云端合规性

联邦风险与授权管理计划 (FedRAMP) 是一项政府层面的计划，它提供一种标准方法来对云产品和云服务进行安全性评估、授权以及持续监控。所有美国联邦机构和所有云服务都必须强制执行 FedRAMP，包括美国卫生与公众服务部。

 已颁发两个单独的 FedRAMP Agency 授权；一个涵盖 AWS GovCloud（美国）地区，另一个涵盖 AWS 美国东部/西部地区。

HITRUST CSF（Cloud Security Framework）有助于统一基于联邦法律（如 HIPAA 和 HITECH）、州法律（如马萨诸塞州的联邦居民个人信息保护标准）和公认的非政府合规标准（如 PCI DSS）的诸多安全控制措施，形成针对医疗保健需求专门设计的单个框架。

某些 AWS 服务已由经批准的 HITRUST CSF 评估员根据 HITRUST CSF 保证计划进行了评估，以符合 HITRUST CSF v9.3 认证标准。

客户可以通过被指定为 HIPAA 账户的账户使用任何 AWS 服务，但他们只能在符合 HIPAA 要求的服务中处理、存储和传输受保护的健康信息（PHI）。

1996年《健康保险流通与责任法》（HIPAA）是一项立法，旨在使美国工人在换工作或失业时更容易保留健康保险。该法案还力图推动电子健康记录的采用，以便通过加强信息共享来提高美国医疗保健系统的效率和质量。

2009年，《健康信息技术促进经济和临床健康法》（HITECH）扩大了HIPAA的规定。HIPAA 和 HITECH 共同建立起了一套联邦标准，意在保障 PHI 的安全性和隐私性。这些条款包含在称为“简化管理”的规则中。HIPAA 和 HITECH 强制推行使用和披露 PHI 的相关要求、保护 PHI 的适当安全措施、个人权利和管理责任。

美国食品和药物管理局（FDA）制定了21CFRPart 11 的规定，这是一项关于电子记录和电子签名的规定。21CFRPart11 适用于需要遵循《联邦食品、药品和化妆品法》、《公共卫生服务法》或除 Part 11 以外的任何 FDA 法规的生命科学行业。这些规定统称为“谓语规则”（Predicate Rules）。实质上，Part 11 适用于记录有争议的情况。

阅读更多：

• 数据完整性和行业符合药品 CGMP 问答指南
  
• Part 11，电子记录；电子签名 — 适用范围和应用
  
• AWS 上的 GxP 系统

世界各地的监管机构持续关注生命科学行业的数据完整性问题。F DA发布了数据完整性指南，为生命科学组织提供明确的信息，从而积极解决相关问题。

了解更多 »

《个人信息保护及电子文档法案》（PIPEDA）是一项加拿大联邦法律，适用于加拿大各省份商业活动中个人信息的收集、使用和披露。

《健康信息法案》（HIA）是亚伯达省的一项隐私法规，适用于受保管人保管或控制的健康信息的收集、使用、披露和保护。

AWS 加拿大（中部）区域目前可以提供多种服务，例如 Amazon Elastic Compute Cloud（Amazon EC2）、Amazon Simple Storage Service（Amazon S3）和 Amazon Relational Database Service（Amazon RDS）。

个人健康信息保护法 (PHIPA) 是安大略省的隐私立法，适用于在提供或促进医疗服务过程中的个人健康信息 (PHI) 收集、使用和披露。

医疗与社会保健云安全 – 最佳实践指南由 NHS Digital、NHS England、医疗与社会保健部及 NHS Improvement 联合编写。

此指南解释了必须采取哪些保护措施才能让医疗与社会保健组织安全地找到医疗与社会保健数据，包括公有云中的机密患者信息，包括充分利用数据离岸的解决方案。

AWS 通过将部署到 AWS 的工作负载进行分类实现合规性，并且通过实施适合分类的控制措施提供支持。白皮书《在 NHS 云安全指导的环境下使用 AWS》中包括组织要进行的详细风险管理活动，其中主要规定适合所需安全级别的技术措施。

