El Programa Federal de Administración de Riesgos y Autorizaciones (FedRAMP) es un programa amplio del gobierno de EE. UU. que ofrece un enfoque estandarizado para el monitoreo continuo, las autorizaciones y la evaluación de la seguridad de servicios y productos en la nube. FedRAMP es obligatorio para todas las agencias federales estadounidenses y todos los servicios en la nube, incluido el Departamento de Salud y Servicios Humanos de los Estados Unidos.

 Se emitieron dos autorizaciones independientes para agencias basadas en el FedRAMP: una para la región AWS GovCloud (EE. UU.) y otra para las regiones de AWS Este de EE. UU. y Oeste de EE. UU.

HITRUST CSF (marco de seguridad en la nube) sirve para unificar los controles de seguridad basados en aspectos de la ley federal de los EE.UU. (como HIPAA e HITECH), la ley estatal (como las normas de Massachusetts para la protección de la información personal de los residentes de Commonwealth) y las normas de conformidad no gubernamentales reconocidas (como PCI DSS) en un marco único que se adapta a las necesidades del sector sanitario.

Un asesor aprobado para este marco ha evaluado ciertos servicios de AWS según el HITRUST CSF Assurance Program e indicó que cumplen con los criterios de la certificación del marco HITRUST CSF v9.3.

Los clientes pueden utilizar cualquier servicio de AWS en una cuenta designada como cuenta la HIPAA, pero solo deben procesar, almacenar y transmitir información sanitaria protegida (PHI) en los servicios compatibles con la HIPAA.

La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) de 1996 es una legislación diseñada para facilitar que los trabajadores estadounidenses conserven la cobertura del seguro médico cuando cambian o pierden su trabajo. La legislación también busca fomentar la adopción de expedientes médicos electrónicos a fin de mejorar la eficacia y la calidad del sistema sanitario estadounidense mediante la mejora en el intercambio de información.

La ley sobre la tecnología de la información sanitaria para la economía y salud clínica (HITECH, Health Information Technology for Economic and Clinical Health Act) amplió las reglas de la HIPAA en 2009. HIPAA y HITECH establecen un conjunto de estándares federales creados para garantizar la seguridad y la privacidad de la información sanitaria protegida. Estas disposiciones se incluyen en lo que se conoce como las reglas de «simplificación administrativa». HIPAA e HITECH imponen requisitos relacionados con el uso y la divulgación de la información sanitaria protegida, los métodos adecuados para protegerla, los derechos individuales y las responsabilidades administrativas.

La Ley de Protección de Información de Salud Personal (PHIPA) es legislación sobre privacidad de Ontario que se aplica a la recopilación, el uso y la divulgación de información de salud personal (PHI) durante el suministro o la facilitación de servicios de salud.

La guía Health and Social Care Cloud Security – Good Practice Guide (Seguridad en la nube para sanidad y asistencia social: guía de buenas prácticas) ha sido redactada de manera conjunta por NHS Digital, NHS England, el Departamento de Salud y Asistencia Social de Inglaterra y NHS Improvement.

Esta guía explica las medidas de protección que deben implantarse para que las organizaciones sanitarias y de asistencia social pueden almacenar de manera segura datos sanitarios y de asistencia social, incluida información confidencial de los pacientes en la nube pública, por ejemplo, en soluciones que deslocalizan datos.

AWS hace posible la conformidad mediante la clasificación de cargas de trabajo que se implementan en AWS y ofrece soporte al implementar los controles adecuados según cada clase. El documento técnico, «Using AWS in the context of NHS Cloud Security Guidance» (Uso de AWS en el contexto de la guía de seguridad en la nube del Servicio Nacional de Salud inglés), incluye actividades detalladas de administración de riesgos para que las organizaciones las lleven a cabo. Comprende principalmente medidas técnicas apropiadas para el nivel de seguridad requerido.

El Hébergeur de Données de Santé (HDS) es una certificación de la agencia gubernamental francesa para la salud, «Agence du Numérique en Santé» (ANS), cuyo objetivo es reforzar la seguridad y la protección de los datos de salud personales.

