Come aggirare il fatto che AWS SQS non è conforme a HIPAA?

21

Ho un caso d'uso in cui i dati di S3 sono messi in coda in AWS SQS, che a sua volta è collegato a CloudWatch, le cui metriche attiveranno AWS Lambda.

Tuttavia, voglio che l'architettura sia conforme a HIPAA . Quindi, ho avuto questa idea:

  1. Quando il mio bucket S3 ottiene un file,
  2. Avvia una funzione Lambda, che esegue l'hashing / nome rimescolando i file e copia su un altro bucket S3 (tramite aws cp)
  3. Collegare il bucket con i nomi con hash / criptati alla coda SQS

È una pratica buona e sicura? O c'è una soluzione alternativa migliore? (Sarebbe più che felice se posso inviare chiavi crittografate di S3 a SQS. Ma non sono sicuro se posso o se è possibile)

amazon-web-services  amazon-s3  amazon-sqs 
Dawny33
fonte

Risposte:

19

Secondo Amazon AWS

I clienti possono utilizzare qualsiasi servizio AWS in un account designato come account HIPAA, ma devono solo elaborare, archiviare e trasmettere PHI nei servizi idonei per HIPAA definiti nel BAA. Oggi ci sono dieci servizi idonei per HIPAA, tra cui AWS Snowball, Amazon DynamoDB, Amazon EBS, Amazon EC2, Amazon Elastic MapReduce (EMR), Amazon Elastic Load Balancing (ELB), Amazon Glacier, Amazon Relational Database Service (RDS) [MySQL, Solo motori Oracle e PostgreSQL], Amazon Aurora [solo versione compatibile con MySQL], Amazon Redshift e Amazon S3.

fonte: https://aws.amazon.com/compliance/hipaa-compliance/

Ciò significa che fino a quando non si memorizza o non si trasmette PHI in SQS, solo le informazioni su dove viene archiviato questo PHI - probabilmente è possibile passare un registro di controllo. Conformità HIPAA.

Nell'architettura descritta, la coda SQS non deve includere alcun contenuto PHI. Ciò lo renderebbe conforme alla precedente dichiarazione.

Maggiori informazioni sulla conformità HIPAA su AWS sono disponibili in questo white paper a partire da gennaio 2017 - https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

Nello specifico SQS è menzionato e spiegato nelle FAQ HIPAA - https://aws.amazon.com/blogs/security/frequently-asked-questions-about-hipaa-compliance-in-the-aws-cloud-part-two/ .

aggiornamento : dal 1 ° maggio 2017, SQS è ora conforme a HIPAA. https://aws.amazon.com/about-aws/whats-new/2017/05/amazon-simple-queue-service-sqs-is-now-a-hipaa-eligible-service/

Evgeny
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.