MHRA 持续重点关注数据完整性。电子数据采集、系统自动化和远程技术运用的使用越来越多，这增加了供应链和工作方式（其中包括使用第三方供应商）的复杂性。MHRA 发布了数据完整性指南，专为生命科学行业提供更清晰明确的规定，以确保该行业遵守数据完整性的合规性。

了解更多 »

Hébergeur de Données de Santé（HDS）- 由法国政府卫生机构“Agence du Numérique en Santé”（ANS）推出，HDS（Hébergeur de Données de Santé）认证旨在加强对个人健康数据的安全保护。

要获取 HDS 认证，IT 提供商必须先获得 ISO 27001 认证。这意味着我们的 ISO 27001 认证涵盖了 HDS 的范围。ISO/IEC 27001:2013 认证涵盖的 AWS 服务可以在 ISO 认证页面中找到。  

数据完整性仍然是全世界的一个重要议题。欧洲药品管理局（EMA）发布了确保数据完整性的新生产指南（GMP），该指南规定了在药品试验、制造、包装、分销和监控过程中产生的数据的完整性。

阅读更多：  

• AWS 上的 GxP 系统
  

DiGAV 于 2020 年 4 月引入，用来支持德国医疗体系的数字化。DiGAV 可让某些医疗保健应用程序在德国法定医保体系下被识别为可退款。但是，对于符合且有资格申请通过 DiGAV 报销的组织来说，他们必须展示出，他们的应用程序符合 DiGAV 数据保护要求，包括依据《欧盟通用数据保护条例》（GDPR）第 45 条在欧洲经济区（EEA）或持有欧盟委员会充分性决定的国家/地区排他地处理个人数据。

AWS 提供了大量行业领先的工具，帮助客户在将医疗保健工作负载迁移到云的过程中满足当地法规和法律要求，包括《德国数字供给法案》（DVG）和关联的《数字医疗应用法令》（DiGAV）。

数据完整性仍然是全世界的一个重要议题。欧洲药品管理局（EMA）发布了确保数据完整性的新生产指南（GMP），该指南规定了在药品试验、制造、包装、分销和监控过程中产生的数据的完整性。

阅读更多：  

• AWS 上的 GxP 系统
  

《个人信息保护法》（APPI）是日本处理个人数据的主要立法。

APPI 适用于负责处理个人信息的所有经营者（个人和实体）。APPI 还区分个人信息和个人数据（APPI 将个人数据定义为构成个人信息数据库一部分的个人信息）。经营者的义务因其是否取得、使用或提供个人信息或个人数据而异。

AWS根据全球公认的安全保障框架和认证（包括 ISO 27001、ISO 270 17 、ISO 270 18、 PCI DSS 1级和 SOC 1 、2 和3）实施和维护适用于AWS云基础设施服务的技术和组织安全措施。这些技术和组织安全措施由独立的第三方评估机构验证，旨在防止未经授权访问或泄露客户内容。

《2012 年个人数据保护法案》（PDPA）是一项用于在新加坡保护个人数据的法案，其中包括在国际间传输个人数据以进行处理的情况。PDPA 会监管个人数据的收集、使用、披露和保护情况。

AWS根据全球公认的安全保障框架和认证（包括 ISO 27001、ISO 270 17 、ISO 270 18、 PCI DSS 1级和 SOC 1 、2 和3）实施和维护适用于AWS云基础设施服务的技术和组织安全措施。这些技术和组织安全措施由独立的第三方评估机构验证，旨在防止未经授权访问或泄露客户内容。

AWS 为许多医疗保健组织提供全球支持，包括提供快速进行迁移所需的技术，从使用医疗数据共享功能来诊断之前未知的疾病到确定新病毒，防止再次发生流行病，还提供许多其他重要功能，做到这一切的同时还可让客户满足最严苛的安全性和合规性要求。举个例子，新加坡的 Integrated Health Information Systems（IHiS），这家机构负责提供为新加坡公共医疗保健事业提供支持的技术，它使用 AWS 安全地扩展其疫苗接种操作 IT 系统，从而在提前很短时间收到通知时维持非常高的负载，在四周内将每天 8,000 次疫苗接种的初始负载提升到最高每天 80,000 次疫苗接种
。