Conformité dans le cloud

Le Federal Risk and Authorization Management Program (FedRAMP) est un programme de l'État fédéral américain qui fournit une approche normalisée de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue pour les produits et services cloud. Le programme FedRAMP est obligatoire pour toutes les agences fédérales américaines et tous les services cloud, y compris le Département américain de la Santé et des Services sociaux.

 Deux autorisations d'agence FedRAMP distinctes nous ont été délivrées. La première couvre la région AWS GovCloud (US) et l'autre s'applique aux régions AWS USA Est et Ouest.

Le cadre HITRUST CSF (Cloud Security Framework) sert à unifier les contrôles de sécurité basés sur des aspects de la législation fédérale américaine (comme les lois HIPAA et HITECH), de la loi de l'État (Standards for the Protection of Personal Information of Residents of the Commonwealth du Massachusetts) et des normes de conformité non gouvernementales reconnues (comme PCI DSS) en un cadre unique et sur mesure, destiné à répondre aux exigences en matière de soins de santé.

Certains services AWS ont été évalués dans le cadre du programme d'assurance HITRUST CSF par un expert accrédité HITRUST CSF comme étant conformes aux critères de la certification HITRUST CSF v9.3.

Les clients peuvent utiliser tous les services AWS sur un compte désigné comme étant un compte HIPAA, mais ils doivent traiter, stocker et transmettre les données de santé protégées dans les services conformes à la législation HIPAA.

La loi de 1996 sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) est une législation conçue pour permettre aux travailleurs américains de conserver plus facilement leur couverture d'assurance maladie lorsqu'ils changent ou perdent leur emploi. La loi cherche également à favoriser l'adoption des dossiers médicaux informatisés pour accroître l'efficacité et la qualité du système de santé américain grâce à un meilleur partage d'informations.

La loi sur les technologies de l'information sanitaire pour la santé économique et clinique (HITECH) a élargi les règles HIPAA en 2009. Ensemble, les lois HIPAA et HITECH établissent un ensemble de normes fédérales destinées à préserver la sécurité et la confidentialité des données de santé protégées. Ces dispositions figurent dans ce que l'on appelle les règles de « simplification administrative ». Les lois HIPAA et HITECH imposent des exigences concernant l'utilisation et la divulgation des données de santé protégées, les mesures de protection appropriées des données de santé, les droits individuels et les responsabilités administratives.

L'agence fédérale américaine des produits alimentaires et médicamenteux (en anglais US Food and Drug Administration, FDA) a établi la réglementation 21 CFR Part 11 sur les enregistrements électroniques et les signatures électroniques. 21 CFR Part 11 s'applique aux industries des sciences de la vie qui relèvent de la loi fédérale sur les aliments, les médicaments et les cosmétiques, de la loi sur les services de santé publique ou de toute autre réglementation de la FDA autre que l'article 11. Collectivement, ces lois sont nommées les « lois de prédicat ». En principe, l'article 11 s'applique lorsque le dossier en question est fondé sur un prédicat.

En savoir plus :

• Recommandations pour l'industrie avec questions et réponses sur l'intégrité des données et la conformité aux normes BPF des médicaments
  
• Article 11, enregistrements électroniques ; signatures électroniques – Portée et application
  
• Systèmes GxP sur AWS

Les organes de régulation à travers le monde continuent de se pencher sur les problèmes d'intégrité des données dans les industries des sciences de la vie. La FDA a publié des lignes directrices sur l'intégrité des données afin de clarifier la situation pour les organisations du secteur des sciences de la vie, de sorte que les problèmes et les préoccupations puissent être traités de manière proactive.

En savoir plus »

La loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est une loi fédérale canadienne régissant la collecte, l'utilisation et la divulgation des renseignements personnels dans le cadre d'activités commerciales dans l'ensemble des provinces canadiennes.

