AWS HIPAA Compliance Whitepaper - En.es

Arquitectura para la seguridad y el
cumplimiento de HIPAA en Amazon

Servicios web
Agosto de 2020
Avisos
Los clientes son responsables de realizar su propia evaluación independiente de la información de este
documento. Este documento: (a) es solo para fines informativos, (b) representa las ofertas y prácticas actuales
de productos de AWS, que están sujetas a cambios sin previo aviso, y (c) no crea ningún compromiso o garantía
de AWS y sus afiliadas, proveedores o licenciantes. Los productos o servicios de AWS se proporcionan "tal cual",
sin garantías, representaciones o condiciones de ningún tipo, ya sean expresas o implícitas. Las
responsabilidades y obligaciones de AWS con sus clientes están controladas por los acuerdos de AWS, y este
documento no forma parte ni modifica ningún acuerdo entre AWS y sus clientes.
© 2020 Amazon Web Services, Inc. o sus afiliados. Todos los derechos reservados.
Contenido
Introducción ................................................. .................................................. ....................... 1
AWS KMS ................................................ .................................................. .......................... 2
Amazon EC2 ................................................ .................................................. .................. 2
Administrador de sistemas de AWS ............................................... .................................................. ..3
Nube privada virtual de Amazon .............................................. ............................................ 3
Tienda Amazon Elastic Block .............................................. ............................................... 4
Amazon Redshift ................................................ .................................................. ............ 4
Amazon S3 ................................................ .................................................. ..................... 4
Aceleración de transferencia de Amazon S3 .............................................. ..................................... 5
Amazon SNS ................................................ .................................................. .................. 5
Amazon SQS ................................................ .................................................. .................. 6
Glaciar Amazon S3 ............................................... .................................................. ......... 7
Amazon RDS para MySQL .............................................. .................................................. .7
Amazon RDS para Oracle .............................................. .................................................. ..8
Amazon RDS para PostgreSQL .............................................. ........................................... 8
Amazon RDS para SQL Server ............................................. ............................................. 9
Amazon RDS para MariaDB .............................................. ............................................... 10
Amazon Aurora ................................................ .................................................. ............ 10
Malla de aplicaciones de AWS ............................................... .................................................. ............. 11
Amazon CloudFront ................................................ .................................................. ..... 11
Equilibrio de carga elástico ............................................... .................................................. ..12
Amazon ECS ................................................ .................................................. ................ 12
Amazon EMR ................................................ .................................................. ............... 13
Amazon DynamoDB ................................................ .................................................. ..... 13
Amazon API Gateway ............................................... .................................................. ... 14
AWS Storage Gateway ............................................... .................................................. .15

Uso de AWS KMS para el cifrado de PHI ........................................... ..............................15
Escudo AWS ................................................ .................................................. ......................dieciséis
AWS Snowball ................................................ .................................................. .................dieciséis
AWS Snowball Edge ............................................... .................................................. ........ 17
AWS Snowmobile ................................................ .................................................. ............ 17
AWS WAF: firewall de aplicaciones web ............................................ ................................. 18
Servicio de directorio de AWS ............................................... .................................................. ..... 18
Amazon WorkSpaces ................................................ .................................................. ...... 19
Amazon WorkDocs ................................................ .................................................. .......... 19
Inspector de Amazon ................................................ .................................................. ............ 20
Secuencias de Amazon Kinesis ............................................... .................................................. .20
AWS Lambda ................................................ .................................................. ................... 20
Lote de AWS ................................................ .................................................. ....................... 21
Amazon Connect ................................................ .................................................. ............. 21
Ruta Amazónica 53 ............................................... .................................................. ............. 22
AWS CloudHSM ................................................ .................................................. .............. 22
Amazon ElastiCache para Redis .............................................. ........................................... 22
Amazon CloudWatch ................................................ .................................................. ....... 24
Registro de contenedores elásticos de Amazon .............................................. .................................... 25
Amazon QuickSight ................................................ .................................................. ......... 25
Servicios administrados por AWS ............................................... .................................................. ..25
AWS Fargate ................................................ .................................................. ................... 26
AWS CloudFormation ................................................ .................................................. ...... 26
Mapa de la nube de AWS ............................................... .................................................. ............... 27
AWS X-Ray .............................................. .................................................. ........................ 27
AWS CloudTrail ................................................ .................................................. ............... 27
AWS CodeBuild ................................................ .................................................. ............... 28
AWS CodeCommit ................................................ .................................................. .......... 29

Configuración de AWS ................................................ .................................................. ..................... 29
Pila de AWS OpsWorks ............................................... .................................................. ..... 29
Amazon Elastic File System (EFS) ........................................... ........................................ 30
Secuencias de video de Amazon Kinesis .............................................. .......................................... 30
Amazon Rekognition ................................................ .................................................. ....... 31
Amazon SageMaker ................................................ .................................................. ........ 31
Servicio de flujo de trabajo simple de Amazon .............................................. ...................................... 32
Administrador de secretos de AWS ............................................... .................................................. ..... 32
Catálogo de servicios de AWS ............................................... .................................................. ....... 32
Funciones de paso de AWS ............................................... .................................................. ........ 33
Amazon Athena ................................................ .................................................. ............... 33
Amazon EKS ................................................ .................................................. ................... 33
AWS IoT Core y AWS IoT Device Management .......................................... ................ 34
Amazon FreeRTOS ................................................ .................................................. ......... 34
Amazon GuardDuty ................................................ .................................................. ......... 34
Amazon Neptune ................................................ .................................................. ............. 35
Servicio de migración del servidor AWS .............................................. ............................................ 35
Servicio de migración de bases de datos de AWS .............................................. ....................................... 36
Amazon MQ ................................................ .................................................. ..................... 36
AWS Glue ................................................ .................................................. ........................ 37
Amazon Comprehend ................................................ .................................................. ..... 37
Amazon Transcribe ................................................ .................................................. ......... 37
Traducción de Amazon ................................................ .................................................. ........... 38
Administrador de certificados de AWS ............................................... .................................................. .38
Amazon CloudWatch ................................................ .................................................. ....... 38
Eventos de Amazon CloudWatch ............................................... ............................................. 38
Amazon Kinesis Data Firehose .............................................. ........................................... 39
Análisis de datos de Amazon Kinesis .............................................. .......................................... 39

