Le Federal Risk and Authorization Management Program (FedRAMP) est un programme de l'État fédéral américain qui fournit une approche normalisée de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue pour les produits et services cloud. Le programme FedRAMP est obligatoire pour toutes les agences fédérales américaines et tous les services cloud, y compris le Département américain de la Santé et des Services sociaux.

 Deux autorisations d'agence FedRAMP distinctes nous ont été délivrées. La première couvre la région AWS GovCloud (US) et l'autre s'applique aux régions AWS USA Est et Ouest.

Le cadre HITRUST CSF (Cloud Security Framework) sert à unifier les contrôles de sécurité basés sur des aspects de la législation fédérale américaine (comme les lois HIPAA et HITECH), de la loi de l'État (Standards for the Protection of Personal Information of Residents of the Commonwealth du Massachusetts) et des normes de conformité non gouvernementales reconnues (comme PCI DSS) en un cadre unique et sur mesure, destiné à répondre aux exigences en matière de soins de santé.

Certains services AWS ont été évalués dans le cadre du programme d'assurance HITRUST CSF par un expert accrédité HITRUST CSF comme étant conformes aux critères de la certification HITRUST CSF v9.3.

Les clients peuvent utiliser tous les services AWS sur un compte désigné comme étant un compte HIPAA, mais ils doivent traiter, stocker et transmettre les données de santé protégées dans les services conformes à la législation HIPAA.

La loi américaine Health Insurance Portability and Accountability Act (HIPAA) de 1996 est conçue pour qu'il soit plus facile pour les travailleurs américains de conserver leur couverture d'assurance maladie lorsqu'ils changent de travail ou qu'ils perdent leur emploi. La loi cherche également à favoriser l'adoption des dossiers médicaux informatisés pour accroître l'efficacité et la qualité du système de santé américain grâce à un meilleur partage d'informations.

En 2009, la loi Health Information Technology for Economic and Clinical Health Act (HITECH) a permis de développer les règles définies par la loi HIPAA. Ensemble, les lois HIPAA et HITECH établissent un ensemble de normes fédérales destinées à préserver la sécurité et la confidentialité des données de santé protégées. Ces dispositions figurent dans ce que l'on appelle les règles de « simplification administrative ». Les lois HIPAA et HITECH imposent des exigences concernant l'utilisation et la divulgation des données de santé protégées, les mesures de protection appropriées des données de santé, les droits individuels et les responsabilités administratives.

La loi sur la protection des renseignements personnels sur la santé (Personal Health Information Protection Act, PHIPA) représente la loi de l'Ontario sur la confidentialité, qui s'applique à la collecte, à l'utilisation et à la diffusion des données de santé personnelles (PHI) lors de la fourniture ou de la facilitation de services de soins de santé.

Health and Social Care Cloud Security – Good Practice Guide (Sécurité dans le cloud en matière de santé et de services sociaux – Guide de bonnes pratiques) a été conjointement écrit par NHS Digital, NHS England, le ministère de la Santé et de l'Aide sociale et NHS Improvement.

Ce guide présente les mesures de protection qui doivent être mises en place pour permettre aux organisations de santé et de services sociaux de stocker en toute sécurité les données de santé et de services sociaux (notamment les renseignements confidentiels des patients) dans le cloud public (y compris les solutions reposant sur le traitement des données à l'étranger).

AWS garantit la conformité et la prise en charge à travers la classification des charges de travail déployées sur AWS et la mise en œuvre de contrôles de la classe appropriée, respectivement. Le livre blanc intitulé « Utilisation d'AWS dans le contexte du guide de sécurité dans le cloud du NHS » présente les activités détaillées de gestion des risques que les organisations doivent entreprendre, en particulier les mesures techniques adaptées au niveau de sécurité requis.

Hébergeur de Données de Santé (HDS) – Présentée par l'agence gouvernementale française pour la santé, « Agence du Numérique en Santé » (ANS), la certification HDS (Hébergeur de Données de Santé) a pour objectif de renforcer la sécurité et la protection des données personnelles de santé.

Pour être certifié HDS, un fournisseur de TI doit être certifié ISO 27001. Cela signifie que les services couverts par notre certification ISO 27001 sont inclus dans le champ d'application de la certification HDS. Les services AWS concernés par la certification ISO/CEI 27001:2013 sont indiqués sur la page web dédiée à la certification ISO.  