La Health Information Act (HIA) est la loi sur le respect de la vie privée de l'Alberta, portant sur la collecte, l'utilisation, la divulgation et la protection des renseignements sur la santé placés sous la garde ou le contrôle d'un dépositaire.

La région AWS Canada (Centre) est actuellement disponible pour plusieurs services, par exemple Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) et Amazon Relational Database Service (Amazon RDS).

La loi sur la protection des renseignements personnels sur la santé (Personal Health Information Protection Act, PHIPA) représente la loi de l'Ontario sur la protection des renseignements personnels, qui s'applique à la collecte, à l'utilisation et à la diffusion des données de santé personnelles (PHI) lors de la fourniture de services de santé.

Health and Social Care Cloud Security – Good Practice Guide (Sécurité dans le cloud en matière de santé et de services sociaux – Guide de bonnes pratiques) a été conjointement écrit par NHS Digital, NHS England, le ministère de la Santé et de l'Aide sociale et NHS Improvement.

Ce guide présente les mesures de protection qui doivent être mises en place pour permettre aux organisations de santé et de services sociaux de stocker en toute sécurité les données de santé et de services sociaux (notamment les renseignements confidentiels des patients) dans le cloud public (y compris les solutions reposant sur le traitement des données à l'étranger).

AWS garantit la conformité et la prise en charge à travers la classification des charges de travail déployées sur AWS et la mise en œuvre de contrôles de la classe appropriée, respectivement. Le livre blanc intitulé « Utilisation d'AWS dans le contexte du guide de sécurité dans le cloud du NHS » présente les activités détaillées de gestion des risques que les organisations doivent entreprendre, en particulier les mesures techniques adaptées au niveau de sécurité requis.

La MHRA continue de mettre l'accent sur l'intégrité des données. L'utilisation croissante de la saisie électronique des données, l'automatisation des systèmes et le recours aux technologies à distance ont accru la complexité des chaînes d'approvisionnement et des méthodes de travail, ce qui inclut le recours à des fournisseurs tiers. La MHRA a publié ses recommandations sur l'intégrité des données dans le but précis de clarifier la situation et de définir les attentes des industries des sciences de la vie pour assurer la conformité de l'intégrité des données.

En savoir plus »

Hébergeur de Données de Santé (HDS) – Présentée par l'agence gouvernementale française pour la santé, « Agence du Numérique en Santé » (ANS), la certification HDS (Hébergeur de Données de Santé) a pour objectif de renforcer la sécurité et la protection des données personnelles de santé.

Pour être certifié HDS, un fournisseur de TI doit être certifié ISO 27001. Cela signifie que les services couverts par notre certification ISO 27001 sont inclus dans le champ d'application de la certification HDS. Les services AWS concernés par la certification ISO/CEI 27001:2013 sont indiqués sur la page web dédiée à la certification ISO.  

L'intégrité des données continue d'être un sujet important à travers le monde. AEM : L'Agence européenne des médicaments a publié de nouvelles bonnes pratiques de fabrication (BPF) pour assurer l'intégrité des données, notamment celles liées aux données générées dans le processus de test, de fabrication, d'emballage, de distribution et de surveillance des médicaments.

En savoir plus :  

• Systèmes GxP sur AWS
  

La loi DiGAV a été instaurée en avril 2020 pour soutenir la dématérialisation du système de santé allemand. Avec la loi DiGAV, certaines applications de soins de santé peuvent être reconnues comme étant remboursables en vertu du régime légal d'assurance maladie allemand. Cependant, pour que les organisations soient conformes à la loi DiGAV et éligibles au remboursement dans le cadre de cet instrument juridique, elles doivent démontrer que leurs applications satisfont aux exigences de protection des données de la loi DiGAV. Elles doivent notamment prouver que les données personnelles sont traitées exclusivement au sein de l'Espace économique européen (EEA) ou dans un pays faisant l'objet d'une décision d'adéquation de la Commission européenne en vertu de l'article 45 du Règlement général sur la protection des données (RGPD).

