5
Planuję mieć Oracle na AWS.AWS RDS - HIPAA zgodny?
Czy Oracle RDS HIPAA jest zgodny? Jak mogę to uczynić zgodnym z HIPAA?
A
Odpowiedz
11
Odpowiedź niedawno się zmieniła. RDS jest teraz zgodne z HIPAA, zgodnie z ich dokumentacją/FAQ:
Jakie usługi można wykorzystać na koncie AWS, jeśli posiadam licencję BAA z AWS?
Klienci mogą korzystać z dowolnej usługi AWS na koncie wyznaczonym jako konto HIPAA, ale powinni przetwarzać, przechowywać i przekazywać PHI w kwalifikujących się usługach HIPAA określonych w BAA. Obecnie istnieje dziewięć kwalifikujących się usług HIPAA, w tym Amazon DynamoDB, Amazon EBS, Amazon EC2, Amazon Elastic MapReduce (EMR), Amazon Elastic Load Balancer (ELB), Amazon Glacier, Amazon Relational Database Service (RDS) [MySQL i silniki Oracle ], Amazon Redshift i Amazon S3.
-1
AWS RDS, cannot be made HIPAA compliant.
W przypadku ogólnych prac HIPAA podpisujesz BAA (umowę o partnerstwie biznesowym) z AWS i wypłacasz im trochę pieniędzy. Prawdopodobnie będziesz musiał użyć dedicated instances.
+4
Gdzie widziałeś, że usługa RDS może być zgodna z HIPAA? Patrząc na stronę, z którą się łączyłeś, nie wspominasz o RDS gdziekolwiek, a konkretnie wyszczególniasz tylko sześć usług. RDS nie jest jednym z nich. – jbrendel
+0
@tedder Głosowanie w dół dla odpowiedzi ... To nie jest właściwa odpowiedź. Żadna dokumentacja AWS nie mówi o zgodności RDS z HIPPA. – Riky
+0
jbrendel @riky Zmieniłem swoją odpowiedź. Usunąłbym go, ale zaakceptowanej odpowiedzi nie można usunąć. – tedder42
2
@Dang
Nie ma AWS offical dokumentacja mówi RDS mogą być wykonane zgodne z HIPAA. Zamiast tego EC2, S3 i EBS są znanymi usługami. Sposób, aby uzyskać zgodny HIPAA za swoje usługi AWS postępuj w ten sposób:
- Klienci muszą identyfikować się AWS każdego konta mają być objęte przez BAA jako "HIPAA konto.
- Klienci mogą przetwarzać, przechowywać lub przekazywać PHI tylko w EC2, S3 i EBS.
- Klienci muszą używać instancji dedykowane dla danych PHI - http://aws.amazon.com/dedicated-instances/
- Klienci muszą używać VPC
- Klienci muszą szyfrować wszystkie PHI zgodnie z pewnymi minimalnymi standardów szyfrowania
- Klienci mogą stosować dowolną usługę AWS w ich „HIPAA konta dla danych że nie jest PHI
Tak więc, aby dostać umowę BAA z AWS będziesz potrzebować dedykowanych wystąpień uruchomionych w VPC, a nie «klasyczny» EC2. (Ceny dedykowanych instancji znacznie spadły od samego początku.)
Nie mogę na pewno komentować RDS. Co wiem, RDS może być całkiem bezpieczny, używając SSL przez port 443.
Co sugeruję, że jeśli jesteś autoryzowanym klientem AWS, porozmawiaj z dyrektorem ds. Obsługi klienta AWS, ponieważ są oni najlepsi, aby potwierdzić moją odpowiedź.
Dzięki
0
Cytując oficjalny dokument wydany przez Amazon Web Services grudnia 2015 (Link wymienione poniżej) Amazon RDS dla Oracle i Amazon RDS dla MySQL są dostępne do użytku w ramach standardów HIPAA po podpisać partnera biznesowego umowa, a konto jest oznaczony jako „konto HIPAA”
link do białego papieru - https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf
mam głosu, aby zamknąć to pytanie jako off-topic, ponieważ jest to pytanie o prawa, nie programowania. –