Servicio Amazon Elasticsearch ............................................... ....................................... 39
Amazon DocumentDB (con compatibilidad con MongoDB) ........................................... ........ 40
AWS Mobile Hub ............................................... .................................................. ........... 41
AWS IoT Greengrass ............................................... .................................................. .... 41
AWS OpsWorks for Chef Automate ............................................. ................................. 41
AWS OpsWorks para Puppet Enterprise ............................................. ........................... 41
Transferencia de AWS para SFTP .............................................. .................................................. .42
AWS DataSync ................................................ .................................................. ............. 42
AWS Global Accelerator ............................................... ................................................. 42
Amazon Comprehend Medical ............................................... ....................................... 43
AWS RoboMaker ................................................ .................................................. .......... 43
Alexa para empresas ............................................... .................................................. ........ 43
Amazon Appstream 2.0 ............................................... .................................................. 44
Métricas de AWS SDK ............................................... .................................................. ......... 44
Intercambio de datos de AWS ............................................... .................................................. .... 45
Amazon Managed Streaming para Apache Kafka (MSK) ......................................... ...... 46
Amazon Pinpoint ................................................ .................................................. .......... 46
Amazon Lex ................................................ .................................................. .................. 48
Servicio de correo electrónico simple de Amazon (SES) ........................................... ................................. 48
Pronóstico del Amazonas ................................................ .................................................. ......... 49
Base de datos de Amazon Quantum Ledger (QLDB) ........................................... .................... 50
Auditoría, copias de seguridad y recuperación ante desastres ......................................... .............................. 1
Revisiones de documentos ................................................ .................................................. .......... 2

Resumen
Este documento describe brevemente cómo los clientes pueden utilizar Amazon Web Services (AWS) para ejecutar cargas de trabajo
sensibles reguladas por la Ley de Responsabilidad y Portabilidad de Seguros de Salud de EE. UU. (HIPAA). Nos centraremos en las
reglas de privacidad y seguridad de HIPAA para proteger la información médica protegida (PHI), cómo usar AWS para cifrar datos en
tránsito y en reposo, y cómo se pueden usar las funciones de AWS para ejecutar cargas de trabajo que contienen PHI.
Servicios web de Amazon Arquitectura para la seguridad y el cumplimiento de HIPAA en Amazon Web Services
Introducción
La Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA) se aplica a
entidades cubiertas y socios de negocio. HIPAA se amplió en 2009 mediante la Ley de Tecnología de la Información de
la Salud para la Salud Clínica y Económica (HITECH).
HIPAA y HITECH establecen un conjunto de estándares federales destinados a proteger la seguridad y privacidad de la PHI.
HIPAA y HITECH imponen requisitos relacionados con el uso y divulgación de PHI, salvaguardas apropiadas para proteger
PHI, derechos individuales y responsabilidades administrativas. Para obtener información adicional sobre HIPAA y HITECH,
vaya a Inicio de privacidad de información de salud .
Las entidades cubiertas y sus socios comerciales pueden utilizar los componentes de TI seguros, escalables y de bajo costo
proporcionados por Amazon Web Services (AWS) para diseñar aplicaciones de acuerdo con los requisitos de cumplimiento de
HIPAA y HITECH. AWS ofrece una plataforma de infraestructura comercial lista para usar con certificaciones y auditorías
reconocidas por la industria, como ISO 27001 , FedRAMP , y los informes de control de la organización de servicios ( SOC1,
SOC2, y SOC3 ). Los centros de datos y servicios de AWS tienen varias capas de seguridad física y operativa para ayudar a
garantizar la integridad y seguridad de los datos de los clientes. Sin tarifas mínimas, sin contratos de duración determinada y
precios de pago por uso, AWS es una solución confiable y eficaz para las aplicaciones de la industria de la salud en
crecimiento.
AWS permite que las entidades cubiertas y sus socios comerciales sujetos a HIPAA procesen, almacenen y transmitan PHI de
manera segura. Además, a partir de julio de 2013, AWS ofrece un Anexo de Asociados de Negocios (BAA) estandarizado para
dichos clientes. Los clientes que ejecutan un AWS BAA pueden utilizar cualquier servicio de AWS en una cuenta designada como
una cuenta HIPAA, pero solo pueden procesar, almacenar y transmitir PHI utilizando los servicios elegibles para HIPAA definidos
en AWS BAA. Para obtener una lista completa de estos servicios, consulte la Referencia de servicios elegibles de HIPAA página.
AWS mantiene un programa de gestión de riesgos basado en estándares para garantizar que los servicios elegibles de HIPAA
respalden específicamente las protecciones administrativas, técnicas y físicas de HIPAA. El uso de estos servicios para
almacenar, procesar y transmitir PHI ayuda a nuestros clientes y AWS a abordar los requisitos de HIPAA aplicables al modelo
operativo basado en servicios públicos de AWS.
La BAA de AWS requiere que los clientes encripten la PHI almacenada o transmitida utilizando los servicios elegibles de
HIPAA de acuerdo con la guía de la Secretaría de Salud y Servicios Humanos.
1
Servicios (HHS): Orientación para inutilizar la información médica protegida no garantizada,
Ilegible o indescifrable para personas no autorizadas ("Orientación") . Consulte este sitio porque puede
actualizarse y estar disponible en un sitio sucesor (o relacionado) designado por el HHS.
AWS ofrece un conjunto completo de características y servicios para hacer que la administración de claves y el cifrado de
PHI sean fáciles de administrar y más simples de auditar, incluido AWS Key Management Service (AWS KMS). Los
clientes con requisitos de cumplimiento de HIPAA tienen una gran flexibilidad en la forma en que cumplen con los
requisitos de cifrado para PHI.
Al determinar cómo implementar el cifrado, los clientes pueden evaluar y aprovechar las funciones de cifrado
nativas de los servicios elegibles para HIPAA. O los clientes pueden satisfacer los requisitos de encriptación a
través de otros medios consistentes con la guía del HHS.
AWS KMS
Las siguientes secciones proporcionan detalles de alto nivel sobre el uso de las funciones de cifrado disponibles en cada uno
de los servicios elegibles para HIPAA y otros patrones para cifrar la PHI, y cómo se puede utilizar AWS KMS para cifrar las
claves utilizadas para cifrar la PHI en AWS.
Amazon EC2
Amazon EC2 es un servicio informático escalable y configurable por el usuario que admite varios métodos para cifrar
datos en reposo. Por ejemplo, los clientes pueden optar por realizar el cifrado de PHI a nivel de campo o de aplicación a
medida que se procesa dentro de una aplicación o plataforma de base de datos alojada en una instancia de Amazon
EC2. Los enfoques van desde el cifrado de datos utilizando bibliotecas estándar en un marco de aplicación como Java o
. RED; aprovechar las funciones de cifrado de datos transparente en Microsoft SQL u Oracle; o integrando otras
soluciones basadas en software como servicio (SaaS) y de terceros en sus aplicaciones.
Los clientes pueden optar por integrar sus aplicaciones que se ejecutan en Amazon EC2 con los SDK de AWS KMS, lo que simplifica el
proceso de administración y almacenamiento de claves. Los clientes también pueden implementar el cifrado de datos en reposo mediante
cifrado a nivel de archivo o de disco completo (FDE) mediante el uso de software de terceros de Socios de AWS Marketplace o
herramientas de cifrado del sistema de archivos nativo (como dm-crypt, LUKS, etc.).
2
El tráfico de red que contiene PHI debe cifrar los datos en tránsito. Para el tráfico entre fuentes externas (como
Internet o un entorno de TI tradicional) y Amazon EC2, los clientes deben utilizar mecanismos de cifrado de
transporte de estándar abierto como Transport
Layer Security (TLS) o redes privadas virtuales (VPN) IPsec, de acuerdo con
Guia . Dentro de una nube privada virtual de Amazon (VPC) para los datos que viajan entre instancias de Amazon EC2, el
tráfico de red que contiene PHI también debe estar cifrado; la mayoría de las aplicaciones admiten TLS u otros protocolos
que proporcionan cifrado en tránsito que se puede configurar para que sea coherente con la Guía. Para aplicaciones y
protocolos que lo hacen
no admiten el cifrado, las sesiones que transmiten PHI se pueden enviar a través de túneles cifrados utilizando IPsec o
implementaciones similares entre instancias.
Gerente de sistemas de AWS
AWS Systems Manager es una interfaz unificada que permite a los clientes centralizar fácilmente datos operativos,
automatizar tareas en sus recursos de AWS y acortar el tiempo para detectar y resolver problemas operativos en su
infraestructura. Systems Manager proporciona una vista completa del rendimiento y la configuración de la
infraestructura de un cliente, simplifica la administración de recursos y aplicaciones y facilita la operación y
administración de su infraestructura a escala.
Al enviar datos que pueden contener PHI a otros servicios, como Amazon S3, los clientes deben seguir las
instrucciones del servicio receptor para almacenar PHI. Los clientes no deben incluir PHI en metadatos o
identificadores, como nombres de documentos y nombres de parámetros.
Nube privada virtual de Amazon

