如今,全球大多数医疗服务提供商都倾向于为他们的医疗服务实现基于云的架构。这也就不足为奇了,尤其是考虑到当今大流行的现实,医疗软件是必不可少的。然而,要建立一个提供医疗服务的高度安全的解决方案,你必须遵守美国1996年的法律,即HIPAA安全规则。这项立法代表了一套必要和充分的保护措施,以管理电子保密病人信息,避免在未经病人事先知情甚至同意的情况下披露这些信息。
因此,如果您想开发一个医疗解决方案,并使您的医疗服务基于云,您将不得不应用最新的技术来维护数据遵从性。为了根据隐私规则构建基于云的应用程序,大多数医疗服务提供商应用亚马逊网络服务(AWS),因为它增加了灵活性、安全性和创新潜力。
下面,我们准备了构建AWS医疗网络应用程序时需要考虑的最佳实践和具体步骤。您可以使用这些提示作为您的有用AWS HIPAA检查表,以确保您的产品符合符合性条款。继续读!
AWS CloudHIPAA兼容吗?
新的AWS用户通常会想,“AWSHIPAA兼容吗?”在讨论最佳实践之前,让我们先回答这个重要且相当复杂的问题。
简单地说,AWS本身并不能保证HIPAA遵从性,但它提供的服务为HIPAA遵从性打开了大门。让我们来看看这意味着什么。
Amazon支持HIPAA遵从性,您可以利用它的可靠服务创建一个基于云的解决方案,该解决方案将管理、维护和传输保密的病人信息。然而,仅仅使用AWS是不够的。遵循AWSHIPAA的主要思想是对如何在AWS中实现它有很好的了解,而不是简单地使用Amazon服务。因此,为了以高度保护的方式处理EPHI,您应该记住AWSHIPAA安全规则和标准,当然,应该正确地适合它们。
让我们深入研究AWSHIPAA遵从性最佳实践,并学习一个方便的清单,帮助您构建具有高度稳定性和保护的医疗解决方案。
AWS HIPAA遵守最佳做法
现在,让我们更仔细地研究允许医疗机构满足AWSHIPAA遵从性的最佳实践。
1.执行商业伙伴协议(BAA)
在AWS上存储或管理任何私有医疗记录之前,您必须使用AmazonWeb服务签署并执行BAA,以验证AWS提供了对EPHI的充分保护。BAA意味着AmazonWeb服务共享您的一些法律义务,并保证您将被告知任何数据泄露。简单地说,您需要处理平台、操作系统、应用程序和其他解决方案的技术和执行保护措施。对于AWSHIPAA兼容的服务,它们负责数据库、云、网络等的安全。
2.确保病人资料“安息”及“过境”时的安全。
如果您想保护您存储的数据,您应该记住对所有PHI数据的加密“正在传输”和“处于静止状态”。为此,您可以使用具有非常强的术语和策略的SSL/TLS标准。此外,aws允许开发人员轻松地对数据进行加密。AES-256加密。HIPAA规定,所有患者数据在“at-REST”和“正在传输”时都是加密的,因此在构建符合HIPAA的AWS解决方案时,不要忽略这一点。
3.根据贵组织采取必要的行政政策
如果要使用AmazonWebServicesHIPAA开发医疗解决方案,则必须实现所有所需的管理策略和保障措施。在实现HIPAA遵从性解决方案时,根据组织应用管理策略和过程是必不可少的一部分。此类安全政策代表了标准操作程序(SOP),用于处理紧急情况、私人信息、员工培训、风险评估、服务中断和解决HIPAA的管理要求。
您的团队应该在组织内部适当地遵循这些标准操作程序。此外,您应该定期检查您的管理标准和策略,并根据实体和技术的变化对它们进行更新。
4.记住-只有你才是HIPAA的负责人
尽管AmazonAWSHIPAA工具在默认情况下是安全的,但您应该始终考虑以下事实:仅仅使用AmazonCloudHIPAA服务并不是遵从性的证据。那么,这意味着什么?
