Crea applicazioni che archiviano, elaborano e trasmettono informazioni sensibili relative alla salute, in conformità con gli obblighi di privacy e sicurezza.
In AWS, sicurezza e privacy sono la priorità assoluta
Offriamo, specificamente per il settore sanitario, una serie di certificazioni e accreditamenti globali (HIPAA, HITRUST, GDPR e altri) che consentono di archiviare, elaborare o trasmettere i dati più sensibili nel cloud e migliorare il livello di sicurezza e conformità.
Ruoli e responsabilità
I tuoi dati, archiviati in AWS, sono i tuoi dati. Il nostro modello di sicurezza condiviso garantisce la proprietà e il controllo dei dati in modo continuativo e senza interruzioni. Offriamo una solida gamma di soluzioni per mantenere i dati sanitari al sicuro e sempre disponibili. AWS fornisce l'accesso a più di 130 servizi con conformità HIPAA, nonché numerose certificazioni per gli standard di conformità globali rilevanti per il settore, incluso il supporto per GDPR, HITRUST, ENS High, HDS e C5. Inoltre, con il doppio delle zone di disponibilità rispetto a qualsiasi altro provider cloud, le organizzazioni sanitarie possono approfittare della scalabilità, della sicurezza e dell'affidabilità di AWS.
AWS e privacy dei dati
AWS prende la sicurezza dei dati molto seriamente: mantenere la fiducia dei clienti è un impegno costante. I clienti gestiscono sempre l'accesso ai propri servizi e contenuti. Non accediamo né utilizziamo i contenuti dei clienti per alcun motivo senza il loro consenso. I clienti scelgono le regioni in cui saranno archiviati i contenuti dei propri clienti. Non trasferiamo o replichiamo contenuti dei clienti al di fuori della regione o delle regioni scelte senza il loro consenso.
Responsabilità condivisa
Comprendere come sviluppare applicazioni sanitarie su AWS significa comprendere il modello di responsabilità condivisa. Nel cloud AWS, la sicurezza è condivisa tra AWS e il cliente. Ciò significa che alcuni elementi della sicurezza (come la sicurezza fisica dell'infrastruttura sottostante) sono ora responsabilità di AWS. I clienti sono ancora responsabili di altri aspetti di sicurezza (come le misure utilizzate per proteggere le applicazioni), proprio come se l'applicazione fosse in esecuzione in un data center tradizionale.
Allineamenti/framework di conformità nel settore sanitario AWS
- Le certificazioni di conformità AWS dimostrano la sicurezza del cloud e l'efficienza operativa dei controlli AWS. I clienti sono responsabili della sicurezza nel cloud.
- I clienti ereditano queste certificazioni di conformità e possono utilizzarle per dimostrare parte della conformità ad autorità di audit e agenzie regolatorie.
Le certificazioni e gli attestati di conformità sono valutati da auditor di terze parti indipendenti e determinano certificazioni, report di audit o attestati di conformità.
Spetta sempre ai clienti AWS la responsabilità della conformità alle leggi e alle normative sulla conformità vigenti. In alcuni casi, AWS offre funzionalità (ad esempio, funzioni di sicurezza), strumenti e accordi legali (come l'addendum al contratto sul trattamento dei dati e il contratto di società in affari di AWS) a supporto della conformità del cliente.
Certificazioni formali non sono disponibili per (o distribuibili da) un provider di servizi cloud in queste aree giuridiche e normative.
Gli allineamenti e i framework di conformità includono requisiti di conformità o sicurezza pubblicati per uno scopo specifico, come un settore o una funzione. AWS fornisce funzionalità (ad esempio, funzioni di sicurezza) e strumenti (tra cui playbook sulla conformità, documenti di mappatura e whitepaper) per questi tipi di programmi.
È importante menzionare il modello di responsabilità condivisa nel discutere della conformità normativa. AWS introduce tecnologie all'avanguardia, esamina le certificazioni e gli attestati standard del settore a livello globale e regionale, ove possibile, e si allinea ai framework del settore per facilitare l'implementazione conforme dei servizi AWS per la conformità sanitaria. Sotto l'egida del modello di responsabilità condivisa, i clienti possono ereditare i controlli conformi e le capacità necessarie per soddisfare le esigenze di conformità sanitaria in quella regione.
Le seguenti informazioni illustrano certificazioni rappresentative, leggi sanitarie e framework pertinenti.
