O Federal Risk and Authorization Management Program (FedRAMP, Programa Federal de Gerenciamento de Riscos e Autorizações) é um programa do governo dos EUA que disponibiliza uma abordagem padrão para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços na nuvem. O FedRAMP é obrigatório para todos os órgãos federais dos EUA e todos os serviços na nuvem, incluindo o Departamento de Saúde e Serviços Humanos dos Estados Unidos.

 Duas autorizações do FedRAMP Agency diferentes foram emitidas: a primeira contempla a região AWS GovCloud (EUA) e a segunda as regiões da AWS Leste e Oeste dos EUA.

A HITRUST CSF (Cloud Security Framework) unifica controles de segurança baseados em aspectos de leis federais dos EUA (como HIPAA e HITECH), leis estaduais (como a Standards for the Protection of Personal Information of Residents of the Commonwealth, de Massachusetts) e padrões de conformidade não governamentais reconhecidos (como o PCI DSS) em uma única estrutura, personalizada de acordo com as necessidades da área de saúde.

Alguns serviços da AWS foram avaliados pelo Programa de garantia da HITRUST CSF por um avaliador aprovado da HITRUST CSF e foi determinado que cumprem os critérios de certificação da HITRUST CSF v9.3.

Os clientes podem usar qualquer serviço da AWS em uma conta designada como uma conta HIPAA, mas eles devem apenas processar, armazenar e transmitir informações de saúde protegidas (PHI) com os serviços elegíveis para a HIPAA.

A Health Insurance Portability and Accountability Act (HIPAA – Lei de portabilidade e responsabilidade de provedores de saúde) de 1996 é uma lei criada para facilitar a retenção da cobertura de seguros de saúde por trabalhadores dos EUA que mudam de trabalho ou que são demitidos. A lei também procurou estimular a adoção de prontuários médicos eletrônicos para melhorar a eficiência e a qualidade do sistema de assistência média dos EUA por meio do compartilhamento de informações aperfeiçoado.

A Health Information Technology for Economic and Clinical Health Act (HITECH – Lei de tecnologia da informação para saúde econômica e clínica) ampliou as regras da HIPAA em 2009. A HIPAA e a HITECH estabelecem juntas um conjunto de normas federais destinadas a proteger a segurança e a privacidade das PHI. Essas disposições estão incluídas no que é chamado de regras de “Simplificação administrativa”. A HIPAA e a HITECH impõem requisitos relacionados ao uso e à divulgação das PHI, medidas adequadas para proteção das PHI, direitos individuais e responsabilidades administrativas.

A PHIPA é uma regulamentação de privacidade em Ontario que se aplica à coleta, ao uso e à divulgação de informações pessoais de saúde (PHI) durante o fornecimento ou facilitação de serviços da saúde.

O Health and Social Care Cloud Security – Good Practice Guide (Segurança na nuvem para saúde e assistência social – Guia de boas práticas) guia foi escrito em conjunto pelo NHS Digital, NHS England, Departamento de Saúde e Assistência Social e NHS Improvement.

Esta orientação explica as proteções que devem ser implementadas para que as organizações de saúde e assistência social possam localizar com segurança dados de saúde e assistência social, incluindo informações confidenciais do paciente na nuvem pública, incluindo soluções que hospedam dados em outros países.

A AWS habilita a conformidade por meio da classificação das workloads que estão sendo implantadas na AWS e oferece suporte implementando os controles apropriados à classe. O white paper, "Using AWS in the context of NHS Cloud Security Guidance" (Usar a AWS no contexto das diretrizes de segurança na nuvem do NHS) inclui atividades detalhadas de gerenciamento de riscos a serem empreendidas pelas organizações. A maioria dessas atividades compreende medidas técnicas apropriadas ao nível de segurança exigido.

Hébergeur de Données de Santé (HDS): introduzida pela agência governamental francesa para a saúde, a “Agence du Numérique en Santé” (ANS), a certificação HDS (Hébergeur de Données de Santé) visa reforçar a segurança e a proteção dos dados pessoais de saúde.

