Como solucionar o fato de que o AWS SQS não é compatível com HIPAA?


21

Tenho um caso de uso em que os dados do S3 são enfileirados no AWS SQS, que por sua vez é conectado ao CloudWatch, cujas métricas acionam o AWS Lambda.

No entanto, quero que a arquitetura seja compatível com HIPAA . Então, eu tive essa ideia:

  1. Depois que meu bucket S3 obtiver um arquivo,
  2. Inicie uma função Lambda, que faz a codificação de hash / nome dos arquivos e copie para outro bucket S3 (via aws cp)
  3. Conecte o bucket com os nomes com hash / codificado na fila SQS

Esta é uma prática boa e segura? Ou existe uma solução melhor? (Seria mais do que feliz se eu pudesse enviar chaves criptografadas do S3 para o SQS. Mas não tenho certeza se posso ou se é possível)

Respostas:


19

De acordo com a Amazon AWS

Os clientes podem usar qualquer serviço da AWS em uma conta designada como uma conta HIPAA, mas devem apenas processar, armazenar e transmitir PHI nos serviços elegíveis para HIPAA definidos no BAA. Atualmente, existem dez serviços qualificados para HIPAA hoje, incluindo AWS Snowball, Amazon DynamoDB, Amazon EBS, Amazon EC2, Amazon Elastic MapReduce (EMR), Amazon Elastic MapReduce (EMR), Amazon Elastic Load Balancing (ELB), Amazon Glacier, Amazon Glacier, Amazon Relational Database Service (RDS) [MySQL, Somente mecanismos Oracle e PostgreSQL], Amazon Aurora [somente edição compatível com MySQL], Amazon Redshift e Amazon S3.

fonte: https://aws.amazon.com/compliance/hipaa-compliance/

Isso significa que, desde que você não esteja armazenando ou transmitindo PHI no SQS, apenas as informações sobre o local em que esse PHI está sendo armazenado - você provavelmente poderá passar por um registro de auditoria. Conformidade com HIPAA.

Na arquitetura que você descreve, a fila SQS não precisa incluir nenhum conteúdo PHI. Isso o faria cumprir com a declaração acima.

Mais informações sobre conformidade com HIPAA na AWS estão disponíveis neste whitepaper a partir de janeiro de 2017 - https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

Especificamente, o SQS é mencionado e explicado nas HIPAA FAQ - https://aws.amazon.com/blogs/security/frequently-asked-questions-about-hipaa-compliance-in-the-aws-cloud-part-two/ .

atualização : A partir de 1º de maio de 2017, o SQS agora é compatível com HIPAA. https://aws.amazon.com/about-aws/whats-new/2017/05/amazon-simple-queue-service-sqs-is-now-a-hipaa-eligible-service/

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.