以滿足相應地區的醫療保健合規要求。
下列資訊提供了具有代表性的認證、醫療保健法律和相關架構。
關鍵認證/證書
ISO 9001
ISO 27001、27017、27018
SOC 1、2、3
PCI DSS 第 1 級
FedRAMP
Cyber Essentials Plus
DoD SRG
醫療保健法 – 法規和隱私權
GDPR
HIPAA
HITECH
PDPA-2012 (新加坡)
PIPEDA (加拿大)
隱私權法案 (澳洲)
PDPA -2010 (馬來西亞)
關鍵的聯盟和架構
CSA (雲端安全聯盟)
歐美隱私屏障
NIST
BioPhorum IT 控制
美國
AWS 與 FedRAMP
聯邦風險與授權管理計劃 (FedRAMP) 是一項美國政府整體計劃,提供標準方法以進行雲端產品和服務的安全評估、授權和持續監控。所有美國聯邦機構和所有雲端服務都必須強制執行 FedRAMP,包括美國衛生與公衆服務部門。
已核發兩個個別的 FedRAMP 代理機構授權;一個包含 AWS GovCloud (美國) 區域,另一個涵蓋 AWS 美國東部/西部區域。
AWS 與 HITRUST 合規
HITRUST CSF (雲端安全架構) 根據美國聯邦法 (如 HIPAA 和 HITECH)、州法 (如麻薩諸塞州的聯邦居民個人資訊保護標準) 和公認的非政府合規標準 (如 PCI DSS),將各種安全控制整合成符合醫療保健需求的單一架構。
經過認可的 HITRUST CSF 評估機構已在 HITRUST CSF 保證計劃將部分 AWS 服務評估為符合 HITRUST CSF v9.3 認證條件。
客戶可在指定為 HIPAA 帳戶的帳戶中使用任何 AWS 服務,但只能使用符合 HIPAA 資格的服務來處理、存放和傳輸受保護的健康資訊 (PHI)。
AWS、HIPAA 和 HITECH 合規
《美國 1996 年健康保險流通與責任法案》(HIPAA) 的目的在於讓美國勞工在轉換工作或失業時更容易保留健康保險。法規的另一個目的是鼓勵採用電子健康記錄,透過改善資訊共享提升美國健保系統的效率和品質。
《經濟與臨床健康資訊科技法》(HITECH) 於 2009 擴大了 HIPAA 法規的範圍。HIPAA 和 HITECH 共同建立了一套聯邦標準,旨在保護 PHI 的安全和隱私。這些規定包含在稱為「簡化管理」的規則中。HIPAA 和 HITECH 強制推行使用和公開 PHI 的相關需求、保護 PHI 的適當安全措施、個人權利和管理責任。
加拿大
《個人資訊保護與電子文件法》(PIPEDA)
《個人資訊保護與電子文件法》(PIPEDA) 是適用於在所有加拿大省分進行商業活動期間收集、使用和披露個人資訊的加拿大聯邦法。
《健康資訊法案》(HIA) 為亞伯達省的隱私法,適用於收集、使用、揭露和保護監管或受到監管人控制的健康資訊。
AWS 加拿大 (中部) 區域目前提供多種服務,例如 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3) 和 Amazon Relational Database Service (Amazon RDS)。
英國
衛生及社會關懷雲端安全 – 良好實務指南
衛生及社會關懷雲端安全 – 良好實務指南由英國國民保健署數位部、英格蘭國民保健署、英國衛生和社會關懷部以及英國國民保健署改進處聯合編寫。
本指引解釋了必須採取的保護措施,以便衛生及社會關懷組織能夠安全地定位衛生及社會關懷資料,包括公有雲端 (包括利用離岸資料的解決方案) 中的機密患者資訊。
AWS 透過對部署到 AWS 的工作負載進行分類,並實作適合相應類別的控制來協助客戶實現合規。白皮書「NHS 使用 AWS 的雲端安全指南」中包含組織要開展的風險管理活動詳細資訊,主要內容為達到所需安全級別應採取的技術措施。
法國
Hébergeur de Données de Santé (HDS)
Hébergeur de Données de Santé (HDS) – HDS 由法國衛生主管機關 "Agence du Numérique en Santé" (ANS) 推行,HDS (Hébergeur de Données de Santé) 認證旨在加強對個人健康資料的安全和保護。
若要獲取 HDS 認證,IT 供應商必須先獲得 ISO 27001 認證。這意味著我們的 ISO 27001 認證涵蓋了 HDS 的範圍。您可以在 ISO 認證網頁上找到處於 ISO/IEC 27001:2013 認證範圍內的 AWS 服務。
德國
DiGAV 合規
DiGAV 於 2020 年 4 月推出,旨在支援德國衛生系統的數位化。DiGAV 使某些醫療保健應用程式在德國法定健康保險制度下被認為可獲退款。但是,對於要遵循 DiGAV 並透過它取得補償資格的組織,必須證明其應用程式符合 DiGAV 資料保護要求,包括個人資料僅在歐洲經濟區 (EEA) 或由歐盟委員會根據歐盟一般資料保護規範 (GDPR) 第 45 條認定適格的國家/地區處理。
AWS 提供許多業界領先的工具,在客戶將其醫療工作負載遷移到雲端的過程中,支援他們滿足當地法規和立法要求,包括《德國數位供應法》(DVG) 和相關的《數位健康應用程式條例》(DiGAV)。
日本
《個人資訊保護法》(APPI)
《個人資訊保護法》(APPI) 是日本處理個人資料的主要法規。
APPI 適用於處理個人資訊的所有企業經營者 (個人與實體)。APPI 對個人資訊與個人資料 (APPI 將其定義為組成個人資訊資料庫的個人資訊) 的解讀也有所不同。企業經營者的義務會依他們是否取得、使用或提供個人資訊或個人資料而異。
AWS 在全球認可的安全保證架構和認證下,實施和維護適用於 AWS 雲端基礎設施服務的技術和組織安全措施,包括 ISO 27001、ISO 27017、ISO 27018、PCI DSS 第 1 級 和 SOC 1、2、3。這些技術和組織安全措施由獨立的第三方評估機構驗證,旨在防止未經授權存取或披露客戶內容。
新加坡
《個人資料保護法案 2012》(PDPA)
《個人資料保護法案 2012》(PDPA) 是新加坡為保護個人資料所施行的法律,涵蓋為了處理個人資料而在國際間傳送的情形。PDPA 掌管個人資料的收集、使用、揭露和保護。
AWS 在全球認可的安全保證架構和認證下,實施和維護適用於 AWS 雲端基礎設施服務的技術和組織安全措施,包括 ISO 27001、ISO 27017、ISO 27018、PCI DSS 第 1 級 和 SOC 1、2、3。這些技術和組織安全措施由獨立的第三方評估機構驗證,旨在防止未經授權存取或披露客戶內容。
AWS 透過為全球許多醫療保健組織提供技術,支援他們快速產生影響,從使用醫療資料共享來診斷以前未知的疾病到識別新病毒以預防另一種疫情的爆發以及實現許多其他關鍵功能,同時使客戶能夠滿足最高的安全和合規要求。例如,負責提供支援新加坡公共衛生的技術的機構新加坡綜合健康資訊系統 (IHiS) 求助於 AWS,以安全地擴展其疫苗接種營運 IT 系統,從而能夠在短時間內處理急劇增加的工作量,從最初的每天 8,000 次疫苗接種量到四週後的每天 80,000 次疫苗
接種量。