Para receber a certificação HDS, um provedor de TI deve ter a certificação ISO 27001. Isso significa que os serviços cobertos pela nossa certificação ISO 27001 estão incluídos no escopo da HDS. Os produtos da AWS que estão no escopo para a certificação ISO/IEC 27001:2013 podem ser encontrados na página da Certificação ISO.  

O DiGAV foi introduzido em abril de 2020 para auxiliar na digitalização do sistema de saúde alemão. O sistema DiGAV permite que determinados pedidos de assistência médica sejam reconhecidos como reembolsáveis no sistema de seguro de saúde legal alemão. No entanto, para que as organizações cumpram e habilitem a elegibilidade para reembolso por meio do DiGAV, elas devem demonstrar que seus aplicativos atendem aos requisitos de proteção de dados do DiGAV, incluindo que os dados pessoais são processados exclusivamente no Espaço Econômico Europeu (EEE) ou em um país com uma decisão de adequação do a Comissão Europeia com base no artigo 45 do Regulamento Geral de Proteção de Dados da UE (GDPR).

A AWS fornece uma série de ferramentas líderes do setor para oferecer suporte aos clientes que atendem aos requisitos regulatórios e legislativos locais, incluindo o German Digital Supply Act (DVG) e o Digital Health Applications Ordinance (DiGAV) associado, à medida que movem cargas de trabalho de saúde para a nuvem.

A Lei de Proteção de Informações Pessoais (APPI) é a principal legislação que dispõe sobre dados pessoais no Japão.

A APPI se aplica a todos os operadores de negócios (pessoas físicas e jurídicas) que processam informações pessoais. A APPI também distingue entre informações pessoais e dados pessoais (que a APPI define como informações pessoais que fazem parte de um banco de dados de informações pessoais). As obrigações de operadores empresariais variam em função de esses operadores adquirirem, usarem ou fornecerem informações pessoais ou dados pessoais.

A AWS implementa e mantém medidas de segurança técnica e organizacional aplicáveis a serviços de infraestrutura da Nuvem AWS de acordo com estruturas e certificações de garantia de segurança reconhecidas mundialmente, incluindo ISO 27001, ISO 27017, ISO 27018, PCI DSS Level 1 e SOC 1, 2 e 3. Essas medidas de segurança técnica e organizacional são validadas por avaliadores externos independentes e são projetadas para impedir o acesso não autorizado ao conteúdo de clientes ou a divulgação não autorizada desse conteúdo.

A Lei de Proteção de Dados Pessoais de 2012 (PDPA) aplica-se à proteção de dados pessoais em Singapura, inclusive para casos de transferência de dados pessoais internacionalmente para processamento. A PDPA rege a coleta, o uso, a divulgação e a proteção de dados pessoais.

A AWS implementa e mantém medidas de segurança técnica e organizacional aplicáveis a serviços de infraestrutura da Nuvem AWS de acordo com estruturas e certificações de garantia de segurança reconhecidas mundialmente, incluindo ISO 27001, ISO 27017, ISO 27018, PCI DSS Level 1 e SOC 1, 2 e 3. Essas medidas de segurança técnica e organizacional são validadas por avaliadores externos independentes e são projetadas para impedir o acesso não autorizado ao conteúdo de clientes ou a divulgação não autorizada desse conteúdo.

A AWS oferece suporte a muitas organizações de saúde em todo o mundo, fornecendo a tecnologia necessária para se movimentar na velocidade necessária para causar impacto, desde o uso do compartilhamento de dados médicos para diagnosticar doenças anteriormente desconhecidas até a identificação de novos vírus para evitar outra pandemia e muitas outras funções críticas. Tudo isso enquanto permite que os clientes atendam aos mais altos requisitos de segurança e conformidade. Como exemplo, a Integrated Health Information Systems (IHiS) de Singapura, a agência responsável por fornecer as tecnologias capacitadoras que alimentam a saúde pública de Singapura, recorreu à AWS para dimensionar com segurança seus sistemas de TI de operações de vacinação para sustentar cargas significativamente mais altas em um prazo muito curto, de uma carga inicial de 8.000 vacinações diárias para um pico de 80.000 vacinações diárias em um período de
quatro semanas.