生物医疗出海企业需要满足的合规要求

1 - HIPAA（美国）与 HITECH（美国）

HIPAA 和 HITECH 强制推行使用和披露 个人健康信息 PHI 的相关要求、保护 PHI 的适当安全措施、个人权利和管理责任。

AWS合规性详情查看：https://aws.amazon.com/cn/compliance/hipaa-compliance/

企业如果希望合规：

由于HIPAA是法律，没有所谓的HIPAA 认证。如果出现违法行为会被处罚，需要持续的安全合规。因此，建议参考NIST的指引 SP 800-66，这是一个“实施 HIPAA 安全规则的介绍性资源指南”的文档，说明了如何将 NIST 800-53 与 HIPAA 安全规则对应。

AWS 上 HIPAA 参考架构：

此解决方案是 AWS 合规服务组的一部分，可提供以安全为中心的架构，帮助托管服务提供商、云预配置团队、开发人员、集成商以及信息安全团队遵守严格的安全、合规和风险管理控制。

安全控制矩阵

安全控制矩阵显示了解决方案架构决策、组件以及配置与 HIPAA 法规要求的对应关系。

HIPAA合规部署源代码

HIPAA Reference Architecture on the AWS Cloud Quick Start Reference Deployment

This Quick Start was created by Amazon Web Services (AWS). Quick Starts are automated reference deployments that use AWS CloudFormation templates to deploy key technologies on AWS, following AWS best practices.

如果上述方式都太复杂，可以先从以下工作入手：

由于很多客户都遇到过勒索攻击，黑客获取到重要数据后会采用两种方式逼迫企业付赎金，一种是加密获取到的数据，企业无法用于正常经营和业务，导致业务中断，付赎金后可以解密。另外一种方式是威胁公开重要数据，企业可能会面临法律制裁和客户投诉。因此建议，至少先将防范勒索攻击的工作先做好。

• 1 - 做好安全备份，预防勒索软件攻击。可以学习如何防范勒索软件。

• 2 - 使用Amazon Macie识别敏感数据，然后，对敏感数据进行加密保护；如何加密S3中的数据可以参见此文档。

参考资料

[AWS White-paper] UK Healthcare and Life Sciences Compliance on AWS

[AWS White-paper] Navigating GDPR Compliance on AWS

[AWS White-paper] Architecting for HIPAA Security and Compliance on Amazon Web Services

[解决方案] 基于AI的健康数据的识别和脱敏 - AI-Powered Health Data Masking

[解决方案] AWS 上 HIPAA 参考架构