Kepatuhan di Cloud

Program Manajemen Risiko dan Otorisasi Federal (FedRAMP) adalah program pemerintah AS yang memberikan pendekatan standar terhadap penilaian keamanan, otorisasi, dan pemantauan berkelanjutan untuk produk dan layanan cloud. FedRAMP bersifat wajib untuk semua lembaga federal AS dan semua layanan cloud, termasuk Departemen Kesehatan dan Layanan Masyarakat.

 Dua otorisasi Lembaga FedRAMP yang terpisah telah diterbitkan; satu otorisasi mencakup Region AWS GovCloud (AS) dan satu otorisasi lainnya mencakup region AWS AS Timur/Barat.

HITRUST CSF (Kerangka Kerja Keamanan Cloud) berfungsi untuk menggabungkan kontrol keamanan berdasarkan aspek hukum federal AS (seperti HIPAA dan HITECH), undang-undang negara bagian (seperti Massachusetts’s Standards for the Protection of Personal Information of Residents of the Commonwealth), dan diakui oleh standar kepatuhan non-pemerintah (seperti PCI DSS) dalam sebuah kerangka kerja yang disesuaikan untuk kebutuhan layanan kesehatan.

Layanan AWS tertentu telah dinilai menurut Program Jaminan HITRUST CSF oleh Penilai HITRUST CSF yang telah disetujui karena dianggap memenuhi Kriteria Sertifikasi HITRUST CSF v9.3.

Pelanggan dapat menggunakan layanan AWS dalam akun yang ditentukan sebagai akun HIPAA, tetapi mereka hanya boleh memproses, menyimpan, dan mentransmisikan informasi kesehatan terlindung (PHI) dalam layanan yang memenuhi syarat HIPAA.

Health Insurance Portability and Accountability Act of 1996 (HIPAA) adalah undang-undang yang dirancang untuk memudahkan pekerja di AS mempertahankan perlindungan asuransi kesehatan mereka ketika berganti pekerjaan atau kehilangan pekerjaan. Undang-undang tersebut bertujuan untuk mendorong catatan kesehatan elektronik agar meningkatkan efisiensi dan kualitas sistem layanan kesehatan AS melalui penyebaran informasi yang lebih baik.

Health Information Technology for Economic and Clinical Health Act (HITECH) memperluas aturan HIPAA pada tahun 2009. HIPAA dan HITECH bersama-sama menetapkan serangkaian standar federal yang bertujuan untuk melindungi keamanan dan privasi PHI. Ketentuan ini tercakup dalam aturan "Penyederhanaan Administratif". HIPAA dan HITECH menentukan persyaratan terkait penggunaan serta pengungkapan PHI, pengamanan yang tepat untuk melindungi PHI, hak individu, dan tanggung jawab administratif.

US Food and Drug Administration (FDA) mengesahkan 21 CFRPart 11 - yang merupakan regulasi tentang catatan elektronik dan tanda tangan elektronik. 21 CFR Part 11 berlaku untuk industri ilmu hayat yang termasuk dalam Federal Food, Drug, and Cosmetic Act, Public Health Service Act, atau regulasi FDA apa pun selain Part 11. Secara kolektif, mereka diidentifikasi sebagai “Predicate Rules” (Aturan Predikat). Intinya, Part 11 berlaku ketika catatan memang diwajibkan oleh regulasi.

Baca selengkapnya:

• Data Integrity and Compliance With Drug CGMP Questions and Answers Guidance for Industry
  
• Part 11, Catatan Elektronik; Tanda Tangan Elektronik - Cakupan dan Penerapan
  
• Sistem GxP di AWS

Regulator di seluruh dunia terus melihat masalah/kekhawatiran tentang integritas data dalam industri ilmu hayati. FDA memublikasikan panduan tentang integritas data untuk memberikan kejelasan bagi organisasi ilmu hayati agar masalah/kekhawatiran tersebut dapat ditangani secara proaktif.

Pelajari selengkapnya »

Personal Information Protection and Electronic Documents Act (PIPEDA) adalah undang-undang federal Kanada yang berlaku untuk pengumpulan, penggunaan, dan pengungkapan informasi pribadi dalam aktivitas komersial di seluruh provinsi di Kanada.