Amazon Virtual Private Cloud (Amazon VPC) ofrece un conjunto de características de seguridad de red bien alineadas con la
arquitectura para el cumplimiento de HIPAA. Funciones como las listas de control de acceso a la red sin estado y la reasignación
dinámica de instancias en grupos de seguridad con estado ofrecen flexibilidad para proteger las instancias del acceso no
autorizado a la red.
Amazon VPC también permite a los clientes ampliar su propio espacio de direcciones de red en AWS, además de proporcionar varias
formas de conectar sus centros de datos a AWS. Los registros de flujo de VPC proporcionan una pista de auditoría de las conexiones
aceptadas y rechazadas para las instancias que procesan, transmiten o almacenan PHI. Para obtener más información sobre Amazon
VPC, consulte
Nube privada virtual de Amazon .
3
Tienda Amazon Elastic Block

El cifrado en reposo de Amazon EBS es coherente con las directrices vigentes en el momento de la publicación de
este documento técnico. Debido a que la Guía puede actualizarse, los clientes deben continuar evaluando y
determinando si el cifrado de Amazon EBS satisface sus requisitos normativos y de cumplimiento. Con el cifrado de
Amazon EBS, se genera una clave de cifrado de volumen única para cada volumen de EBS. Los clientes tienen la
flexibilidad de elegir qué clave maestra del AWS Key Management Service se utiliza para cifrar cada clave de
volumen. Para más información, ver Cifrado de Amazon EBS .
Amazon Redshift
Amazon Redshift proporciona cifrado de base de datos para sus clústeres para ayudar a proteger los datos en reposo. Cuando los clientes
habilitan el cifrado para un clúster, Amazon Redshift cifra todos los datos, incluidas las copias de seguridad, mediante el uso de claves
simétricas de 256 estándar de cifrado avanzado (AES) aceleradas por hardware. Amazon Redshift utiliza una arquitectura de cuatro niveles
basada en claves para el cifrado. Estas claves constan de claves de cifrado de datos, una clave de base de datos, una clave de clúster y
una clave maestra.
La clave del clúster cifra la clave de la base de datos para el clúster de Amazon Redshift. Los clientes pueden usar
AWS KMS o AWS CloudHSM (Módulo de seguridad de hardware) para administrar la clave del clúster. El cifrado en
reposo de Amazon Redshift es coherente con la Guía que está en vigor en el momento de la publicación de este
documento técnico. Debido a que la Guía puede actualizarse, los clientes deben continuar evaluando y determinando
si el cifrado de Amazon Redshift satisface sus requisitos normativos y de cumplimiento. Para más información, ver Cifrado
de base de datos de Amazon Redshift .
Las conexiones a Amazon Redshift que contienen PHI deben usar cifrado de transporte y los clientes deben evaluar la
configuración para verificar la coherencia con la Guía. Para más información, ver Configurar opciones de seguridad para
conexiones . Amazon Redshift Spectrum permite a los clientes ejecutar consultas SQL de Amazon Redshift en exabytes de
datos en Amazon S3. Redshift Spectrum es una característica de Amazon Redshift y, por lo tanto, también está dentro del
alcance de HIPAA BAA.
Amazon S3
Los clientes tienen varias opciones para el cifrado de datos en reposo cuando utilizan Amazon S3, incluido el cifrado del
lado del servidor y del lado del cliente, y varios métodos de administración de claves. Para más información, ver Protección
de datos mediante cifrado .
4
Las conexiones a Amazon S3 que contienen PHI deben utilizar puntos finales que acepten transporte cifrado (HTTPS). Para obtener una
lista de puntos finales regionales, consulte Puntos finales de servicio de AWS .
No utilice PHI en nombres de depósito, nombres de objetos o metadatos porque estos datos no están cifrados mediante el cifrado
del lado del servidor S3 y, por lo general, no están cifrados en las arquitecturas de cifrado del lado del cliente.
Aceleración de transferencia de Amazon S3
Amazon S3 Transfer Acceleration (S3TA) permite transferencias de archivos rápidas, fáciles y seguras a largas distancias
entre el cliente de un cliente y un bucket de S3. Transfer Acceleration aprovecha las ubicaciones de borde distribuidas
globalmente de Amazon CloudFront. Cuando los datos llegan a una ubicación de borde, los datos se enrutan a Amazon S3
a través de una ruta de red optimizada. Los clientes deben asegurarse de que todos los datos que contengan PHI
transferidos mediante AWS S3TA estén cifrados en tránsito y en reposo. Consulte la Guía para Amazon S3 para
comprender las opciones de cifrado disponibles.
Amazon SNS
Los clientes deben comprender el siguiente requisito de cifrado de claves para utilizar Amazon Simple
Notification Service (SNS) con información médica protegida (PHI).
Los clientes deben utilizar el punto de enlace de la API HTTPS que SNS proporciona en cada región de AWS. El punto de enlace HTTPS
aprovecha las conexiones cifradas y protege la privacidad y la integridad de los datos enviados a AWS. Para obtener una lista de todos los
puntos finales de la API HTTPS, consulte Puntos finales de servicio de AWS .
Además, Amazon SNS utiliza CloudTrail, un servicio que captura las llamadas a la API realizadas por o en nombre de Amazon
SNS en la cuenta de AWS del cliente y entrega los archivos de registro a un bucket de Amazon S3 que especifique. CloudTrail
captura las llamadas a la API realizadas desde
Consola de Amazon SNS o desde la API de Amazon SNS. Usando la información recopilada por
CloudTrail, los clientes pueden determinar qué solicitud se realizó a Amazon SNS, la dirección IP de origen desde la que se
realizó la solicitud, quién realizó la solicitud y cuándo se realizó. Para obtener más información sobre el registro de operaciones
de SNS, consulte Registro de llamadas a la API de Amazon SNS mediante CloudTrail .
5
Amazon SQS
Los clientes deben comprender los siguientes requisitos de cifrado de claves para poder utilizar Amazon SQS con
PHI.
• La comunicación con la cola de Amazon SQS a través de la solicitud de consulta debe cifrarse con HTTPS. Para
obtener más información sobre cómo realizar solicitudes SQS, consulte
Realización de solicitudes de API de consulta .
• Amazon SQS admite el cifrado del lado del servidor integrado con AWS KMS para proteger los datos en reposo. La
adición del cifrado del lado del servidor permite a los clientes transmitir y recibir datos confidenciales con la mayor
seguridad de utilizar colas cifradas. El cifrado del lado del servidor de Amazon SQS utiliza el estándar de cifrado
avanzado de 256 bits (algoritmo AES-256 GCM) para cifrar el cuerpo de cada mensaje. La integración con AWS
KMS permite a los clientes administrar de forma centralizada las claves que protegen los mensajes de Amazon SQS
junto con las claves que protegen sus otros recursos de AWS. AWS KMS registra cada uso de claves de cifrado en
AWS CloudTrail para ayudar a satisfacer las necesidades normativas y de cumplimiento. Para obtener más
información y comprobar la disponibilidad de SSE para Amazon SQS en la región, consulte Cifrado
en reposo .
• Si no se usa el cifrado del lado del servidor, la carga útil del mensaje en sí debe cifrarse antes de enviarse a SQS.
Una forma de cifrar la carga útil del mensaje es mediante el cliente extendido de Amazon SQS junto con el cliente
de cifrado de Amazon S3. Para obtener más información sobre el uso del cifrado del lado del cliente, consulte Encriptando
Cargas útiles de mensajes mediante el cliente extendido de Amazon SQS y el cliente de cifrado de Amazon S3 .
Amazon SQS utiliza CloudTrail, un servicio que registra las llamadas a la API realizadas por o en nombre de Amazon SQS en la
cuenta de AWS de un cliente y entrega los archivos de registro al bucket de Amazon S3 especificado. CloudTrail captura las
llamadas a la API realizadas desde la consola de Amazon SQS o desde la API de Amazon SQS. Los clientes pueden utilizar la
información recopilada por CloudTrail para determinar qué solicitudes se realizan a Amazon SQS, la dirección IP de origen desde
la que se realiza la solicitud, quién realizó la solicitud, cuándo se realiza, etc. Para obtener más información sobre el registro de
operaciones SQS, consulte Registro de llamadas a la API de Amazon SQS mediante AWS CloudTrail .
6
Glaciar Amazon S3
Amazon S3 Glacier cifra automáticamente los datos en reposo mediante claves simétricas AES de 256 bits y admite la transferencia
segura de datos del cliente a través de protocolos seguros. Las conexiones a Amazon S3 Glacier que contienen PHI deben utilizar puntos
de enlace que acepten transporte cifrado (HTTPS). Para obtener una lista de puntos finales regionales, consulte Puntos finales de servicio
de AWS .
No utilice PHI en metadatos o nombres de bóveda y archivo porque estos datos no están cifrados con el cifrado del
lado del servidor de Amazon S3 Glacier y, por lo general, no están cifrados en las arquitecturas de cifrado del lado
del cliente.
Amazon RDS para MySQL

