AWS HIPAA richiede hardware dedicato a un singolo cliente

1

La conformità Amazon HIPAA richiede che i clienti eseguano su hardware dedicato ( link ).

Penserei che l'isolamento del sistema operativo e la crittografia dei dati a riposo e dei dati in transito sarebbero sufficienti.

Quali sono i rischi della condivisione dell'hardware con altre macchine virtuali client? Sto cercando di capire le ragioni dietro la loro decisione per questa restrizione.

    
posta henry 21.11.2016 - 01:01
fonte

2 risposte

2

Non utilizzare hardware dedicato può causare perdite di informazioni a causa di cache condivise , hypervisor compromessi (a causa di vari canali laterali basati sui tempi e altri problemi dovuti a uncertain stability stability .

La crittografia dei dati a riposo e in transito non è sufficiente in quanto molti di questi attacchi hanno dimostrato la dimostrazione di concetti che rubano le chiavi ai vicini. In generale, i regolamenti di conformità tendono ad essere errati dal lato della cautela fino a quando una tecnologia non è matura.

    
risposta data 21.11.2016 - 01:11
fonte
0

Sebbene tu possa essere corretto rispetto alla tua valutazione delle garanzie tecniche che descrivi come adeguate (anche se mi fiderei che i gestori del rischio di AWS e altre risposte dimostrino alcuni possibili problemi tecnici), è in gran parte irrilevante.

Ai sensi di HIPAA, è necessario garantire accordi di Business Associate con qualsiasi fornitore di tecnologia con cui condividi PHI o utilizzare le proprie piattaforme per trasmettere, archiviare o elaborare PHI.

AWS firmerà un BAA con un'azienda solo se utilizza hardware dedicato, quindi se vuoi rispettare il mandato BAA di HIPAA e utilizzare AWS devi seguire le loro linee guida.

    
risposta data 31.01.2018 - 06:26
fonte

Leggi altre domande sui tag