La loi DiGAV a été instaurée en avril 2020 pour soutenir la dématérialisation du système de santé allemand. Avec la loi DiGAV, certaines applications de soins de santé peuvent être reconnues comme étant remboursables en vertu du régime légal d'assurance maladie allemand. Cependant, pour que les organisations soient conformes à la loi DiGAV et éligibles au remboursement dans le cadre de cet instrument juridique, elles doivent démontrer que leurs applications satisfont aux exigences de protection des données de la loi DiGAV. Elles doivent notamment prouver que les données personnelles sont traitées exclusivement au sein de l'Espace économique européen (EEA) ou dans un pays faisant l'objet d'une décision d'adéquation de la Commission européenne en vertu de l'article 45 du Règlement général sur la protection des données (RGPD).

Dans un contexte marqué par la migration des charges de travail relatives aux soins de santé dans le cloud, AWS offre un certain nombre d'outils de pointe pour aider les clients à répondre aux exigences réglementaires et législatives locales, notamment la loi DVG (German Digital Supply Act) et la loi DiGAV (Digital Health Applications Ordinance) associée.

La loi sur la protection des informations à caractère personnel (APPI) est la principale législation traitant des données personnelles au Japon.

L'APPI s'applique à tous les exploitants du secteur (personnes et entités) qui traitent des informations à caractère personnel. L'APPI fait également la distinction entre les informations à caractère personnel et les données à caractère personnel (ce que l'APPI définit comme les informations à caractère personnel qui constituent une partie de la base de données des informations à caractère personnel). Les obligations incombant aux exploitants du secteur varient selon qu'ils procèdent à l'acquisition, à l'utilisation ou à la fourniture d'informations ou de données à caractère personnel.

AWS met en œuvre et maintient des mesures de sécurité techniques et organisationnelles applicables aux services d'infrastructure du cloud AWS en vertu de certifications et de cadres d'assurance de la sécurité reconnus au niveau international, notamment ISO 27001, ISO 27017, ISO 27018, PCI DSS de niveau 1 et SOC 1, 2 et 3. Ces mesures de sécurité techniques et organisationnelles sont validées par des évaluateurs tiers indépendants et sont conçues pour empêcher l'accès non autorisé au contenu des clients ou sa divulgation.

La loi de 2012 sur la protection des données personnelles (PDPA) est l'instrument juridique qui s'applique à la protection des données personnelles à Singapour, notamment lorsque celles-ci sont transférées à l'international pour être traitées. La loi PDPA régit la collecte, l'utilisation, la divulgation et la protection des données personnelles.

AWS met en œuvre et maintient des mesures de sécurité techniques et organisationnelles applicables aux services d'infrastructure du cloud AWS en vertu de certifications et de cadres d'assurance de la sécurité reconnus au niveau international, notamment ISO 27001, ISO 27017, ISO 27018, PCI DSS de niveau 1 et SOC 1, 2 et 3. Ces mesures de sécurité techniques et organisationnelles sont validées par des évaluateurs tiers indépendants et sont conçues pour empêcher l'accès non autorisé au contenu des clients ou sa divulgation.

AWS accompagne de nombreuses organisations de soins de santé à travers le monde en fournissant la technologie nécessaire pour se déployer à la bonne vitesse afin d'avoir un impact positif. Les domaines ainsi concernés vont du partage des données médicales au diagnostic des maladies jusque-là inconnues, en passant par l'identification de nouveaux virus pour prévenir d'autres pandémies et de multiples autres fonctions essentielles. AWS s'y attelle tout en permettant aux clients de satisfaire aux exigences de sécurité et de conformité les plus élevées. À titre d'exemple, l'Integrated Health Information Systems (IHiS) de Singapour, l'agence chargée de la fourniture des technologies habilitantes soutenant le système de santé public singapourien, s'est tournée vers AWS pour mettre à l'échelle en toute sécurité ses systèmes informatiques d'appui à la vaccination. Objectif : prendre très rapidement en charge des charges considérablement élevées, en passant d'une prestation quotidienne de 8 000 vaccinations initialement à un pic de 80 000 vaccinations.
L'opération de mise à l'échelle s'est faite dans un délai de quatre semaines.