Amazon RDS para MySQL permite a los clientes cifrar bases de datos MySQL utilizando claves que los clientes administran a través
de AWS KMS. En una instancia de base de datos que se ejecuta con cifrado de Amazon RDS, los datos almacenados en reposo en el
almacenamiento subyacente se cifran de acuerdo con la Guía vigente en el momento de la publicación de este documento técnico, al
igual que las copias de seguridad automatizadas, las réplicas de lectura y las instantáneas.
Debido a que la Guía puede actualizarse, los clientes deben continuar evaluando y determinando si el cifrado de
Amazon RDS para MySQL satisface sus requisitos normativos y de cumplimiento. Para obtener más información
sobre el cifrado en reposo con Amazon RDS, consulte Cifrado de recursos de Amazon RDS .
Las conexiones a RDS para MySQL que contienen PHI deben usar cifrado de transporte. Para obtener más información sobre cómo
habilitar conexiones cifradas, consulte Uso de SSL / TLS para cifrar una conexión a una instancia de base de datos .
7
Amazon RDS para Oracle

Los clientes tienen varias opciones para cifrar la PHI en reposo mediante Amazon RDS para Oracle. Los clientes pueden cifrar las bases de
datos de Oracle mediante claves que administran a través de AWS KMS. En una instancia de base de datos que se ejecuta con cifrado de
Amazon RDS, los datos almacenados en reposo en el almacenamiento subyacente se cifran de acuerdo con la Guía vigente en el
momento de la publicación de este documento técnico, al igual que las copias de seguridad automatizadas, las réplicas de lectura y las
instantáneas.
Amazon RDS para Oracle satisface sus requisitos normativos y de cumplimiento. Para obtener más información
Los clientes también pueden usar Oracle Transparent Data Encryption (TDE) y deben evaluar la configuración para verificar su
coherencia con la Guía. Oracle TDE es una función de la opción Oracle Advanced Security disponible en Oracle Enterprise
Edition. Esta función cifra automáticamente los datos antes de que se escriban en el almacenamiento y los descifra
automáticamente cuando se leen desde el almacenamiento. Los clientes también pueden utilizar AWS CloudHSM para
almacenar claves TDE de Amazon RDS Oracle. Para obtener más información, consulte lo siguiente:
• Amazon RDS para el cifrado de datos transparente de Oracle: Datos transparentes de Oracle
Cifrado .
• Uso de AWS CloudHSM para almacenar claves TDE de Oracle de Amazon RDS: ¿Qué es Amazon
Relational Database Service (Amazon RDS)?
Las conexiones a Amazon RDS para Oracle que contienen PHI deben usar cifrado de transporte y evaluar la
configuración para verificar la coherencia con la Guía. Esto se logra mediante el cifrado de red nativo de Oracle y se
habilita en los grupos de opciones de Amazon RDS para Oracle. Para obtener información detallada, consulte Cifrado de
red nativa de Oracle .
Amazon RDS para PostgreSQL

