HIPAA
Información general
Una gran cantidad de proveedores, pagadores y profesionales de TI del sector de la sanidad utilizan los servicios en la nube basados en utilidades de AWS para procesar, almacenar y transmitir información sanitaria protegida (PHI).
AWS permite a las entidades y a sus socios comerciales, en sujeción a la ley estadounidense de responsabilidad y portabilidad de seguros médicos de 1996 (Health Insurance Portability and Accountability Act, HIPAA), usar el entorno seguro de AWS para procesar, mantener y almacenar información sanitaria protegida.
Para obtener información detallada acerca de cómo puede usar AWS para el procesamiento y almacenamiento de información de la salud, consulte el documento técnico Diseño de arquitecturas en Amazon Web Services para cumplir los requisitos de seguridad y conformidad de la HIPAA.
Clientes de AWS de los sectores de la sanidad y las ciencias biológicas
Preguntas frecuentes
-
¿Qué son HIPAA e HITECH?
La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) de 1996 es una legislación diseñada para facilitar que los trabajadores estadounidenses conserven la cobertura del seguro médico cuando cambian o pierden su trabajo. La legislación también busca fomentar la adopción de expedientes médicos electrónicos a fin de mejorar la eficacia y la calidad del sistema sanitario estadounidense mediante la mejora en el intercambio de información.
Además de incrementar el uso de expedientes médicos electrónicos, HIPAA incluye disposiciones para garantizar la seguridad y la privacidad de información sanitaria protegida (PHI). La PHI incluye una amplia variedad de datos sanitarios personalmente identificables y datos relacionados con la salud, que incluye información de facturación y del seguro hasta datos de diagnósticos, de atención clínica y de resultados de laboratorio, como imágenes y resultados de ensayos. Las normas de la HIPAA se aplican a las entidades afectadas, que incluyen hospitales, proveedores de servicios médicos, planes de salud respaldados por la empresa, instalaciones de investigación y compañías de seguros que interactúan directamente con los pacientes y sus datos. El requisito de la HIPAA para proteger la PHI también se extiende a los socios comerciales.
La ley sobre la tecnología de la información sanitaria para la economía y salud clínica (HITECH, Health Information Technology for Economic and Clinical Health Act) amplió las reglas de la HIPAA en 2009. HIPAA y HITECH establecen un conjunto de estándares federales creados para garantizar la seguridad y la privacidad de la información sanitaria protegida. Estas disposiciones se incluyen en lo que se conoce como las reglas de "simplificación administrativa". HIPAA e HITECH imponen requisitos relacionados con el uso y la divulgación de la información sanitaria protegida, los métodos adecuados para protegerla, los derechos individuales y las responsabilidades administrativas.
Para obtener más información sobre cómo HIPAA y HITECH protegen la información de la salud, consulte la página web Privacidad de la información sanitaria del Departamento de Salud y Servicios Humanos de EE.UU.
-
¿Qué es HITRUST?
El marco de seguridad común (CSF) de The Health Information Trust Alliance (HITRUST) es, en sus propias palabras, "un marco certificable que proporciona a las organizaciones un enfoque exhaustivo, flexible y eficaz para cumplir con los reglamentos y la administración de riesgos. El CSF de HITRUST, el cual se desarrolló en colaboración con profesionales sanitarios y de seguridad de la información, racionaliza los reglamentos y estándares sanitarios en un único marco de seguridad que lo engloba todo".
El CSF de HITRUST sirve para unificar los controles de seguridad de la ley federal (como HIPAA y HITECH), la ley estatal (como los Estándares de para la protección de la información personal de los residentes de la Commonwealth de Massachusetts) y los marcos no gubernamentales (como el Consejo de Estándares de Seguridad de PCI) en un marco único que se adapta a las necesidades sanitarias.
AWS proporciona una plataforma informática fiable, escalable y económica, capaz de respaldar las aplicaciones de los clientes del sector sanitario conforme a HIPAA, HITECH y el CSF de HITRUST.
-
¿Qué es un anexo para socios empresariales?
Bajo las regulaciones de la HIPAA, los proveedores de servicios en la nube (CSP) como AWS se consideran socios comerciales. El Anexo para socios empresariales (BAA) es un contrato de AWS que se exige según las normas de la HIPAA para garantizar que AWS proteja adecuadamente la información sanitaria protegida (PHI). El BAA también sirve para aclarar y limitar, según corresponda, los usos y las divulgaciones permisibles de la PHI por parte de AWS, en función de la relación entre AWS y nuestros clientes, y las actividades o servicios que realiza AWS.
