私の雇用主には、医療提供者からの患者の請求書に関連するドキュメントのアップロード、保存、および管理に使用されるアプリケーションをホストするシナリオがあります。これらのドキュメントにPHIが含まれていることはこれまでのところ私たちの知識であり、現在のホスティングソリューションのリスクを軽減するためにセキュリティプログラムで開発された多くのポリシーがあります。
純粋なアプリケーションアーキテクチャの観点から、アプリケーションは使用済みディスクスペースを急速に拡大しており、クラウドストレージを何らかの方法で活用できるかどうかを判断しようとしています。明らかに、別のホスティングプロバイダーを紹介するには、ビジネスアソシエイト契約(BAA)の形式など、プロバイダーに代わってリスク軽減の検証を行う必要があります...
少なくともそれは、「CoC」が任意の数のホスティングプロバイダーから維持される従来の方法です。
最初に私は尋ねます:私はその声明でベースから外れていますか^^?
次に、質問をします。管理過程が存在するように、BAAはPHIをホストするために(法律によって)必要ですか?そうでない場合でも、BAAは、クラウドプロバイダーサービスの使用を検討しているすべての人に適用可能ですか、それとももっともらしいですか?
ご協力ありがとう御座います!乾杯! SAM
あなたはあなたの評価に基づいていません。 PHIをクラウドに配置するということは、そのプロバイダーがコンプライアンスに責任を持つようになったことを意味します。それらは現在、PHIの管理過程で重要な役割を果たしています。
BAAは、クラウドプロバイダーを使用していて、気密性のあるBAAがない場合と同じように必要であり、リスクにさらされています。チェーンを次のように考えてください。
病院(対象エンティティ)<->病院(BA)にサービスを提供している<-> AWS
病院のPHIを処理するためのすべての技術的リスクを引き受けた病院でBAAを持っている可能性があります。ただし、AWSは、PHIを処理するチェーンの重要な部分です。 AWSでBAAを持っていない場合、実際に責任を負う当事者にコンプライアンスリスクを引き渡すことはありません。たとえば、なんらかの不敬虔な理由で主要なデータセンターが侵入され、ハードドライブが盗まれた場合、BAAがない場合は問題が発生します。
ただし、すべてのパブリッククラウドは、コンプライアンス全体のごく一部しかカバーしていないことに注意してください。翻訳は「CoC」から「SharedResponsibilityModel」への翻訳です。 AWSは次のとおりです: https://aws.Amazon.com/compliance/shared-responsibility-model/
したがって、たとえばAWSの場合、それらは約1/10(物理的なセーフガード、ファイアウォール)しかカバーしません。彼らのBAAは、暗号化、ロギング、ディザスタリカバリなどの他の制御を引き受けません。
クラウドを利用したいのなら、私が働いているダティカのような会社を調べてみてください。パブリッククラウドの上に座っているそのような企業は、いわば他の9/10のリスクを維持し、引き受けます。 このリソースは概念を説明するのに役立つかもしれません。