Amazon RDS para PostgreSQL permite a los clientes cifrar bases de datos de PostgreSQL utilizando claves que los clientes administran a
través de AWS KMS. En una instancia de base de datos que se ejecuta con cifrado de Amazon RDS, los datos almacenados en reposo en
el almacenamiento subyacente se cifran de acuerdo con la Guía vigente en el momento de la publicación de este documento técnico, al
igual que las copias de seguridad automatizadas, las réplicas de lectura y las instantáneas.
Debido a que la Guía puede actualizarse, los clientes deben continuar evaluando y determinando si el
cifrado de Amazon RDS para PostgreSQL satisface su cumplimiento.
8
y requisitos reglamentarios. Para obtener más información sobre el cifrado en reposo con Amazon RDS, consulte Cifrado
de recursos de Amazon RDS .
Las conexiones a RDS para PostgreSQL que contienen PHI deben usar cifrado de transporte. Para obtener más información sobre
cómo habilitar conexiones cifradas, consulte Uso de SSL / TLS para cifrar una conexión a una instancia de base de datos .
Amazon RDS para SQL Server

RDS para SQL Server admite el almacenamiento de PHI para las siguientes combinaciones de versiones y ediciones:
• 2008 R2: solo Enterprise Edition
• 2012, 2014 y 2016: ediciones web, estándar y empresarial
Importante: La edición SQL Server Express no es compatible y nunca debe usarse para el
almacenamiento de PHI.
Para almacenar PHI, los clientes deben asegurarse de que la instancia esté configurada para cifrar los datos en reposo y habilitar el
cifrado de transporte y la auditoría, como se detalla a continuación.
Cifrado en reposo
Los clientes pueden cifrar las bases de datos de SQL Server mediante claves que administran a través de AWS KMS. En una
instancia de base de datos que se ejecuta con cifrado de Amazon RDS, los datos almacenados en reposo en el
almacenamiento subyacente se cifran de acuerdo con la Guía vigente en el momento de la publicación de este documento
técnico, al igual que las copias de seguridad automatizadas y las instantáneas. Debido a que la Guía puede actualizarse, los
clientes deben continuar evaluando y determinando si el cifrado de Amazon RDS para SQL Server satisface sus requisitos
normativos y de cumplimiento. Para obtener más información sobre el cifrado en reposo con Amazon RDS, consulte Cifrado de
recursos de Amazon RDS .
Si los clientes utilizan SQL Server Enterprise Edition, pueden utilizar el cifrado de datos transparente del servidor (TDE) como
alternativa. Esta función cifra automáticamente los datos antes de que se escriban en el almacenamiento y los descifra
automáticamente cuando se leen desde el almacenamiento. Para obtener más información sobre RDS para el cifrado de datos
transparente de SQL Server, consulte Soporte para cifrado de datos transparente en SQL Server .
9
Cifrado de transporte
Las conexiones a Amazon RDS para SQL Server que contienen PHI deben utilizar el cifrado de transporte proporcionado por SSL
forzado de SQL Server. El SSL forzado se habilita desde dentro del grupo de parámetros para Amazon RDS SQL Server. Para obtener
más información sobre RDS para SSL forzado de SQL Server, consulte Usar SSL con una instancia de base de datos de Microsoft SQL
Server .
Revisión de cuentas
RDS para instancias de SQL Server que contienen PHI debe tener habilitada la auditoría. La auditoría se habilita desde dentro del grupo de
parámetros para Amazon RDS SQL Server. Para obtener más información sobre RDS para la auditoría de SQL Server, consulte Soporte del
programa de cumplimiento para instancias de base de datos de Microsoft SQL Server .
Amazon RDS para MariaDB

