¿Cómo evito el hecho de que AWS SQS no cumple con HIPAA?

21

Tengo un caso de uso donde los datos de S3 se ponen en cola en AWS SQS, que a su vez está conectado a CloudWatch, cuyas métricas desencadenarán AWS Lambda.

Sin embargo, quiero que la arquitectura sea compatible con HIPAA . Entonces, se me ocurrió esta idea:

  1. Una vez que mi cubo S3 obtiene un archivo,
  2. Encienda una función Lambda, que hace el cifrado de nombres / hashing de los archivos, y las copias a otro cubo S3 (a través de aws cp)
  3. Conecte el depósito con los nombres codificados / codificados a la cola SQS

¿Es esta una práctica buena y segura? ¿O hay una mejor solución? (Sería más que feliz si puedo enviar claves cifradas de S3 a SQS. Pero no estoy seguro de si puedo o si es posible)

amazon-web-services amazon-s3 amazon-sqs Dawny33
fuente

Respuestas:

19

De acuerdo con Amazon AWS

Los clientes pueden usar cualquier servicio de AWS en una cuenta designada como una cuenta HIPAA, pero solo deben procesar, almacenar y transmitir PHI en los servicios elegibles para HIPAA definidos en BAA. Hoy hay diez servicios elegibles para HIPAA, incluidos AWS Snowball, Amazon DynamoDB, Amazon EBS, Amazon EC2, Amazon Elastic MapReduce (EMR), Amazon Elastic Load Balancing (ELB), Amazon Glacier, Amazon Relational Database Service (RDS) [MySQL, Oracle y motores PostgreSQL solamente], Amazon Aurora [solo edición compatible con MySQL], Amazon Redshift y Amazon S3.

fuente: https://aws.amazon.com/compliance/hipaa-compliance/

Esto significa que mientras no esté almacenando o transmitiendo PHI en SQS, solo la información sobre dónde se almacena esta PHI, probablemente pueda pasar un registro de auditoría. Cumplimiento de HIPAA.

En la arquitectura que describe, la cola SQS no necesita incluir ningún contenido de PHI. Esto lo haría cumplir con la declaración anterior.

Más información sobre el cumplimiento de HIPAA en AWS está disponible en este documento de enero de 2017: https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

Específicamente, SQS se menciona y explica en las Preguntas frecuentes de HIPAA: https://aws.amazon.com/blogs/security/frequency-asked-questions-about-hipaa-compliance-in-the-aws-cloud-part-two/ .

actualización : a partir del 1 de mayo de 2017, SQS ahora cumple con HIPAA. https://aws.amazon.com/about-aws/whats-new/2017/05/amazon-simple-queue-service-sqs-is-now-a-hipaa-eligible-service/

Evgeny
fuente