HIPAA Security Rule: Feb 2003
AWS Audit Manager proporciona un marco estándar prediseñado compatible con Health Insurance Portability and Accountability Act (HIPAA) Security Rule: Feb 2003.
nota
Para obtener información sobre la Norma general de seguridad definitiva de la HIPAA de 2013 y el marco de Audit Manager que respalda este estándar, consulte HIPAA Omnibus Final Rule.
Temas
¿Qué es la HIPAA y la Norma de Seguridad de la HIPAA de 2003?
La HIPAA es una ley que ayuda a los trabajadores estadounidenses a conservar la cobertura del seguro médico cuando cambian o pierden su empleo. La legislación también busca fomentar los registros médicos electrónicos para mejorar la eficacia y la calidad del sistema de salud de los EE. UU. mediante un mejor intercambio de información.
Además de aumentar el uso de los registros médicos electrónicos, la HIPAA incluye disposiciones para proteger la seguridad y la privacidad de la información de salud protegida (protected health information, PHI). La PHI incluye un conjunto muy amplio de datos de salud de identificación personal y relacionados con la salud. Esto incluye información sobre seguros y facturación, datos de diagnóstico, datos de atención clínica y resultados de laboratorio, como imágenes y resultados de pruebas.
El Departamento de Salud y Servicios Humanos de los Estados Unidos publicó una norma de seguridad
Las normas de la HIPAA se aplican a las entidades cubiertas. Estas incluyen hospitales, proveedores de servicios médicos, planes de salud patrocinados por el empleador, centros de investigación y compañías de seguros que tratan directamente con los pacientes y sus datos. El requisito de la HIPAA de proteger la PHI también se extiende a los socios comerciales.
Para obtener más información sobre cómo HIPAA e HITECH protegen la información de salud, consulte la página web Privacidad de la información de salud
Un número creciente de proveedores de atención médica, pagadores y profesionales de TI utilizan servicios en la nube basados en utilidades de AWS para procesar, almacenar y transmitir información sanitaria protegida (PHI). AWS permite a las entidades cubiertas y a sus asociados comerciales sujetos a la HIPAA utilizar el entorno seguro de AWS para procesar, mantener y almacenar información sanitaria protegida.
Para obtener instrucciones sobre cómo puede utilizar AWS para el procesamiento y almacenamiento de la información de salud, consulte el documento técnico Architecting for HIPAA Security and Compliance on Amazon Web Services
Uso de este marco
Puede utilizar el marco Norma de Seguridad de la HIPAA de 2003 como ayuda para prepararse para las auditorías. Este marco incluye una colección prediseñada de controles con descripciones y procedimientos de prueba. Estos controles se agrupan en conjuntos de controles según los requisitos de la HIPAA. También puede personalizar este marco y sus controles para respaldar las auditorías internas con requisitos específicos.
Si utiliza el marco como punto de partida, puede crear una evaluación de Audit Manager y empezar a recopilar pruebas relevantes para su auditoría. Tras crear una evaluación, Audit Manager comienza a evaluar sus recursos de AWS. Lo hace en función de los controles que se definen en el marco de la HIPAA. Cuando llegue el momento de realizar una auditoría, usted (o la persona que designe) puede revisar las pruebas que recopiló Audit Manager. Además, puede examinar las carpetas de las pruebas en la evaluación y seleccionar qué pruebas desea incluir en su informe de evaluación. O bien, si ha activado el buscador de pruebas, puede buscar pruebas específicas y exportarlas en formato CSV, o crear un informe de evaluación a partir de los resultados de la búsqueda. En cualquier caso, puede utilizar este informe de evaluación para demostrar que sus controles funcionan según lo previsto.
Los detalles del marco son los siguientes:
| Nombre del marco en AWS Audit Manager | Número de controles automatizados | Número de controles manuales | Número de conjuntos de control |
|---|---|---|---|
| Health Insurance Portability and Accountability Act (HIPAA) Security Rule: Feb 2003 | 28 | 57 | 5 |
importante
Para garantizar que este marco recopile las evidencias previstas de AWS Security Hub, asegúrese de haber habilitado todos los estándares en Security Hub.
Para garantizar que este marco recopile las evidencias previstas de AWS Config, asegúrese de habilitar las reglas necesarias de AWS Config. Para revisar las reglas de AWS Config que se utilizan como asignaciones de origen de datos en este marco estándar, descargue el archivo AuditManager_ConfigDataSourceMappings_HIPAA-Security-Rule-Feb-2003.zip.
Los controles de este marco de AWS Audit Manager no tienen por objeto verificar si sus sistemas cumplen con la norma HIPAA. Además, no pueden garantizar que vaya a superar una auditoría de la HIPAA. AWS Audit Manager no comprueba automáticamente los controles procedimentales que requieren la recopilación manual de pruebas.
Siguientes pasos
Para obtener instrucciones sobre cómo ver información detallada de este marco, incluida la lista de controles estándar que incluye, consulte Revisión de un marco en AWS Audit Manager.
Para obtener instrucciones sobre cómo crear una evaluación mediante el uso de este marco, consulte Creación de una evaluación en AWS Audit Manager.
Para obtener instrucciones sobre cómo personalizar este marco para que se adapte a sus requisitos específicos, consulte Creación de una copia editable de un marco existente en AWS Audit Manager.
Recursos adicionales de
-
Privacidad de la información de salud
del Departamento de Salud y Servicios Humanos de los EE. UU. -
La norma de seguridad
del Departamento de Salud y Servicios Humanos de los EE. UU. -
Arquitectura de seguridad de HIPAA y cumplimiento de servicios Amazon Web
