HIPAA

Tổng quan

Ngày càng nhiều nhà cung cấp dịch vụ chăm sóc sức khỏe, người thanh toán và chuyên gia CNTT đang sử dụng dịch vụ đám mây dựa trên tiện ích của AWS để xử lý, lưu trữ và truyền tải thông tin sức khỏe được bảo vệ (PHI).

AWS cho phép các thực thể được bảo hiểm và các liên kết kinh doanh của họ tuân theo Đạo luật về Trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế 1996 (HIPAA) của Hoa Kỳ, được sử dụng môi trường AWS bảo mật để xử lý, lưu trữ và truyền thông tin sức khỏe được bảo vệ.

Để biết thông tin chi tiết về cách bạn có thể sử dụng AWS để xử lý và lưu trữ thông tin sức khỏe, hãy xem bài nghiên cứu chuyên sâu Xây dựng kiến trúc cho tính bảo mật và tuân thủ HIPAA trên Amazon Web Services.

Khách hàng trong lĩnh vực chăm sóc sức khỏe và khoa học cuộc sống của AWS

  • Đạo luật về Trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế 1996 (HIPAA) là luật được thiết kế nhằm tạo điều kiện để người lao động Hoa Kỳ dễ dàng hơn trong việc duy trì phạm vi bảo hiểm y tế khi công việc có thay đổi hoặc bị mất việc. Điều luật cũng muốn khuyến khích sử dụng hồ sơ y tế điện tử để cải thiện hiệu suất và chất lượng của hệ thống chăm sóc sức khỏe Hoa Kỳ thông qua việc chia sẻ thông tin cải thiện.

    Cùng với việc tăng cường sử dụng hồ sơ y tế điện tử, HIPAA cũng bao gồm các điều khoản để bảo vệ sự an toàn và quyền riêng tư của thông tin sức khỏe được bảo vệ (PHI). PHI bao gồm một bộ dữ liệu lớn về y tế và sức khỏe có thể nhận dạng cá nhân, bao gồm thông tin bảo hiểm và thanh toán, dữ liệu chẩn đoán, dữ liệu chăm sóc lâm sàng và kết quả xét nghiệm như hình ảnh và kết quả kiểm tra. Các quy định của HIPAA áp dụng cho các thực thể được bảo hiểm, bao gồm bệnh viện, nhà cung cấp dịch vụ y tế, chương trình bảo hiểm sức khỏe do nhà tuyển dụng tài trợ, cơ sở nghiên cứu và công ty bảo hiểm giải quyết trực tiếp với bệnh nhân và xử lý dữ liệu bệnh nhân. Yêu cầu HIPAA để bảo vệ PHI cũng mở rộng cho các đối tác kinh doanh.

    Đạo luật Công nghệ thông tin y tế cho kinh tế y tế và Y tế lâm sàng (HITECH) đã mở rộng các quy định của HIPAA trong năm 2009. HIPAA và HITECH cùng nhau thiết lập một bộ tiêu chuẩn liên bang nhằm bảo vệ sự bảo mật và quyền riêng tư của PHI. Những điều khoản này được bao gồm trong những gì được gọi là quy tắc "Đơn giản hóa Hành chính". HIPAA và HITECH áp đặt các yêu cầu liên quan đến việc sử dụng và tiết lộ PHI, các biện pháp bảo vệ thích hợp để bảo vệ PHI, các quyền cá nhân và trách nhiệm quản lý.

    Để biết thêm thông tin về cách HIPAA và HITECH bảo vệ thông tin sức khỏe, hãy xem trang web Quyền riêng tư về thông tin sức khỏe từ Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ.

  • Đúng như tên gọi, Khuôn khổ bảo mật chung (CSF) của tổ chức Health Information Trust Alliance (HITRUST) "là khuôn khổ chứng nhận chuyên cung cấp cho các tổ chức một cách tiếp cận toàn diện, linh hoạt và hiệu quả để tuân thủ quy định và quản lý rủi ro. Được phát triển với sự cộng tác của các chuyên gia chăm sóc sức khỏe và bảo mật thông tin, HITRUST CSF hợp lý hóa các quy định và tiêu chuẩn liên quan tới chăm sóc sức khỏe thành một khuôn khổ bảo mật bao quát duy nhất".

    HITRUST CSF đóng vai trò hợp nhất các biện pháp kiểm soát bảo mật từ luật liên bang (như HIPAA và HITECH), luật tiểu bang (như Tiêu chuẩn bảo vệ thông tin cá nhân của người cư trú thuộc Khối Thịnh vượng chung của Massachusetts) và các khuôn khổ phi chính phủ (như Hội đồng Tiêu chuẩn bảo mật PCI) thành một khuôn khổ duy nhất được thiết kế cho nhu cầu chăm sóc sức khỏe.

    AWS cung cấp một nền tảng điện toán đáng tin cậy, có khả năng mở rộng và không tốn kém, có thể hỗ trợ các ứng dụng của khách hàng chăm sóc sức khỏe theo cách thức phù hợp với HIPAA, HITECH và HITRUST CSF.

  • Theo quy định của HIPAA, các nhà cung cấp dịch vụ đám mây (CSP) như AWS được coi là liên kết kinh doanh. Phụ lục Liên kết Kinh doanh (BAA) là hợp đồng của AWS được yêu cầu theo các quy tắc HIPAA để đảm bảo rằng AWS bảo vệ thông tin sức khỏe được bảo vệ (PHI) một cách thích hợp. BAA cũng đóng vai trò giải thích rõ và giới hạn, nếu thích hợp, các trường hợp AWS sử dụng và tiết lộ PHI được phép, căn cứ vào mối quan hệ giữa AWS và khách hàng của chúng tôi, cùng các hoạt động hoặc dịch vụ đang được AWS thực hiện.

