Conformidade é sempre um tópico muito importante em grandes empresas e de mercados com grandes regulações. Na área da saúde não é diferente, já que trata de informações sensíveis que devem ser gerenciadas de forma segura, inovadora e adequada às regulamentações do mercado.
Nesse cenário, a Health Insurance Portability and Accountability Act – HIPAA (Lei de Portabilidade e Responsabilidade do Seguro de Saúde em tradução livre), aprovada pelo Congresso dos EUA em 1996 estabeleceu um conjunto nacional de padrões de segurança para proteger informações de saúde, com aplicação também para ambientes em nuvem.
O que diz a regulação?
A HIPAA exige a implementação de salvaguardas para garantir confidencialidade, integridade e disponibilidade das informações. As salvaguardas que devem ser protegidas podem ser físicas ou virtuais, como software de criptografia ou firewalls e administrativas como controle de acesso de usuários.
As normas estabelecidas pela HIPAA abrangem diversos tipos de entidades, organizações e pessoas que prestam ou pagam por serviços de cuidados de saúde. Entre eles podemos citar, centros clínicos, planos de saúde, e qualquer outro tipo de provedor de cuidados, incluindo as HealthTechs.
Onde se aplica na nuvem?
Em primeiro lugar, para que o provedor de nuvem possa armazenar, transmitir e processar PHI – Protected Health Information (Informações de Saúde Protegidas), deve-se atender aos requisitos do HIPAA através de um acordo contratual para associados comerciais, chamado BAA – Business Associate Addendum (Adendo de Associado Comercial), que limita e esclarece o uso e divulgação permissível da PHI.
A AWS possui essas certificações, mas em razão do modelo de responsabilidade compartilhada o usuário deve implementar em sua nuvem todos os controles. Destacamos alguns:
- Configurações no AWS Identity and Access Management (IAM) com políticas personalizadas com grupos, funções e perfis de instância associados;
- Armazenamento em buckets do Amazon Simple Storage Service (Amazon S3) para conteúdo web, logs e dados de backup criptografados;
- Banco de dados Amazon Relational Database Service (Amazon RDS) MySQL criptografado e Multi-AZ, ou seja, em mais de uma zona de disponibilidade;.
- Registros em log, monitoramento e alertas com o AWS CloudTrail, o Amazon CloudWatch e as regras do AWS Config.
Conte com a gente
Tratar as informações de saúde do usuário em conformidade com o HIPAA não é uma tarefa simples, já que o ambiente em nuvem está em constante mudança e as exigências são muitas.
Pensando nisso a CleanCloud criou o Score, produto de compliance com mais de 90 verificações periódicas para que a nuvem AWS esteja em conformidade com frameworks como LGPD e GPDR e benchmarks como o HIPAA.
Então não perca tempo, agende uma demo e use a CleanCloud para ter a nuvem AWS em conformidade com a HIPAA.
Muito bom artigo. Mostra de forma clara a segurança que a internet precisa, para os usuários e também para as empresas.