Amazon RDS para MariaDB permite a los clientes cifrar las bases de datos de MariaDB mediante claves que administran a través de AWS
KMS. En una instancia de base de datos que se ejecuta con cifrado de Amazon RDS, los datos almacenados en reposo en el
almacenamiento subyacente se cifran de acuerdo con la Guía vigente en el momento de la publicación de este documento técnico, al igual
que las copias de seguridad automatizadas, las réplicas de lectura y las instantáneas.
Amazon RDS para MariaDB satisface sus requisitos normativos y de cumplimiento. Para obtener más información
Las conexiones a RDS para MariaDB que contienen PHI deben utilizar cifrado de transporte. Para obtener más información sobre cómo
habilitar conexiones cifradas, consulte Uso de SSL / TLS para cifrar una conexión a una instancia de base de datos
Amazonas Aurora
Amazon Aurora permite a los clientes cifrar las bases de datos de Aurora mediante claves que administran a través de AWS KMS.
En una instancia de base de datos que se ejecuta con cifrado de Amazon Aurora, los datos almacenados en reposo en el
almacenamiento subyacente se cifran de acuerdo con la Guía vigente en el momento de la publicación de este documento técnico,
al igual que las copias de seguridad automatizadas, las réplicas de lectura y las instantáneas. Debido a que la Guía puede
actualizarse, los clientes deben continuar evaluando y determinando si Amazon Aurora
10
el cifrado satisface sus requisitos de cumplimiento y normativos. Para obtener más información sobre el cifrado en reposo
con Amazon RDS, consulte Seguridad en Amazon RDS.
Los clientes pueden usar la edición compatible con MySQL de Amazon Aurora o la versión compatible con
PostgreSQL como parte de nuestro BAA.
Las conexiones a Aurora que contienen PHI deben usar cifrado de transporte. Para obtener más información sobre
cómo habilitar conexiones cifradas, consulte ¿Qué es Amazon Relational Database Service (Amazon RDS)?
Malla de aplicaciones de AWS
AWS App Mesh es una malla de servicios que proporciona redes a nivel de aplicación para facilitar que sus
servicios se comuniquen entre sí a través de múltiples tipos de infraestructura informática, como los servicios
Amazon ECS, Amazon EKS o Amazon EC2. App Mesh configura los proxies de Envoy para recopilar y
transmitir datos de observabilidad a los servicios de monitoreo que configure, para brindarle visibilidad de un
extremo a otro. Puede enrutar el tráfico según las políticas de enrutamiento y tráfico configuradas para
garantizar la alta disponibilidad de sus aplicaciones. El tráfico entre aplicaciones se puede configurar para
usar TLS. App Mesh se puede utilizar con AWS SDK o el controlador App Mesh para Kuberenetes. Si bien
AWS App Mesh es un servicio apto para HIPAA, no se debe almacenar PHI en ningún nombre / atributo de
recurso dentro de AWS App Mesh, ya que no hay soporte para proteger dichos datos. En lugar,
Amazon CloudFront
Amazon CloudFront es un servicio de red de entrega de contenido global (CDN) que acelera la entrega de sitios web de
clientes, API, contenido de video u otros activos web. Se integra con otros productos de Amazon Web Services para brindar a
los desarrolladores y empresas una manera fácil de acelerar el contenido para los usuarios finales sin compromisos mínimos de
uso. Para garantizar el cifrado de PHI mientras está en tránsito con CloudFront, los clientes deben configurar CloudFront para
usar HTTPS de un extremo a otro desde el origen hasta el espectador.
Esto incluye el tráfico entre CloudFront y el visor, la redistribución de CloudFront desde un origen personalizado y la distribución de
CloudFront desde un origen de Amazon S3. Los clientes también deben asegurarse de que los datos estén cifrados en el origen para
asegurarse de que permanezcan cifrados en reposo mientras se almacenan en caché en CloudFront. Si utiliza Amazon S3 como origen,
los clientes pueden hacer uso de las funciones de cifrado del lado del servidor de S3. Si los clientes distribuyen desde un origen
personalizado, deben asegurarse de que los datos estén cifrados en el origen.
11
Lambda @ Edge
Lambda @ Edge es un servicio informático que permite la ejecución de funciones Lambda en ubicaciones de borde de
AWS. Lambda @ Edge se puede utilizar para personalizar el contenido entregado a través de CloudFront. Al usar
Lambda @ Edge con PHI, los clientes deben seguir la Guía para el uso de CloudFront. Todas las conexiones que entran
y salen de Lambda @ Edge deben cifrarse mediante HTTPS o SSL / TLS.
Equilibrio de carga elástico
Los clientes pueden utilizar Elastic Load Balancing para finalizar y procesar sesiones que contienen PHI. Los clientes
pueden elegir Classic Load Balancer o Application Load Balancer. Debido a que todo el tráfico de red que contiene
PHI debe cifrarse en tránsito de un extremo a otro, los clientes tienen la flexibilidad de implementar dos arquitecturas
diferentes:
Los clientes pueden terminar HTTPS, HTTP / 2 sobre TLS (para Aplicación) o SSL / TLS en Elastic Load Balancing
creando un balanceador de carga que utiliza un protocolo encriptado para las conexiones. Esta función permite el cifrado
de tráfico entre el equilibrador de carga y los clientes que inician sesiones HTTPS, HTTP / 2 sobre TLS o SSL / TLS, y
para las conexiones entre el equilibrador de carga y las instancias de backend del cliente. Las sesiones que contienen PHI
deben cifrar tanto a los oyentes de front-end como a los de back-end para el cifrado de transporte. Los clientes deben
evaluar sus certificados y políticas de negociación de sesiones y mantenerlos en consonancia con la Guía. Para más
información, ver Oyentes HTTPS para su
Clásico Balanceador de carga .
Alternativamente, los clientes pueden configurar Amazon ELB en modo TCP básico (para Classic) o mediante
WebSockets (para Aplicación) y pasar sesiones encriptadas a instancias de back-end donde se termina la sesión
encriptada. En esta arquitectura, los clientes administran sus propios certificados y políticas de negociación de TLS en
aplicaciones que se ejecutan en sus propias instancias. Para más información, ver Oyentes para su carga clásica
Balancín . En ambas arquitecturas, los clientes deben implementar un nivel de registro que determinen que sea
consistente con los requisitos de HIPAA y HITECH.
Amazon ECS
Amazon Elastic Container Service (Amazon ECS) es un servicio de administración de contenedores altamente escalable y de
alto rendimiento que admite contenedores Docker y permite a los clientes ejecutar aplicaciones fácilmente en un clúster
administrado de instancias Amazon EC2.
12
Amazon ECS elimina la necesidad de que los clientes instalen, operen y escalen su propia infraestructura de
administración de clústeres.
Con simples llamadas a la API, los clientes pueden iniciar y detener aplicaciones habilitadas para Docker, consultar el estado
completo de su clúster y acceder a muchas funciones conocidas como grupos de seguridad, Elastic Load Balancing,
volúmenes de EBS y roles de IAM. Los clientes pueden utilizar Amazon ECS para programar la ubicación de contenedores en
su clúster según sus necesidades de recursos y requisitos de disponibilidad.
El uso de ECS con cargas de trabajo que procesan PHI no requiere configuración adicional. ECS actúa como un
servicio de orquestación que coordina el lanzamiento de contenedores (imágenes para las cuales se almacenan
en S3) en EC2, y no opera con o sobre datos dentro de la carga de trabajo que se está orquestando. De acuerdo
con las regulaciones de HIPAA y el Anexo de Asociados de Negocios de AWS, la PHI debe estar encriptada en
tránsito y en reposo cuando se accede a ella mediante contenedores lanzados con ECS. Hay varios mecanismos
para cifrar en reposo disponibles con cada opción de almacenamiento de AWS (por ejemplo, S3, EBS y KMS).
Asegurar el cifrado completo de la PHI enviada entre contenedores también puede llevar a los clientes a
implementar una red superpuesta (como VNS3, Weave Net o similar) para proporcionar una capa redundante de
cifrado. Sin embargo, también se debe habilitar el registro completo (por ejemplo,
Amazon EMR
Amazon EMR implementa y administra un clúster de instancias Amazon EC2 en la cuenta de un cliente. Para
obtener información sobre el cifrado con Amazon EMR, consulte
Opciones de cifrado .
Amazon DynamoDB
Las conexiones a Amazon DynamoDB que contienen PHI deben utilizar puntos de enlace que acepten transporte cifrado (HTTPS). Para
obtener una lista de puntos finales regionales, consulte Puntos finales de servicio de AWS .
Amazon DynamoDB ofrece cifrado DynamoDB, que permite a los clientes cifrar bases de datos utilizando claves que los clientes
administran a través de AWS KMS. En una instancia de base de datos que se ejecuta con el cifrado de Amazon DynamoDB, los datos
almacenados en reposo en el almacenamiento subyacente se cifran de acuerdo con la Guía vigente en el momento de la publicación de
este documento técnico, al igual que las copias de seguridad automatizadas, las réplicas de lectura y las instantáneas.
13
Amazon DynamoDB satisface sus requisitos normativos y de cumplimiento. Para obtener más información sobre
el cifrado en reposo con Amazon DynamoDB, consulte Cifrado de DynamoDB en reposo.
Amazon API Gateway