Health Information Act (HIA) adalah undang-undang privasi di Alberta yang berlaku untuk pengumpulan, penggunaan, pengungkapan, dan perlindungan informasi kesehatan yang ada dalam pengawasan atau di bawah kontrol pengawas.

Region AWS Kanada (Pusat) saat ini tersedia untuk beberapa layanan, seperti: Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), dan Amazon Relational Database Service (Amazon RDS).

Personal Health Information Protection Act (PHIPA) adalah undang-undang privasi di Ontario yang berlaku untuk pengumpulan, penggunaan, dan pengungkapan informasi kesehatan pribadi (PHI) dalam memberikan atau memfasilitasi layanan kesehatan.

Health and Social Care Cloud Security – Good Practice Guide disusun bersama oleh NHS Digital, NHS England, Department of Health and Social Care, dan NHS Improvement.

Panduan ini menjelaskan tentang perlindungan yang harus diterapkan agar organisasi layanan kesehatan dan sosial dapat dengan aman menemukan data layanan kesehatan dan sosial, yang mencakup informasi rahasia pasien di cloud publik termasuk solusi yang memanfaatkan data off-shoring.

AWS memungkinkan kepatuhan dengan mengklasifikasikan beban kerja yang sedang dilakukan deployment ke AWS dan mendukungnya dengan mengimplementasikan kontrol yang sesuai dengan kelas. Laporan resmi “Using AWS in the context of NHS Cloud Security Guidance” mencakup aktivitas manajemen risiko mendetail yang harus dilakukan organisasi, yang sebagian besar terdiri dari tindakan teknis yang sesuai dengan level keamanan yang diperlukan.

MHRA terus memberikan fokus yang lebih besar pada integritas data. Meningkatnya penggunaan penangkapan data elektronik, otomatisasi sistem, dan penggunaan teknologi jarak jauh telah meningkatkan kompleksitas rantai pasokan dan cara kerja yang melibatkan penggunaan pemasok pihak ketiga. MHRA memublikasikan panduan Integritas Data secara spesifik untuk memberikan kejelasan yang lebih baik dan menetapkan ekspektasi bagi Industri Ilmu Hayati dalam memastikan kepatuhan terhadap integritas data.

Pelajari selengkapnya »

Hébergeur de Données de Santé (HDS) - Diperkenalkan oleh lembaga kesehatan pemerintahan Prancis, “Agence du Numérique en Santé” (ANS), sertifikasi HDS (Hébergeur de Données de Santé) bertujuan untuk memperkuat keamanan dan perlindungan data kesehatan pribadi.

Untuk menjadi penyedia IT yang bersertifikat HDS, penyedia IT harus bersertifikat ISO 27001. Ini berarti bahwa layanan yang tercakup dalam sertifikasi ISO 27001 kami dicakup dalam cakupan HDS. Layanan AWS yang tercakup dalam sertifikasi ISO/IEC 27001:2013 dapat ditemukan dalam halaman web Bersertifikat ISO.  

Integritas Data terus menjadi topik penting di seluruh dunia. European Medicines Agency (EMA) telah memublikasikan panduan Produksi (GMP) baru untuk memastikan integritas data yang mencakup data yang terkait dengan data yang dihasilkan dalam proses pengujian, produksi, pengemasan, distribusi, dan pemantauan obat-obatan.

Baca selengkapnya:  

• Sistem GxP di AWS
  

DiGAV diperkenalkan pada bulan April 2020 untuk mendukung digitalisasi sistem kesehatan Jerman. DiGAV memungkinkan aplikasi layanan kesehatan tertentu untuk dikenali sebagai aplikasi yang dapat ditarik kembali di bawah sistem asuransi kesehatan wajib Jerman. Namun, agar organisasi mematuhi dan memungkinkan kelayakan penggantian biaya melalui DiGAV, organisasi harus menunjukkan bahwa aplikasi mereka memenuhi persyaratan perlindungan data DiGAV, termasuk fakta bahwa data pribadi diproses secara eksklusif di Wilayah Ekonomi Eropa (EEA) atau di negara yang mendapatkan keputusan penerimaan Komisi Eropa berdasarkan Pasal 45 General Data Protection Regulation (GDPR) UE.