Certificazioni e attestati chiave
ISO 9001
ISO 27001, 27017, 27018
SOC 1, 2, 3
PCI DSS livello 1
FedRAMP
Cyber Essentials Plus
SRG del Dipartimento della Difesa statunitense
Leggi sanitarie: normative e privacy
GDPR
HIPAA
HITECH
PDPA-2012 (Singapore)
PIPEDA (Canada)
Privacy Act (Australia)
PDPA -2010 (Malaysia)
Allineamenti e framework chiave
CSA (Cloud Security Alliance)
EU-US Privacy Shield
NIST
Controlli IT BioPhorum
Stati Uniti
AWS e FedRAMP
FedRAMP è l'acronimo di Federal Risk and Authorization Management Program, un programma federale statunitense che propone un approccio standardizzato a valutazioni di sicurezza, assegnazione di autorizzazioni e monitoraggio continuo nell'ambito di servizi e prodotti cloud. FedRAMP è un programma obbligatorio per tutte le agenzie federali statunitensi e tutti i servizi cloud, compresi il Dipartimento della Salute pubblica e dei Servizi alla persona degli Stati Uniti.
AWS ha ottenuto due autorizzazioni Agency FedRAMP separate, una a copertura della regione AWS GovCloud (Stati Uniti), l'altra delle regioni Stati Uniti occidentali e orientali.
Conformità AWS e HITRUST
Lo standard HITRUST CSF (framework di sicurezza per il cloud) serve a unificare i controlli di sicurezza basati su aspetti della legge federale degli Stati Uniti (come HIPAA e HITECH), della legge statale (come gli standard per la protezione dei dati personali dei residenti del Commonwealth del Massachusetts) e di standard riconosciuti di conformità non governativa (come PCI DSS) in un unico framework su misura per le esigenze sanitarie.
Alcuni servizi AWS sono stati valutati nell'ambito del programma di garanzia HITRUST CSF da un valutatore HITRUST CSF conforme ai criteri di certificazione HITRUST CSF v9.3.
I clienti potranno usare tutti i servizi AWS all'interno dell'account designato secondo la normativa HIPAA, ma potranno elaborare, archiviare e trasmettere informazioni sanitarie protette solamente nell'ambito dei servizi idonei secondo la normativa HIPAA.
Conformità AWS, HIPAA e HITECH
L'Health Insurance Portability and Accountability Act del 1996 (HIPAA) è una legge che ha lo scopo di rendere più facile per i lavoratori statunitensi mantenere la copertura assicurativa sanitaria quando cambiano o perdono il posto di lavoro. La legge promuove inoltre l'utilizzo dei registri sanitari in formato elettronico per migliorare l'efficienza e la qualità del sistema sanitario statunitense mediante la condivisione delle informazioni.
L'Health Information Technology for Economic and Clinical Health Act (HITECH) ha ampliato le norme HIPAA nel 2009. HIPAA e HITECH stabiliscono un insieme di standard federali volti a proteggere la sicurezza e la privacy delle informazioni sanitarie protette. Queste disposizioni sono incluse in quelle che vengono definite regole di “semplificazione amministrativa”. HIPAA e HITECH impongono requisiti correlati all'uso e alla divulgazione delle informazioni sanitarie protette, misure di sicurezza per la protezione di tali informazioni, diritti individuali e responsabilità amministrative.
Canada
Personal Information Protection and Electronic Documents Act (PIPEDA)
Il Personal Information Protection and Electronic Documents Act (PIPEDA) è una legge federale canadese applicabile alla raccolta, all'utilizzo e alla divulgazione delle informazioni personali nel corso delle attività commerciali in tutte le province del Canada.
L'Health Information Act (HIA) è una legge sulla tutela dei dati personali vigente nella provincia di Alberta che si applica alla raccolta, all'utilizzo, alla divulgazione e alla protezione delle informazioni sanitarie che sono in custodia o sotto il controllo di un custode.
La regione AWS Canada (Centrale) è attualmente disponibile per diversi servizi, come: Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) e Amazon Relational Database Service (Amazon RDS).
Personal Health Information Protection Act (Ontario)
Il Personal Health Information Protection Act (PHIPA) è una legge sulla privacy dell'Ontario che si applica alla raccolta, all'uso e alla divulgazione di informazioni sanitarie protette durante la prestazione o per la facilitazione dei servizi sanitari.
Regno Unito
Health and Social Care Cloud Security: Good Practice Guide
La guida Health and Social Care Cloud Security: Good Practice Guide è stata scritta congiuntamente da NHS Digital, da NHS England, dal Dipartimento della sanità e dell'assistenza sociale del Regno Unito e da NHS Improvement.
Questa guida illustra le protezioni da mettere in atto affinché le organizzazioni sanitarie e di assistenza sociale possano individuare in sicurezza i dati sanitari e assistenziali, comprese informazioni sensibili dei pazienti, nel cloud pubblico. Tali protezioni includono soluzioni che utilizzano la delocalizzazione dei dati.
AWS consente la conformità grazie alla classificazione dei carichi di lavoro implementati in AWS e supporta l'implementazione dei controlli di classe appropriati. Il whitepaper “Using AWS in the context of NHS Cloud Security Guidance” include attività dettagliate di gestione del rischio che le organizzazioni devono intraprendere, incluse soprattutto misure tecniche adeguate al livello di sicurezza richiesto.