Los clientes pueden utilizar Amazon API Gateway para procesar y transmitir PHI. Si bien Amazon API Gateway utiliza
automáticamente puntos finales HTTPS para el cifrado en curso, los clientes también pueden optar por cifrar las cargas útiles del
lado del cliente. API Gateway pasa todos los datos no almacenados en caché a través de la memoria y no los escribe en el disco.
Los clientes pueden utilizar AWS Signature Version 4 para la autorización con API Gateway. Para obtener más información,
consulte lo siguiente:
• Preguntas frecuentes de Amazon API Gateway: seguridad y autorización
• Controlar y administrar el acceso a una API REST en API Gateway
Los clientes pueden integrarse con cualquier servicio que esté conectado a API Gateway, siempre que cuando se involucre
PHI, el servicio esté configurado de acuerdo con la Guía y BAA. Para obtener información sobre la integración de API
Gateway con servicios de backend, consulte Configurar métodos de API REST en API Gateway .
Los clientes pueden utilizar AWS CloudTrail y Amazon CloudWatch para habilitar un registro que sea coherente con sus
requisitos de registro. Asegúrese de que cualquier PHI enviada a través de API Gateway (como en encabezados, URL y
solicitud / respuesta) solo sea capturada por los servicios elegibles de HIPAA que se hayan configurado para ser coherentes
con la Guía. Para obtener más información sobre el registro con API Gateway, consulte ¿Cómo habilito CloudWatch Logs
para solucionar problemas de mi API REST API Gateway o API WebSocket?
14
AWS Storage Gateway

AWS Storage Gateway es un servicio de almacenamiento híbrido que permite a las aplicaciones locales de los clientes utilizar sin problemas el
almacenamiento en la nube de AWS. La puerta de enlace utiliza protocolos de almacenamiento estándar abiertos para conectar las aplicaciones
de almacenamiento y los flujos de trabajo existentes a los servicios de almacenamiento en la nube de AWS para una interrupción mínima del
proceso.
Puerta de enlace de archivos
File Gateway es un tipo de AWS Storage Gateway que admite una interfaz de archivo en Amazon S3 y que se suma al volumen
actual basado en bloques y al almacenamiento VTL. Usos de la puerta de enlace de archivos
HTTPS para comunicarse con S3 y almacena todos los objetos cifrados mientras está en S3 mediante SSES3, de forma predeterminada, o
mediante cifrado del lado del cliente con claves almacenadas en AWS KMS. Los metadatos de los archivos, como los nombres de los
archivos, permanecen sin cifrar y no deben contener PHI.
Puerta de enlace de volumen
La puerta de enlace de volumen proporciona volúmenes de almacenamiento respaldados en la nube que los clientes pueden
montar como dispositivos de interfaz de sistemas informáticos pequeños (iSCSI) de Internet desde servidores de aplicaciones
locales. Los clientes deben adjuntar discos locales como búferes de carga y caché a la VM de Volume Gateway de acuerdo con
sus requisitos normativos y de cumplimiento interno. Se recomienda que, para PHI, estos discos sean capaces de proporcionar
cifrado en reposo. La comunicación entre la VM de Volume Gateway y AWS se cifra mediante TLS 1.2 para proteger la PHI en
el transporte.
Tape Gateway
Tape Gateway proporciona una interfaz VTL (biblioteca de cintas virtuales) para aplicaciones de respaldo de terceros que se
ejecutan en las instalaciones. Los clientes deben habilitar el cifrado de PHI dentro de la aplicación de respaldo de terceros cuando
configuren un trabajo de respaldo en cinta. La comunicación entre la máquina virtual Tape Gateway y AWS se cifra mediante TLS
1.2 para proteger la PHI en el transporte. Los clientes que utilicen cualquiera de las configuraciones de Storage Gateway con PHI
deben habilitar el registro completo. Para más información, ver ¿Qué es AWS Storage Gateway?
Uso de AWS KMS para el cifrado de PHI

Las claves maestras en AWS KMS se pueden utilizar para cifrar / descifrar claves de cifrado de datos utilizadas para cifrar PHI en las
aplicaciones de un cliente o en los servicios de AWS que utilizan AWS KMS. AWS
15
KMS se puede usar junto con una cuenta HIPAA, pero la PHI solo se puede procesar, almacenar o transmitir en los
Servicios elegibles de HIPAA. AWS KMS se usa normalmente para generar y administrar claves para aplicaciones que se
ejecutan en otros servicios elegibles de HIPAA.
Por ejemplo, una aplicación que procesa PHI en Amazon EC2 podría usar la
GenerateDataKey Llamada a la API para generar claves de cifrado de datos para cifrar y
descifrar la PHI en la aplicación. Las claves de cifrado de datos estarían protegidas por las claves maestras de un cliente
almacenadas en AWS KMS, lo que crea una jerarquía de claves altamente auditable, ya que las llamadas de API a AWS KMS se
registran en AWS CloudTrail. La PHI no debe almacenarse en las etiquetas (metadatos) de ninguna clave almacenada en AWS KMS.
Escudo de AWS
AWS Shield es un servicio de protección administrado de denegación de servicio distribuido (DDoS) que protege las aplicaciones web
que se ejecutan en AWS. AWS Shield proporciona detección siempre activa y mitigaciones automáticas en línea que minimizan el
tiempo de inactividad y la latencia de las aplicaciones, por lo que no es necesario contratar a AWS Support para beneficiarse de la
protección DDoS.
AWS Shield no se puede usar para almacenar o transmitir PHI, sino que se puede usar para proteger las
aplicaciones web que operan con PHI. Como tal, no se necesita una configuración especial al activar AWS Shield.
Todos los clientes de AWS se benefician de las protecciones automáticas de AWS Shield Standard, sin cargo
adicional. AWS Shield Standard protege contra los ataques DDoS de red y de capa de transporte más comunes y
frecuentes que tienen como objetivo su sitio web o aplicaciones. Para niveles más altos de protección contra ataques
dirigidos a sus aplicaciones web que se ejecutan en recursos de Elastic Load Balancing (ELB), Amazon CloudFront y
Amazon Route 53, los clientes pueden suscribirse a AWS Shield Advanced.
AWS Snowball
Con AWS Snowball (Snowball), los clientes pueden transferir cientos de terabytes o petabytes de datos entre sus
centros de datos locales y Amazon Simple Storage Service (Amazon S3). La PHI almacenada en AWS Snowball debe
estar cifrada en reposo de acuerdo con la Guía. Al crear un trabajo de importación, los clientes deben especificar el
ARN de la clave maestra de AWS KMS que se utilizará para proteger los datos dentro de Snowball. Además, durante la
creación del trabajo de importación, los clientes deben elegir un depósito S3 de destino que cumpla con los estándares
de cifrado establecidos por la Guía.
dieciséis
Si bien Snowball no admite actualmente el cifrado del lado del servidor con claves administradas por AWS KMS (SSE-KMS) o el
cifrado del lado del servidor con claves proporcionadas por el cliente (SSEC), Snowball sí admite el cifrado del lado del servidor con
claves de cifrado administradas por Amazon S3 (SSE-S3). ). Para más información, ver Protección de datos mediante el lado del
servidor
Cifrado con claves de cifrado administradas por Amazon S3 (SSE-S3) .
Alternativamente, los clientes pueden utilizar la metodología de cifrado de su elección para cifrar la PHI antes de almacenar
los datos en AWS Snowball.
Actualmente, los clientes pueden utilizar el dispositivo AWS Snowball estándar o AWS Snowmobile como parte
de nuestro BAA.
AWS Snowball Edge