  • Có. AWS có một Phụ lục liên kết kinh doanh tiêu chuẩn (BAA) mà chúng tôi trình bày cho khách hàng để kí kết. Phụ lục này có cân nhắc các dịch vụ độc nhất mà AWS cung cấp và đáp ứng cho Mô hình chia sẻ trách nhiệm của AWS.

    Để xem xét, chấp nhận và quản lý trạng thái của BAA cho tài khoản của bạn, hãy đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS. Nếu bạn không có quyền truy cập vào tài khoản của mình, hãy yêu cầu tài khoản IAM miễn phí từ quản trị viên của bạn và yêu cầu quyền truy cập vào chính sách Artifact IAM.

    Hướng dẫn từng bước: Tìm hiểu cách sử dụng AWS Artifact để chấp nhận thỏa thuận cho nhiều tài khoản trong tổ chức của bạn. (2:07)

    Xem cách sử dụng AWS Artifact để chấp nhận thỏa thuận trong tài khoản của bạn. (1:39)

  • Không có chứng chỉ HIPAA cho nhà cung cấp dịch vụ đám mây (CSP) như AWS. Để đáp ứng các yêu cầu của HIPAA áp dụng cho mô hình hoạt động của chúng tôi, AWS điều chỉnh chương trình quản lý rủi ro HIPAA của chúng tôi cho phù hợp với FedRAMP và NIST 800-53, vốn là những tiêu chuẩn bảo mật cao hơn và tương ứng với Quy tắc bảo mật của HIPAA. NIST hỗ trợ sự điều chỉnh này và đã ban hành SP 800-66 Giới thiệu hướng dẫn tài nguyên về triển khai quy tắc bảo mật của HIPAA, ghi lại cách NIST 800-53 điều chỉnh theo Quy tắc bảo mật của HIPAA.

  • Khách hàng có thể sử dụng bất kỳ dịch vụ AWS nào trong tài khoản được chỉ định làm tài khoản HIPAA, nhưng họ chỉ nên xử lý, lưu trữ và truyền thông tin sức khỏe được bảo vệ (PHI) trong các dịch vụ đủ điều kiện HIPAA được xác định trong Phụ lục liên kết kinh doanh (BAA). Để xem danh sách mới nhất về dịch vụ AWS hội đủ điều kiện HIPAA, hãy xem trang web Tham khảo dịch vụ hội đủ điều kiện HIPAA.

    AWS tuân theo một chương trình quản lý rủi ro dựa trên tiêu chuẩn để đảm bảo rằng các dịch vụ đủ điều kiện HIPAA đặc biệt hỗ trợ các quy trình bảo mật, kiểm soát và quản trị theo yêu cầu của HIPAA. Việc sử dụng các dịch vụ này để lưu trữ và xử lý PHI cho phép khách hàng của chúng tôi và AWS giải quyết các yêu cầu HIPAA áp dụng cho mô hình hoạt động dựa trên tiện ích của chúng tôi. AWS ưu tiên và thêm các dịch vụ đủ điều kiện mới dựa trên nhu cầu của khách hàng.

    Để biết thêm thông tin về chương trình liên kết kinh doanh của chúng tôi hoặc để yêu cầu các dịch vụ đủ điều kiện mới, vui lòng liên hệ với chúng tôi.

  • Không. Đây là một tình huống rất phổ biến và nhiều đối tác giải pháp HIPAA đã chạy các gói Dịch vụ phần mềm (SaaS) trong AWS. Bạn là đối tác SaaS của AWS ký một Phụ lục Liên kết Kinh doanh (BAA) với AWS. Sau đó, mỗi nhà cung cấp dịch vụ chăm sóc sức khỏe hoặc thực thể được bảo hiểm ký một BAA chỉ với bạn, đối tác của SaaS của AWS. Nếu thực thể được bảo hiểm sử dụng giải pháp SaaS của bạn cũng là khách hàng trực tiếp của AWS với các hệ thống liên quan đến HIPAA, thì thực thể được bảo hiểm có thể cần một BAA với bạn và một BAA khác với AWS.

  • Khách hàng của AWS và Đối tác của Amazon Partner Network (APN) đã ký hợp đồng liên kết kinh doanh (BAA) với AWS không bắt buộc phải sử dụng phiên bản chuyên dụng Amazon Elastic Compute Cloud (EC2) hoặc máy chủ chuyên dụng để xử lý thông tin sức khỏe được bảo vệ (PHI). Trước ngày 15/05/2017, chương trình tuân thủ HIPAA của AWS yêu cầu những khách hàng xử lý PHI bằng cách sử dụng Amazon EC2 phải sử dụng Phiên bản chuyên dụng hoặc Máy chủ chuyên dụng, nhưng yêu cầu này đã bị loại bỏ.

Tài nguyên HIPAA

Báo cáo nghiên cứu chuyên sâu về Kiến trúc cho bảo mật và tuân thủ HIPAA trên AWS
Bắt đầu nhanh: Tuân thủ HIPAA trên AWS
Nhà cung cấp dịch vụ chăm sóc sức khỏe và công ty bảo hiểm trong Đám mây
AWS Security Assurance Services
Bạn có thắc mắc? Hãy kết nối với đại diện kinh doanh AWS
Bạn đang khám phá vai trò của tuân thủ?
Hãy đăng ký ngay hôm nay »
Bạn muốn cập nhật Tuân thủ AWS?
Hãy theo dõi chúng tôi trên Twitter »