关键是,遵从性的本质不仅仅在于Amazon提供的服务,还在于您在AWS中使用这种遵从性有多好。因此,如果您不正确地配置AWS服务,您可能会遇到许多困难。例如,错误配置可能会导致任何人访问您存储的数据,从而导致EPHI数据漏洞。
虽然AWS支持HIPAA遵从性,但这并不意味着您的医疗解决方案没有风险。您的软件服务或云服务不能完全兼容HIPAA。一般来说,遵从性更多的是因为使用AWS的结果,而不是它的特性。您必须确保正确了解AWSHIPAA的安全需求。
在HIPAA兼容的解决方案中使用AWS时,有一些建议可以最大限度地提高应用程序的稳定性和安全性,并满足AWS中的HIPAA要求:
- 公共访问障碍
- 总体数据与私人病人信息逻辑边界的配置
- 修补计划
- 将与病人信息相关的流程与业务流程分离
- 为存储服务(如AmazonRDS和AmazonRedShift)打开加密
5.只使用AWS‘HIPAA-合格’服务
任何医疗实体都应保证收集、管理和处理HIPAA覆盖的服务中的所有EPHI。在亚马逊的例子中,他们提供了一个技术白皮书这将详细说明如何使用AmazonWebServices构建医疗解决方案,并达到HIPAA遵从性。本文提供了一个AWS“HIPAA-合格”云服务列表,可以与PHI一起使用。例如,您可以利用Amazon虚拟私有云服务来获得一个独立的虚拟网络。另外一个Web服务,AmazonElasticComputeCloud(AmazonEC 2),确保了云中可靠的虚拟计算机。
6.记录每个用户的活动
医疗提供者必须收集安全事件和审计日志,以确保安全和合规。收集安全事件和审计日志可以使您在基于云的服务和组织中的所有操作具有更高的可见度和透明度。
根据HIPAA规则,医疗实体应该知道谁获得了病人的健康信息,并对其进行了修改。在所有正在发生的变化之后,至关重要的是要有机会检查修改是否正确,并且报告仍然是相关的和最新的。实现审计日志记录和跟踪控制是必须的,因为在出现漏洞的情况下,您将能够毫不费力地生成所有已记录事务的报告。
下面我们来看一下AWS的一些审计日志记录,您需要收集这些日志,以确保HIPAA遵从性:
- AWS访问日志收集特定云服务的单个AWS访问。
- AWS云径监视跨云环境的用户活动和API使用情况。
- 云遵从日志控制与安全配置相关的活动,并检测任何遵从性和云安全问题。
- CloudWatch日志的可用性监视云服务的总体可用性。
7.注意备份过程和灾后恢复执行
每个医疗服务提供者都必须有一个应急计划,以防灾难发生。为了避免任何私人病人记录的泄漏,并保护所有收集、存储和使用的EPHI数据,您必须确保备份和灾难恢复实现。幸运的是,AmazonWebServices提供了执行备份的机会。为了安全可靠地管理数据备份,您可以使用像AmazonS 3和Glacier这样的可靠服务。使用AWS,您将能够轻松地确保您的备份和恢复过程配置正确。如果您想要满足AWSHIPAA遵从性要求,请记住灾难恢复和数据备份是非常重要的。
8.不要忘记实现身份验证过程
如果您想控制和管理用户在您的应用程序中采取的操作,您应该负责一个可靠和安全的身份验证过程。例如,您可以使用像OAuth这样的可信赖的开放标准来为第三方提供对受保护资源的有限访问。或者有一个开放的标准SAML,用于在身份提供者和服务提供者之间交换身份验证和授权数据。此外,您还可以尝试一种技术解决方案,如标识和访问管理,以安全地管理用户的凭据,并控制对各种应用程序和系统的访问。
我们的经验
技术魔术是一家专门为您的产品构建完全无服务器或部分无服务器体系结构的应用程序开发公司。自2017年以来,我们是一个认证的AWS咨询合作伙伴。为了确保可扩展的、成本效益高的基础设施设置,我们应用了诸如AWS Lambda、API Gateway、AWS DynamoDB和AWS STEP等服务。
为什么在AWS上使用无服务器?以下是一些很好的理由:
- 成本效益模型如果您的产品没有被使用,您不需要支付空闲时间。你的应用程序就会关机。
- 灵活性。AmazonWebServices允许您选择所需的编程语言、操作系统、平台和其他特定服务。这一机会使应用程序迁移过程更加容易。
- 可伸缩性和高性能。如果您的产品需要可伸缩性,AWS可以自动完成。
- 可靠性和安全性。AWS采取综合办法,力求保护和加强涉及实际操作措施的基础设施。
此外,我们还为自己在开发过程中所掌握的知识和专业知识感到自豪。医疗技术解决方案和符合HIPAA的软件.
最后思想
使用AWS HIPAA合格服务以保证高医疗服务安全水平的医疗服务提供商的数量每天都在增加。AWS已经证明自己是与HIPAA相一致的服务,它们保证EPHI可以在没有错误或任何可能的考虑的情况下被存储和处理。毫无疑问,AWS为构建一致的、坚实的云环境提供了便利。但是,即便如此,医疗机构必须有信心准确地配置AWS服务,以便在AWS上构建医疗解决方案时完成所有必要的安全措施。为了满足AWSHIPAA的遵从性并获得高级别的安全性,您应该应用上述最佳实践。
福州软件开发公司如今现状是怎么样的?
