Bagaimana saya mengatasi kenyataan bahwa AWS SQS tidak sesuai dengan HIPAA?

21

Saya memiliki kasus penggunaan di mana data dari S3 diantrekan ke AWS SQS, yang pada gilirannya terhubung ke CloudWatch, yang metriknya akan memicu AWS Lambda.

Namun, saya ingin arsitekturnya sesuai dengan HIPAA . Jadi, saya datang dengan ide ini:

  1. Setelah ember S3 saya mendapat file,
  2. Jalankan fungsi Lambda, yang melakukan hashing / name scrambling file, dan salin ke bucket S3 lain (via aws cp)
  3. Hubungkan ember dengan nama yang diacak / diacak ke antrian SQS

Apakah ini praktik yang baik dan aman? Atau adakah solusi yang lebih baik? (Akan lebih dari senang jika saya dapat mengirim kunci terenkripsi S3 ke SQS. Tapi tidak yakin apakah saya bisa atau jika mungkin)

amazon-web-services amazon-s3 amazon-sqs Dawny33
sumber

Jawaban:

19

Menurut Amazon AWS

Pelanggan dapat menggunakan layanan AWS apa pun dalam akun yang ditetapkan sebagai akun HIPAA, tetapi mereka hanya boleh memproses, menyimpan, dan mengirimkan PHI dalam layanan yang memenuhi syarat HIPAA yang ditentukan dalam BAA. Ada sepuluh layanan yang memenuhi syarat HIPAA hari ini, termasuk AWS Snowball, Amazon DynamoDB, Amazon EBS, Amazon EC2, Amazon Elastic MapReduce (EMR), Amazon Elastic Load Balancing (ELB), Gletser Amazon, Amazon Database Database Service (RDS) [MySQL, Oracle, dan mesin PostgreSQL saja], Amazon Aurora [edisi khusus MySQL], Amazon Redshift, dan Amazon S3.

sumber: https://aws.amazon.com/compliance/hipaa-compliance/

Ini berarti bahwa selama Anda tidak menyimpan atau mentransmisikan PHI di SQS, cukup informasi tentang di mana PHI ini disimpan - Anda mungkin dapat melewati reg audit. Kepatuhan HIPAA.

Dalam arsitektur yang Anda gambarkan, antrian SQS tidak perlu menyertakan konten PHI apa pun. Ini akan membuatnya mematuhi pernyataan di atas.

Informasi lebih lanjut tentang kepatuhan HIPAA pada AWS tersedia di whitepaper ini mulai Januari 2017 - https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

Secara khusus SQS disebutkan dan dijelaskan dalam FAQ HIPAA - https://aws.amazon.com/blogs/security/frequently-asked-questions-about-hipaa-compliance-in-the-aws-cloud-part-two/ .

pembaruan : Pada 1 Mei 2017, SQS sekarang telah memenuhi persyaratan HIPAA. https://aws.amazon.com/about-aws/whats-new/2017/05/amazon-simple-queue-service-sqs-is-now-a-hipaa-eligible-service/

Evgeny
sumber