Dans un contexte marqué par la migration des charges de travail relatives aux soins de santé dans le cloud, AWS offre un certain nombre d'outils de pointe pour aider les clients à répondre aux exigences réglementaires et législatives locales, notamment la loi DVG (German Digital Supply Act) et la loi DiGAV (Digital Health Applications Ordinance) associée.

L'intégrité des données continue d'être un sujet important à travers le monde. AEM : L'Agence européenne des médicaments a publié de nouvelles bonnes pratiques de fabrication (BPF) pour assurer l'intégrité des données, notamment celles liées aux données générées dans le processus de test, de fabrication, d'emballage, de distribution et de surveillance des médicaments.

En savoir plus :  

• Systèmes GxP sur AWS
  

La loi sur la protection des informations à caractère personnel (APPI) est la principale législation traitant des données personnelles au Japon.

L'APPI s'applique à tous les exploitants du secteur (personnes et entités) qui traitent des informations à caractère personnel. L'APPI fait également la distinction entre les informations à caractère personnel et les données à caractère personnel (ce que l'APPI définit comme les informations à caractère personnel qui constituent une partie de la base de données des informations à caractère personnel). Les obligations incombant aux exploitants du secteur varient selon qu'ils procèdent à l'acquisition, à l'utilisation ou à la fourniture d'informations ou de données à caractère personnel.

AWS met en œuvre et gère des mesures de sécurité techniques et organisationnelles applicables aux services d'infrastructure cloud AWS conformément à des cadres d'assurance de sécurité et à des certifications mondialement reconnus, notamment ISO 27001 , ISO 27017, ISO 27018, PCI DSS niveau 1 et SOC 1 , 2 et 3. Ces mesures de sécurité techniques et organisationnelles sont validées par des évaluateurs tiers indépendants et sont conçues pour empêcher l'accès non autorisé au contenu des clients ou sa divulgation.

La loi de 2012 sur la protection des données personnelles (PDPA) est l'instrument juridique qui s'applique à la protection des données personnelles à Singapour, notamment lorsque celles-ci sont transférées à l'international pour être traitées. La loi PDPA régit la collecte, l'utilisation, la divulgation et la protection des données personnelles.

AWS met en œuvre et gère des mesures de sécurité techniques et organisationnelles applicables aux services d'infrastructure cloud AWS conformément à des cadres d'assurance de sécurité et à des certifications mondialement reconnus, notamment ISO 27001 , ISO 27017, ISO 27018, PCI DSS niveau 1 et SOC 1 , 2 et 3. Ces mesures de sécurité techniques et organisationnelles sont validées par des évaluateurs tiers indépendants et sont conçues pour empêcher l'accès non autorisé au contenu des clients ou sa divulgation.

AWS accompagne de nombreuses organisations de soins de santé à travers le monde en fournissant la technologie nécessaire pour se déployer à la bonne vitesse afin d'avoir un impact positif. Les domaines ainsi concernés vont du partage des données médicales au diagnostic des maladies jusque-là inconnues, en passant par l'identification de nouveaux virus pour prévenir d'autres pandémies et de multiples autres fonctions essentielles. AWS s'y attelle tout en permettant aux clients de satisfaire aux exigences de sécurité et de conformité les plus élevées. À titre d'exemple, l'Integrated Health Information Systems (IHiS) de Singapour, l'agence chargée de la fourniture des technologies habilitantes soutenant le système de santé public singapourien, s'est tournée vers AWS pour mettre à l'échelle en toute sécurité ses systèmes informatiques d'appui à la vaccination. Objectif : prendre très rapidement en charge des charges considérablement élevées, en passant d'une prestation quotidienne de 8 000 vaccinations initialement à un pic de 80 000 vaccinations.
L'opération de mise à l'échelle s'est faite dans un délai de quatre semaines.