Para contar con la certificación HDS, un proveedor de TI debe tener la certificación ISO 27001. Esto significa que los servicios cubiertos por nuestra certificación ISO 27001 están incluidos en el ámbito de HDS. En la página web sobre certificaciones ISO, podrá encontrar los servicios de AWS que entran en el ámbito de la certificación ISO/IEC 27001:2013.  

La DiGAV (Ordenanza de Aplicaciones de Salud Digital) se estableció en abril de 2020 como respaldo a la digitalización del sistema sanitario alemán. Esta ordenanza permite que ciertas aplicaciones de asistencia sanitaria sean reconocidas como reembolsables de acuerdo con el sistema de seguro médico estatutario alemán. Sin embargo, para que las organizaciones cumplan con dicha ordenanza y sean aptas para el reembolso, deben demostrar que sus aplicaciones cumplen los requisitos de protección de datos de la DiGAV, incluido el hecho de que los datos personales sean procesados exclusivamente dentro del Área Económica Europea (AEE) o en un país establecido como adecuado para tal fin según la Comisión Europea, con base en el artículo 45 del Reglamento General de Protección de Datos (RGPD) de la Unión Europea.

AWS proporciona varias de las principales herramientas de la industria para ayudar a los clientes con las normativas y regulaciones locales, incluida la Ley de Suministro Digital (Digital Supply Act, DVG) de Alemania y la Ordenanza de Aplicaciones de Salud Digital (Digital Health Applications Ordinance, DiGAV) asociada, para facilitar la migración a la nube de cargas de trabajo relacionadas con la asistencia sanitaria.

La Ley de Protección de la Información Personal (APPI) es la legislación principal que trata los datos personales en Japón.

La APPI se aplica a todos los operadores comerciales (individuos y entidades) que manejan información personal. Esta ley también distingue entre información personal y datos personales (lo cual esta misma ley define como información personal que forma parte de una base de datos con este contenido). Las obligaciones de los operadores comerciales varían dependiendo de si adquieren, usan o proporcionan información personal o datos personales.

AWS implementa y mantiene medidas de seguridad técnicas y organizativas aplicables a los servicios de infraestructura en la nube de AWS bajo marcos y certificaciones de garantía de seguridad reconocidos a nivel mundial, que incluyen ISO 27001, ISO 27017, ISO 27018, PCI DSS Nivel 1 y SOC 1, 2 y 3. Estas medidas de seguridad técnicas y de organización están validadas por asesores externos independientes y están diseñadas para evitar el acceso no autorizado o la divulgación del contenido del cliente.

La Ley de Protección de Datos Personales de 2012 (PDPA) es la ley correspondiente a la protección de datos personales en Singapur, que incluye la transferencia internacional de datos personales con fines de procesamiento. La ley PDPA rige la recopilación, el uso, la divulgación y la protección de datos personales.

AWS implementa y mantiene medidas de seguridad técnicas y organizativas aplicables a los servicios de infraestructura en la nube de AWS bajo marcos y certificaciones de garantía de seguridad reconocidos a nivel mundial, que incluyen ISO 27001, ISO 27017, ISO 27018, PCI DSS Nivel 1 y SOC 1, 2 y 3. Estas medidas de seguridad técnicas y de organización están validadas por asesores externos independientes y están diseñadas para evitar el acceso no autorizado o la divulgación del contenido del cliente.

AWS respalda a muchas organizaciones de asistencia sanitaria en todo el mundo con la tecnología precisa para marcar la diferencia: desde el uso compartido de datos médicos para diagnosticar enfermedades aún no conocidas hasta la identificación de nuevos virus para evitar otra pandemia, entre otras muchas funciones clave; todo ello a la vez que permite a los clientes cumplir con los requisitos más elevados de seguridad y conformidad. Por nombrar un ejemplo, los Sistemas de Información Sanitaria Integrados (Integrated Health Information Systems, IHiS) de Singapur, la agencia responsable de suministrar las tecnologías que respaldan la asistencia sanitaria pública en Singapur, se trasladaron a AWS para escalar de forma segura sus sistemas de TI para operaciones de vacunación, y así soportar cargas significativamente más altas en muy poco tiempo, de una carga inicial de 8000 vacunaciones diarias a un pico de 80 000 en un plazo de
cuatro semanas.