Francia
Hébergeur de Données de Santé (HDS)
Hébergeur de Données de Santé (HDS): presentata dall'agenzia per la salute governativa francese, Agence du Numérique en Santé (ANS), la certificazione HDS mira a rafforzare la sicurezza e la protezione dei dati sanitari personali.
Per ottenere la certificazione HDS un provider IT deve essere certificato ISO 27001. Ciò significa che i servizi coperti dalla nostra certificazione ISO 27001 sono inclusi anche nell'ambito della HDS. I servizi AWS che rientrano nel campo di applicazione della certificazione ISO/IEC 27001:2013 sono disponibili nella pagina Web della Certificazione ISO.
Germania
Conformità DiGAV
La DiGAV è stata introdotta nell'aprile 2020 per supportare la digitalizzazione del sistema sanitario tedesco. La DiGAV consente a determinate applicazioni sanitarie di essere riconosciute come rimborsabili nell'ambito del sistema obbligatorio di assicurazione sanitaria tedesco. Tuttavia, affinché le organizzazioni siano conformi e consentano l'idoneità al rimborso tramite la DiGAV, devono dimostrare che le applicazioni soddisfano i requisiti di protezione dei dati della DiGAV, tra cui l'elaborazione dei dati personali esclusivamente all'interno dello Spazio economico europeo (SEE) o in un Paese con una decisione di adeguatezza della Commissione europea ai sensi dell'articolo 45 del Regolamento generale sulla protezione dei dati (GDPR) dell'UE.
AWS offre una serie di strumenti leader del settore per supportare i clienti a soddisfare requisiti normativi e legislativi locali, comprese la Legge tedesca sulla fornitura digitale (DVG) e l'Ordinanza sulle applicazioni sanitarie digitali (DiGAV), nello spostamento dei carichi di lavoro sanitari al cloud.
Giappone
Act on the Protection of Personal Information (APPI)
L'Act on the Protection of Personal Information (APPI) è la legislazione principale relativa ai dati personali in Giappone.
L'APPI si applica a tutti gli operatori aziendali (persone fisiche e giuridiche) che gestiscono informazioni personali. Inoltre, l'APPI distingue tra informazioni personali e dati personali (che APPI definisce come informazioni personali che comprendono parte di un database di tali informazioni). Gli obblighi degli operatori aziendali variano a seconda che questi ultimi acquisiscano, utilizzino o forniscano informazioni o dati personali.
AWS implementa e mantiene misure tecniche e organizzative di sicurezza applicabili ai servizi di infrastruttura cloud AWS, in base a framework e certificazioni di sicurezza globalmente riconosciuti, tra cui ISO 27001, ISO 27017, ISO 27018, PCI DSS livello 1 e SOC 1, 2 e 3. Queste misure di sicurezza tecnica e organizzativa sono valutate da enti di controllo indipendenti di terze parti e sono studiate per impedire l'accesso non autorizzato o la divulgazione dei contenuti dei clienti.
Singapore
Personal Data Protection Act 2012 (PDPA)
Il Personal Data Protection Act 2012 (PDPA) è la legge sulla protezione dei dati personali vigente in Singapore, anche nel caso di trasferimento dei dati personali all'estero per l'elaborazione. Il PDPA disciplina la raccolta, l'uso, la divulgazione e la protezione dei dati personali.
AWS implementa e mantiene misure tecniche e organizzative di sicurezza applicabili ai servizi di infrastruttura cloud AWS, in base a framework e certificazioni di sicurezza globalmente riconosciuti, tra cui ISO 27001, ISO 27017, ISO 27018, PCI DSS livello 1 e SOC 1, 2 e 3. Queste misure di sicurezza tecnica e organizzativa sono valutate da enti di controllo indipendenti di terze parti e sono studiate per impedire l'accesso non autorizzato o la divulgazione dei contenuti dei clienti.
AWS supporta molte organizzazioni sanitarie in tutto il mondo offrendo la tecnologia di cui hanno bisogno per muoversi alla velocità necessaria per avere un impatto, dall'utilizzo della condivisione di dati medici per diagnosticare patologie precedentemente sconosciute all'identificazione di nuovi virus per prevenire una nuova pandemia, e molte altre funzionalità fondamentali, il tutto consentendo ai clienti di soddisfare i massimi standard di sicurezza e requisiti di conformità. Ad esempio, l'Integrated Health Information Systems (IHiS) di Singapore, l'agenzia responsabile per la fornitura delle tecnologie abilitanti che alimentano la sanità pubblica di Singapore, si è rivolta ad AWS per scalare in sicurezza i sistemi IT per le operazioni di vaccinazione al fine di sostenere carichi significativamente maggiori con breve preavviso, da un carico iniziale di 8.000 vaccini al giorno a un picco di 80.000 vaccini al giorno in
quattro settimane.
