Comment contourner le fait qu'AWS SQS n'est pas conforme à HIPAA?

21

J'ai un cas d'utilisation où les données de S3 sont mises en file d'attente dans AWS SQS, qui est à son tour connecté à CloudWatch, dont les mesures déclencheront AWS Lambda.

Cependant, je veux que l'architecture soit conforme à HIPAA . Donc, j'ai trouvé cette idée:

  1. Une fois que mon compartiment S3 obtient un fichier,
  2. Lancez une fonction Lambda, qui effectue le hachage / le brouillage des noms des fichiers, et copie vers un autre compartiment S3 (via aws cp)
  3. Connectez le compartiment avec les noms hachés / brouillés à la file d'attente SQS

Est-ce une bonne pratique sûre? Ou existe-t-il une meilleure solution de contournement? (Je serais plus qu'heureux si je pouvais envoyer des clés cryptées de S3 à SQS. Mais je ne sais pas si je peux ou si c'est possible)

Dawny33
la source

Réponses:

19

Selon Amazon AWS

Les clients peuvent utiliser n'importe quel service AWS dans un compte désigné comme compte HIPAA, mais ils ne doivent traiter, stocker et transmettre les PHI que dans les services éligibles HIPAA définis dans le BAA. Il existe aujourd'hui dix services éligibles HIPAA, notamment AWS Snowball, Amazon DynamoDB, Amazon EBS, Amazon EC2, Amazon Elastic MapReduce (EMR), Amazon Elastic Load Balancing (ELB), Amazon Glacier, Amazon Relational Database Service (RDS) [MySQL, Moteurs Oracle et PostgreSQL uniquement], Amazon Aurora [édition compatible MySQL uniquement], Amazon Redshift et Amazon S3.

source: https://aws.amazon.com/compliance/hipaa-compliance/

Cela signifie que tant que vous ne stockez pas ou ne transmettez pas de PHI dans SQS, juste les informations sur l'endroit où ce PHI est stocké - vous pouvez probablement passer un enregistrement d'audit. Conformité HIPAA.

Dans l'architecture que vous décrivez, la file d'attente SQS n'a pas besoin d'inclure de contenu PHI. Cela le rendrait conforme à la déclaration ci-dessus.

Plus d'informations sur la conformité HIPAA sur AWS sont disponibles dans ce livre blanc à partir de janvier 2017 - https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

Plus précisément, SQS est mentionné et expliqué dans la FAQ HIPAA - https://aws.amazon.com/blogs/security/frequently-asked-questions-about-hipaa-compliance-in-the-aws-cloud-part-two/ .

mise à jour : Depuis le 1er mai 2017, SQS est désormais conforme à la norme HIPAA. https://aws.amazon.com/about-aws/whats-new/2017/05/amazon-simple-queue-service-sqs-is-now-a-hipaa-eligible-service/

Evgeny
la source