Conformidade na nuvem

O Federal Risk and Authorization Management Program (FedRAMP) é um programa do governo dos EUA que disponibiliza uma abordagem padrão para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços na nuvem. O FedRAMP é obrigatório para todos os órgãos federais dos EUA e todos os serviços na nuvem, incluindo o Departamento de Saúde e Serviços Humanos dos Estados Unidos.

 Duas autorizações distintas do FedRAMP Agency foram emitidas: a primeira contempla a região AWS GovCloud (EUA) e a segunda, as regiões AWS Leste e Oeste dos EUA.

A HITRUST CSF (Cloud Security Framework) unifica controles de segurança baseados em aspectos de leis federais dos EUA (como HIPAA e HITECH), leis estaduais (como as Normas de Massachusetts para a Proteção de Informações Pessoais de Residentes da Comunidade, de Massachusetts) e padrões de conformidade não governamentais reconhecidos (como o PCI DSS) em um único framework, personalizado de acordo com as necessidades da área de saúde.

Alguns serviços da AWS foram avaliados pelo Programa de garantia da HITRUST CSF por um avaliador aprovado da HITRUST CSF e foi determinado que cumprem os critérios de certificação da HITRUST CSF v9.3.

Os clientes podem usar qualquer serviço da AWS em uma conta designada como uma conta HIPAA, mas eles devem apenas processar, armazenar e transmitir informações de saúde protegidas (PHI) nos serviços elegíveis para a HIPAA.

A Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 (HIPAA) é uma lei criada para facilitar a retenção da cobertura de seguros de saúde por trabalhadores dos EUA que mudam de trabalho ou que são demitidos. A lei também procurou estimular a adoção de prontuários médicos eletrônicos para melhorar a eficiência e a qualidade do sistema de assistência média dos EUA por meio do compartilhamento de informações aperfeiçoado.

A Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica (HITECH)ampliou as regras da HIPAA em 2009. A HIPAA e a HITECH estabelecem juntas um conjunto de normas federais destinadas a proteger a segurança e a privacidade das PHI. Essas disposições estão incluídas no que é chamado de regras de “Simplificação administrativa”. A HIPAA e a HITECH impõem requisitos relacionados ao uso e à divulgação das PHI, medidas adequadas para proteção das PHI, direitos individuais e responsabilidades administrativas.

A Food and Drug Administration (FDA) dos EUA estabeleceu a norma 21CFRPart 11: regulamentos sobre registros eletrônicos e assinaturas eletrônicas. A 21CFRPart11 aplica-se aos setores de ciências biológicas que se enquadram na Lei Federal de Alimentos, Medicamentos e Cosméticos, Lei de Serviço de Saúde Pública ou qualquer regulamentação da FDA que não seja a Parte 11. Coletivamente, essas são identificadas como “Regras de Predicado”. Em essência, a Parte 11 se aplica quando o registro em questão é predicado.

Leia mais:

• Data Integrity and Compliance With Drug CGMP Questions and Answers Guidance for Industry
  
• Parte 11, Registros eletrônicos; Assinaturas eletrônicas: escopo e aplicação
  
• GxP Systems on AWS

Os reguladores em todo o mundo continuam analisando os problemas e as preocupações de integridade de dados nos setores de ciências biológicas. A FDA publicou orientações sobre integridade de dados para fornecer clareza às organizações de ciências biológicas para que os problemas e as preocupações possam ser abordados de forma proativa.

Saiba mais »

A Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA) é uma lei federal canadense que se aplica à coleta, ao uso e à divulgação de informações pessoais durante o exercício de atividades comerciais em todas as províncias do Canadá.

A Health Information Act (HIA – Lei das informações de saúde) é a lei de privacidade em Alberta que se aplica à coleta, ao uso, à divulgação e à proteção de informações de saúde que estão sob custódia ou sob o controle de um custodiante.

No momento, a região Canadá (Central) da AWS está disponível para vários serviços, como: Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) e Amazon Relational Database Service (Amazon RDS).

A Lei de Proteção às Informações Pessoais de Saúde (PHIPA) é uma regulamentação de privacidade em Ontario que se aplica à coleta, ao uso e à divulgação de informações pessoais de saúde (PHI) durante o fornecimento ou a facilitação de serviços da saúde.

O guia Health and Social Care Cloud Security – Good Practice Guide foi elaborado conjuntamente pelo NHS Digital, NHS England, Departamento de Saúde e Assistência Social e NHS Improvement.

Esta orientação explica as proteções que devem ser implementadas para que as organizações de saúde e assistência social possam localizar com segurança dados de saúde e assistência social, incluindo informações confidenciais do paciente na nuvem pública, incluindo soluções que hospedam dados em outros países.

A AWS habilita a conformidade por meio da classificação das workloads que estão sendo implantadas na AWS e oferece suporte implementando os controles apropriados à classe. O whitepaper “Using AWS in the context of NHS Cloud Security Guidance” inclui atividades detalhadas de gerenciamento de riscos a serem empreendidas pelas organizações. A maioria dessas atividades compreende medidas técnicas apropriadas ao nível de segurança exigido.

A MHRA continua a dar maior ênfase à integridade dos dados. O uso crescente de captura eletrônica de dados, automação de sistemas e uso de tecnologias remotas aumentaram a complexidade das cadeias de suprimentos e formas de trabalho, o que inclui o uso de fornecedores terceirizados. A MHRA publicou a diretriz de integridade de dados especificamente para fornecer maior clareza e definir expectativas para os setores de ciências da vida para garantir a conformidade com a integridade dos dados.

