构建可存储、处理和传输医疗相关的敏感信息且符合您的隐私和安全义务的应用程序。
在 AWS,安全性和隐私是重中之重
特别是对医疗保健行业,我们提供了大量全球证书和认证(HIPAA、HITRUST、GDPR 等等),可让您将最敏感的数据存储到云中并对其进行处理或传输并且提高您的安全性和合规性水平。
角色和职责
您在 AWS 存储的数据,就是您的数据。我们的共享安全模型可确保您数据的所有权和控制权在您手中。我们提供一套稳健的解决方案,可确保医疗保健数据安全且随时可用。AWS 为与行业相关的全球 IT 和合规性标准提供 130 多项符合 HIPAA 要求的服务以及许多认证,包括对 GDPR、HITRUST、ENS High、HDS、C5 等的支持。并且,借助数量是任何其他云提供商两倍的可用区,医疗机构可以从 AWS 的规模、安全性和可靠性中获益。
AWS 与数据隐私
AWS 非常重视数据隐私,维持客户信任是一贯的宗旨。客户始终管理着其服务和内容的访问权限。未经客户同意,我们不会出于任何目的访问或使用客户内容。客户选择存储其客户内容的区域。未经客户同意,我们不会将客户内容移动或复制到客户所选区域之外。
责任共担
了解如何在 AWS 上构建医疗保健应用程序,即了解责任共担模型。在 AWS Cloud 中,AWS 和客户共同负责安全性,这意味着某些安全性元素(例如底层基础设施的物理安全性)现由 AWS 负责。客户仍负责安全性的其他方面(例如用于保护应用程序的安全措施),这与在传统数据中心运行应用程序没什么区别。
AWS 医疗保健合规性协定/框架
- AWS 合规性认证展示了“云的安全性”和 AWS 控制措施的运行有效性。 客户负责云中的安全性。
- 客户会继承这些合规性认证,并且可以将其用来向审计员和监管者展示他们的合规性部分。
合规性认证和鉴证由第三方独立审计机构评估,评估结果为证书、审计报告或合规性鉴证。
AWS 客户有责任遵守适用的合规性法律法规。在某些情况下,AWS 会提供各种功能(如安全功能)、工具和法律协议(如 AWS 数据处理协议和商业伙伴附录),以便为客户的合规性提供支持。
在此类法律和监管领域中,没有可用于云服务提供商(或由其分配)的正规认证。
合规协定和框架包含针对特定目的(如特定的行业或职能)发布的安全或合规性要求。AWS 针对此类计划提供各种功能(如安全功能)和工具(包括合规性行动手册、映射文档、白皮书等)。
在讨论监管合规性的同时有必要提一下责任共担模型。AWS 带来了最新的技术,尽可能通过了全球和区域范围内的行业标准认证和鉴证,与行业框架保持一致,从而帮助促进 AWS 服务的实施符合医疗保健要求。 在责任共担模型的保护下,客户可以继承合规控制措施能力,满足该地区医疗保健合规性的需要。
以下信息提供了代表认证、医疗保健法律和相关框架。
重要认证和鉴证
ISO 9001
ISO 27001、27017、27018
SOC 1、2、3
PCI DSS 第 1 级
FedRAMP
Cyber Essentials Plus
DoD SRG
医疗保健法律 - 法规和隐私
GDPR
HIPAA
HITECH
PDPA-2012(新加坡)
PIPEDA(加拿大)
隐私法(澳大利亚)
PDPA - 2010(马拉西亚)
重要协定和框架
CSA(云安全联盟)
欧盟–美国隐私护盾
NIST
BioPhorum IT 控制
美国
AWS 与 FedRAMP
联邦风险与授权管理计划 (FedRAMP) 是一项政府层面的计划,它提供一种标准方法来对云产品和云服务进行安全性评估、授权以及持续监控。所有美国联邦机构和所有云服务都必须强制执行 FedRAMP,包括美国卫生与公众服务部。
已颁发两个单独的 FedRAMP Agency 授权;一个涵盖 AWS GovCloud(美国)地区,另一个涵盖 AWS 美国东部/西部地区。
AWS 与 HITRUST 合规性
HITRUST CSF(Cloud Security Framework)有助于统一基于联邦法律(如 HIPAA 和 HITECH)、州法律(如马萨诸塞州的联邦居民个人信息保护标准)和公认的非政府合规标准(如 PCI DSS)的诸多安全控制措施,形成针对医疗保健需求专门设计的单个框架。
某些 AWS 服务已由经批准的 HITRUST CSF 评估员根据 HITRUST CSF 保证计划进行了评估,以符合 HITRUST CSF v9.3 认证标准。
客户可以通过被指定为 HIPAA 账户的账户使用任何 AWS 服务,但他们只能在符合 HIPAA 要求的服务中处理、存储和传输受保护的健康信息(PHI)。
AWS、HIPAA 与 HITECH 合规性
《1996 年健康保险流通与责任法案》(HIPAA)这项立法的目的在于使美国工人在跳槽或失业后更容易继续享受健康保险。该法案还力图推动电子健康记录的采用,以便通过加强信息共享来提高美国医疗保健系统的效率和质量。