AWS menyediakan sejumlah alat yang terdepan di industri untuk mendukung pelanggan memenuhi persyaratan peraturan dan legislatif lokal, termasuk German Digital Supply Act (DVG) dan Digital Health Applications Ordinance (DiGAV) terkait, saat mereka memindahkan beban kerja layanan kesehatan ke cloud.

Integritas Data terus menjadi topik penting di seluruh dunia. European Medicines Agency (EMA) telah memublikasikan panduan Produksi (GMP) baru untuk memastikan integritas data yang mencakup data yang terkait dengan data yang dihasilkan dalam proses pengujian, produksi, pengemasan, distribusi, dan pemantauan obat-obatan.

Baca selengkapnya:  

• Sistem GxP di AWS
  

Act on the Protection of Personal Information (APPI) adalah undang-undang utama yang mengatur tentang data pribadi di Jepang.

APPI berlaku untuk semua operator bisnis (individu dan entitas) yang menangani informasi pribadi. APPI juga membedakan antara informasi pribadi dan data pribadi (yang didefinisikan oleh APPI sebagai informasi pribadi yang merupakan bagian dari database informasi pribadi). Kewajiban pada operator bisnis bervariasi, bergantung pada apakah operator bisnis memperoleh, menggunakan, atau menyediakan informasi pribadi atau data pribadi.

AWS mengimplementasikan dan mengelola langkah-langkah keamanan teknis dan organisasional yang berlaku untuk layanan infrastruktur AWS cloud di bawah kerangka kerja dan sertifikasi jaminan keamanan yang diakui secara global, termasuk ISO 27001, ISO 27017, ISO 27018, PCI DSS Level 1, serta SOC 1, 2, dan 3. Langkah-langkah keamanan teknis dan organisasional ini divalidasi oleh penilai pihak ketiga yang independen, dan dirancang untuk mencegah akses tidak sah atau pengungkapan konten pelanggan.

Personal Data Protection Act 2012 (PDPA) adalah undang-undang yang berlaku untuk perlindungan data pribadi di Singapura, termasuk saat data pribadi ditransfer ke luar negeri untuk tujuan pemrosesan. PDPA mengatur pengumpulan, penggunaan, pengungkapan, dan perlindungan data pribadi.

AWS mengimplementasikan dan mengelola langkah-langkah keamanan teknis dan organisasional yang berlaku untuk layanan infrastruktur AWS cloud di bawah kerangka kerja dan sertifikasi jaminan keamanan yang diakui secara global, termasuk ISO 27001, ISO 27017, ISO 27018, PCI DSS Level 1, serta SOC 1, 2, dan 3. Tindakan keamanan teknis dan organisasional ini divalidasi oleh penilai pihak ketiga yang independen, dan didesain untuk mencegah adanya akses tidak sah atau pengungkapan konten pelanggan.

AWS mendukung banyak organisasi layanan kesehatan secara global, dengan menyediakan teknologi yang diperlukan untuk bergerak, dengan kecepatan yang diperlukan untuk memberikan dampak—mulai dari menggunakan data medis bersama untuk mendiagnosis penyakit yang belum diketahui sebelumnya, hingga mengidentifikasi virus baru untuk mencegah pandemi lain, dan banyak fungsi penting lainnya—sekaligus memungkinkan pelanggan untuk memenuhi persyaratan keamanan dan kepatuhan yang paling ketat. Sebagai salah satu contoh, Integrated Health Information Systems (IHiS) di Singapura, lembaga yang bertanggung jawab memasok teknologi yang mendukung layanan kesehatan publik Singapura, beralih ke AWS untuk menskalakan sistem IT operasi vaksinnya secara aman guna mempertahankan beban yang jauh lebih tinggi dalam waktu yang sangat singkat, dari beban awal harian sebesar 8.000 vaksinasi hingga mencapai 80.000 vaksinasi dalam kurun waktu
empat minggu.