Saiba mais »

Hébergeur de Données de Santé (HDS): introduzida pela agência governamental francesa para a saúde, a “Agence du Numérique en Santé” (ANS), a certificação HDS (Hébergeur de Données de Santé) visa reforçar a segurança e a proteção dos dados pessoais de saúde.

Para receber a certificação HDS, um provedor de TI deve ter a certificação ISO 27001. Isso significa que os serviços cobertos pela nossa certificação ISO 27001 estão incluídos no escopo da HDS. Os produtos da AWS que estão no escopo para a certificação ISO/IEC 27001:2013 podem ser encontrados na página da Certificação ISO.  

A integridade de dados continua a ser um tópico importante em todo o mundo. A Agência Europeia de Medicamentos (EMA) publicou uma nova diretriz de fabricação (GMP) para garantir a integridade dos dados que abrange os dados relacionados aos dados gerados no processo de teste, fabricação, embalagem, distribuição e monitoramento de medicamentos.

Leia mais:  

• GxP Systems on AWS
  

O DiGAV foi introduzido em abril de 2020 para auxiliar na digitalização do sistema de saúde alemão. O sistema DiGAV permite que determinados pedidos de assistência médica sejam reconhecidos como reembolsáveis no sistema de seguro de saúde legal alemão. No entanto, para que as organizações cumpram e habilitem a elegibilidade para reembolso por meio do DiGAV, elas devem demonstrar que seus aplicativos atendem aos requisitos de proteção de dados do DiGAV, incluindo que os dados pessoais são processados exclusivamente no Espaço Econômico Europeu (EEE) ou em um país com uma decisão de adequação do a Comissão Europeia com base no artigo 45 do Regulamento Geral de Proteção de Dados da UE (GDPR).

A AWS fornece uma série de ferramentas líderes do setor para oferecer suporte aos clientes que atendem aos requisitos regulatórios e legislativos locais, incluindo a Lei Alemã de Oferta Digital (DVG) e a respectiva Portaria de Aplicações de Saúde Digital (DiGAV), à medida que movem workloads de saúde para a nuvem.

A integridade de dados continua a ser um tópico importante em todo o mundo. A Agência Europeia de Medicamentos (EMA) publicou uma nova diretriz de fabricação (GMP) para garantir a integridade dos dados que abrange os dados relacionados aos dados gerados no processo de teste, fabricação, embalagem, distribuição e monitoramento de medicamentos.

Leia mais:  

• GxP Systems on AWS
  

A Lei de Proteção de Informações Pessoais (APPI) é a principal legislação que dispõe sobre dados pessoais no Japão.

A APPI se aplica a todos os operadores de negócios (pessoas físicas e jurídicas) que processam informações pessoais. A APPI também distingue entre informações pessoais e dados pessoais (que a APPI define como informações pessoais que fazem parte de um banco de dados de informações pessoais). As obrigações de operadores empresariais variam em função de esses operadores adquirirem, usarem ou fornecerem informações pessoais ou dados pessoais.

A AWS implementa e mantém medidas de segurança técnica e organizacional aplicáveis a serviços de infraestrutura da Nuvem AWS de acordo com os frameworks e as certificações de garantia de segurança reconhecidas mundialmente, incluindo ISO 27001, ISO 27017, ISO 27018, PCI DSS Nível 1 e SOC 1, 2 e 3. Essas medidas de segurança técnica e organizacional são validadas por auditores externos independentes e são projetadas para impedir o acesso não autorizado ao conteúdo de clientes ou a divulgação não autorizada desse conteúdo.

A Lei de Proteção de Dados Pessoais de 2012 (PDPA) aplica-se à proteção de dados pessoais em Singapura, inclusive para casos de transferência de dados pessoais internacionalmente para processamento. A PDPA rege a coleta, o uso, a divulgação e a proteção de dados pessoais.

A AWS implementa e mantém medidas de segurança técnica e organizacional aplicáveis a serviços de infraestrutura da Nuvem AWS de acordo com os frameworks e as certificações de garantia de segurança reconhecidas mundialmente, incluindo ISO 27001, ISO 27017, ISO 27018, PCI DSS Nível 1 e SOC 1, 2 e 3. Essas medidas de segurança técnica e organizacional são validadas por avaliadores externos independentes e são projetadas para impedir o acesso não autorizado ao conteúdo de clientes ou a divulgação não autorizada desse conteúdo.

A AWS oferece suporte a muitas organizações de saúde em todo o mundo, fornecendo a tecnologia necessária para se movimentar na velocidade necessária para causar impacto, desde o uso do compartilhamento de dados médicos para diagnosticar doenças anteriormente desconhecidas até a identificação de novos vírus para evitar outra pandemia e muitas outras funções críticas. Tudo isso enquanto permite que os clientes atendam aos mais altos requisitos de segurança e conformidade. Como exemplo, a Integrated Health Information Systems (IHiS) de Singapura, a agência responsável por fornecer as tecnologias capacitadoras que alimentam a saúde pública de Singapura, recorreu à AWS para dimensionar com segurança seus sistemas de TI de operações de vacinação para sustentar cargas significativamente mais altas em um prazo muito curto, de uma carga inicial de 8.000 vacinações diárias para um pico de 80.000 vacinações diárias em um período de
quatro semanas.