随着 2009 年《经济与临床健康信息技术法案》(HITECH)的颁布,HIPAA 条例得到了进一步的扩充。HIPAA 和 HITECH 共同建立起了一套联邦标准,意在保障 PHI 的安全性和隐私性。这些条款包含在称为“简化管理”的规则中。HIPAA 和 HITECH 强制推行使用和披露 PHI 的相关要求、保护 PHI 的适当安全措施、个人权利和管理责任。
加拿大
《个人信息保护及电子文档法案》(PIPEDA)
《个人信息保护及电子文档法案》(PIPEDA)是一项加拿大联邦法律,适用于加拿大各省份商业活动中个人信息的收集、使用和披露。
《健康信息法案》(HIA)是亚伯达省的一项隐私法规,适用于受保管人保管或控制的健康信息的收集、使用、披露和保护。
AWS 加拿大(中部)区域目前可以提供多种服务,例如 Amazon Elastic Compute Cloud(Amazon EC2)、Amazon Simple Storage Service(Amazon S3)和 Amazon Relational Database Service(Amazon RDS)。
英国
医疗与社会保健云安全 – 最佳实践指南
医疗与社会保健云安全 – 最佳实践指南由 NHS Digital、NHS England、医疗与社会保健部及 NHS Improvement 联合编写。
此指南解释了必须采取哪些保护措施才能让医疗与社会保健组织安全地找到医疗与社会保健数据,包括公有云中的机密患者信息,包括充分利用数据离岸的解决方案。
AWS 通过将部署到 AWS 的工作负载进行分类实现合规性,并且通过实施适合分类的控制措施提供支持。白皮书《在 NHS 云安全指导的环境下使用 AWS》中包括组织要进行的详细风险管理活动,其中主要规定适合所需安全级别的技术措施。
法国
Hébergeur de Données de Santé (HDS)
Hébergeur de Données de Santé(HDS)- 由法国政府卫生机构“Agence du Numérique en Santé”(ANS)推出,HDS(Hébergeur de Données de Santé)认证旨在加强对个人健康数据的安全保护。
要获取 HDS 认证,IT 提供商必须先获得 ISO 27001 认证。这意味着我们的 ISO 27001 认证涵盖了 HDS 的范围。ISO/IEC 27001:2013 认证涵盖的 AWS 服务可以在 ISO 认证页面中找到。
德国
DiGAV 合规性
DiGAV 于 2020 年 4 月引入,用来支持德国医疗体系的数字化。DiGAV 可让某些医疗保健应用程序在德国法定医保体系下被识别为可退款。但是,对于符合且有资格申请通过 DiGAV 报销的组织来说,他们必须展示出,他们的应用程序符合 DiGAV 数据保护要求,包括依据《欧盟通用数据保护条例》(GDPR)第 45 条在欧洲经济区(EEA)或持有欧盟委员会充分性决定的国家/地区排他地处理个人数据。
AWS 提供了大量行业领先的工具,帮助客户在将医疗保健工作负载迁移到云的过程中满足当地法规和法律要求,包括《德国数字供给法案》(DVG)和关联的《数字医疗应用法令》(DiGAV)。
日本
《个人信息保护法》(APPI)
《个人信息保护法》(APPI)是日本处理个人数据的主要立法。
APPI 适用于负责处理个人信息的所有经营者(个人和实体)。APPI 还区分个人信息和个人数据(APPI 将个人数据定义为构成个人信息数据库一部分的个人信息)。经营者的义务因其是否取得、使用或提供个人信息或个人数据而异。
根据全球公认的安全保障框架和认证,包括 ISO 27001、ISO 27017、ISO 27018、PCI DSS 第 1 级 和 SOC 1、2 和 3,AWS 实施并维护适用于 AWS 云基础设施服务的技术和组织安全措施。这些技术和组织安全措施由独立的第三方评估机构验证,旨在防止未经授权访问或泄露客户内容。
新加坡
《2012 年个人数据保护法案》(PDPA)
《2012 年个人数据保护法案》(PDPA)是一项用于在新加坡保护个人数据的法案,其中包括在国际间传输个人数据以进行处理的情况。PDPA 会监管个人数据的收集、使用、披露和保护情况。
根据全球公认的安全保障框架和认证,包括 ISO 27001、ISO 27017、ISO 27018、PCI DSS 第 1 级 和 SOC 1、2 和 3,AWS 实施并维护适用于 AWS 云基础设施服务的技术和组织安全措施。这些技术和组织安全措施由独立的第三方评估机构验证,旨在防止未经授权访问或泄露客户内容。
AWS 为许多医疗保健组织提供全球支持,包括提供快速进行迁移所需的技术,从使用医疗数据共享功能来诊断之前未知的疾病到确定新病毒,防止再次发生流行病,还提供许多其他重要功能,做到这一切的同时还可让客户满足最严苛的安全性和合规性要求。举个例子,新加坡的 Integrated Health Information Systems(IHiS),这家机构负责提供为新加坡公共医疗保健事业提供支持的技术,它使用 AWS 安全地扩展其疫苗接种操作 IT 系统,从而在提前很短时间收到通知时维持非常高的负载,在四周内将每天 8,000 次疫苗接种的初始负载提升到最高每天 80,000 次疫苗接种
。