-
¿AWS firmará un anexo para socios empresariales tal y como se describe en las reglas y los reglamentos de HIPAA?
Sí. AWS cuenta con un anexo para socios empresariales (BAA) estándar que presentamos a los clientes para que firmen. Tiene en cuenta los servicios exclusivos que AWS proporciona y da cabida al modelo de responsabilidad compartida de AWS.
Para revisar, aceptar y administrar el estado de un BAA para su cuenta, inicie sesión en AWS Artifact en la consola de administración de AWS. Si no tiene acceso a su cuenta, solicite una cuenta de IAM gratuita a su administrador y solicite acceso a las políticas de IAM de Artifact.
Guía paso a paso: aprenda a usar AWS Artifact para aceptar acuerdos para varias cuentas de su organización. (2:07)
Descubra cómo se puede usar AWS Artifact para aceptar un acuerdo para su cuenta. (1:39)
-
¿AWS cuenta con la certificación de HIPAA?
No existe ninguna certificación HIPAA para un proveedor de servicios en la nube (CSP) como AWS. Para cumplir los requisitos de HIPAA aplicables a nuestro modelo operativo, AWS adapta nuestro programa de administración de riesgos de HIPAA al FedRAMP y a NIST 800-53, que son estándares de seguridad superiores relacionados con la regla de seguridad de HIPAA. NIST respalda esta correspondencia y publicó 800-66, "An Introductory Resource Guide for Implementing the HIPAA Security Rule", donde se explica cómo NIST 800-53 se corresponde con la regla de seguridad de HIPAA.
-
¿Qué servicios puedo utilizar en mi cuenta de AWS si tengo un anexo para socios empresariales con AWS?
Los clientes pueden utilizar cualquier servicio de AWS en una cuenta designada como cuenta HIPAA, pero solo deberían procesar, almacenar y transmitir información sanitaria protegida (PHI) en los servicios compatibles con HIPAA definidos en el anexo para socios empresariales (BAA). Para obtener la última lista de servicios de AWS elegibles para HIPAA, consulte la página web Referencia de servicios compatibles con HIPAA.
AWS sigue un programa de administración de riesgos basado en estándares para garantizar que los servicios compatibles con HIPAA respalden específicamente los procesos de seguridad, control y administración exigidos por HIPAA. El uso de estos servicios para almacenar y procesar la información sanitaria protegida permite a nuestros clientes y a AWS cumplir con los requisitos de HIPAA aplicables a nuestro modelo operativo basado en utilidades. AWS prioriza y agrega servicios nuevos compatibles en función de la demanda de los clientes.
Para obtener más información sobre nuestro programa de socios empresariales o para solicitar más servicios compatibles, póngase en contacto con nosotros.
-
Soy un socio SaaS de AWS con un BAA y vendo mis soluciones SaaS a proveedores del sector sanitario u otras entidades cubiertas. ¿Las entidades cubiertas también deben firmar un BAA con AWS?
No. Esta es una situación muy común y muchos socios de soluciones HIPAA ejecutan sus ofertas de Software como Servicio (SaaS) en AWS. Usted, como socio de AWS SaaS, firma un Anexo para socios empresariales (BAA) con AWS. Luego, cada proveedor del sector sanitario o entidad cubierta firma un BAA solo con usted, el socio SaaS de AWS. Si la entidad cubierta que usa las soluciones SaaS también es cliente directo de AWS de sistemas relacionados con HIPAA, entonces es posible que la entidad cubierta tenga que necesitar un BAA con usted y otro con AWS.
-
¿El programa de conformidad con HIPAA de AWS requiere que use instancias dedicadas de Amazon EC2 o hosts dedicados para procesar información sanitaria protegida?
No es necesario que los clientes de AWS y los socios de la red de socios de AWS (APN) que hayan firmado un Anexo para socios empresariales (BAA) con AWS utilicen instancias dedicadas de Amazon Elastic Compute Cloud (EC2) o hosts dedicados para procesar información sanitaria protegida (PHI). Antes del 15 de mayo de 2017, el programa de conformidad con HIPAA de AWS requería que los clientes que procesaran PHI con Amazon EC2 debían usar instancias dedicadas o hosts dedicados, pero este requisito se eliminó.