AWS Snowball Edge se conecta a las aplicaciones y la infraestructura de los clientes existentes mediante interfaces de
almacenamiento estándar, lo que agiliza el proceso de transferencia de datos y minimiza la configuración y la integración. Snowball
Edge puede agruparse para formar un nivel de almacenamiento local y procesar los datos del cliente en el sitio, lo que ayuda a los
clientes a garantizar que sus aplicaciones continúen ejecutándose incluso cuando no pueden acceder a la nube.
Para asegurarse de que la PHI permanezca cifrada mientras utilizan Snowball Edge, los clientes deben asegurarse de utilizar un
protocolo de conexión cifrada como HTTPS o SSL / TLS cuando utilicen procedimientos de AWS Lambda con tecnología de AWS
IoT Greengrass para transmitir PHI hacia / desde recursos externos a Snowball Edge. Además, la PHI debe estar encriptada
mientras se almacena en los volúmenes locales de Snowball Edge, ya sea mediante acceso local o mediante NFS. El cifrado se
aplica automáticamente a los datos colocados en Snowball Edge mediante la consola de administración de Snowball y la API para
el transporte masivo a S3. Para obtener más información sobre el transporte de datos a S3, consulte la guía relacionada para
AWS Snowball anterior.
AWS Snowmobile
AWS Snowmobile es operado por AWS como un servicio administrado. Como tal, AWS se pondrá en contacto con el cliente
para determinar los requisitos de implementación y organizar la conectividad de la red, además de brindar asistencia para
mover datos. Los datos almacenados en Snowmobile se cifran utilizando la misma guía proporcionada para AWS Snowball.
17
AWS WAF: firewall de aplicaciones web

AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web de los clientes de exploits web
comunes que podrían afectar la disponibilidad de las aplicaciones, comprometer la seguridad o consumir recursos excesivos.
Los clientes pueden colocar AWS WAF entre sus aplicaciones web alojadas en AWS que operan con o intercambian PHI y sus
usuarios finales. Al igual que con la transmisión de cualquier PHI mientras se encuentra en AWS, los datos que contienen PHI
deben cifrarse mientras están en tránsito. Consulte la guía de Amazon EC2 para comprender mejor las opciones de cifrado
disponibles.
Servicio de directorio de AWS
Servicio de directorio de AWS para Microsoft AD
AWS Directory Service para Microsoft Active Directory (Enterprise Edition), también conocido como AWS Microsoft AD, permite que
las cargas de trabajo con reconocimiento de directorios y los recursos de AWS utilicen Active Directory administrado en la nube de
AWS. AWS Microsoft AD almacena el contenido del directorio (incluido el contenido que contiene PHI) en volúmenes cifrados de
Amazon Elastic Block Store mediante claves de cifrado que administra AWS.
Para obtener más información, consulte Cifrado de Amazon EBS. Datos en tránsito hacia y desde Active
Los clientes de directorio están encriptados cuando viajan a través del Protocolo ligero de acceso a directorios
(LDAP) a través de la red de Amazon Virtual Private Cloud (VPC) del cliente. Si un cliente de Active Directory reside
en una red local, el tráfico viaja a la VPC del cliente mediante un enlace de red privada virtual o un enlace de AWS
Direct Connect.
Directorio de la nube de Amazon
Amazon Cloud Directory permite a los clientes crear directorios nativos de la nube flexibles para organizar jerarquías de
datos en múltiples dimensiones. Los clientes también pueden crear directorios para una variedad de casos de uso,
como organigramas, catálogos de cursos y registros de dispositivos. Por ejemplo, los clientes pueden crear un
organigrama que se puede navegar a través de jerarquías separadas para la estructura de informes, la ubicación y el
centro de costos. Amazon Cloud Directory cifra automáticamente los datos en reposo y en tránsito mediante claves de
cifrado de 256 bits administradas por AWS Key Management Service (KMS).
18
Amazon WorkSpaces
Amazon WorkSpaces es una solución de escritorio como servicio (DaaS) segura y completamente administrada que se ejecuta en AWS.
Con Amazon WorkSpaces, los clientes pueden aprovisionar fácilmente escritorios de Microsoft Windows virtuales basados en la nube
para sus usuarios, brindándoles acceso a los documentos, aplicaciones y recursos que necesitan, en cualquier lugar, en cualquier
momento y desde cualquier dispositivo compatible.
Amazon WorkSpaces almacena datos en volúmenes de Amazon Elastic Block Store. Los clientes pueden cifrar los volúmenes de
almacenamiento de WorkSpaces del cliente mediante claves que los clientes administran a través de AWS Key Management
Service. Cuando el cifrado está habilitado en un WorkSpace, tanto los datos almacenados en reposo en el almacenamiento
subyacente como las copias de seguridad automatizadas (instantáneas de EBS) del almacenamiento en disco se cifran de acuerdo
con la Guía.
La comunicación de los clientes de WorkSpace a WorkSpace se protege mediante SSL / TLS. Para obtener más información
sobre el cifrado en reposo con Amazon WorkSpaces, consulte Espacios de trabajo cifrados .
Amazon WorkDocs
Amazon WorkDocs es un servicio de intercambio y almacenamiento de archivos empresarial seguro y totalmente administrado con sólidos
controles administrativos y capacidades de retroalimentación que mejoran la productividad del usuario. Los archivos de Amazon WorkDocs
se cifran en reposo mediante claves que los clientes administran a través de AWS Key Management Service (KMS). Todos los datos en
tránsito se cifran mediante SSL / TLS. Las aplicaciones web y móviles de AWS y los clientes de sincronización de escritorio transmiten
archivos directamente a Amazon WorkDocs mediante SSL / TLS.
Con la consola de administración de Amazon WorkDocs, los administradores de WorkDocs pueden ver registros de auditoría para realizar un
seguimiento de la actividad de los archivos y los usuarios por tiempo, y elegir si permitir que los usuarios compartan archivos con otras
personas fuera de su organización. Amazon WorkDocs también está integrado con CloudTrail (un servicio que captura las llamadas a API
realizadas por o en nombre de Amazon WorkDocs en la cuenta de AWS del cliente) y entrega archivos de registro de CloudTrail a un bucket de
Amazon S3 que los clientes especifiquen.
La autenticación multifactor (MFA) mediante un servidor RADIUS está disponible y puede proporcionar a los clientes una capa
adicional de seguridad durante el proceso de autenticación. Los usuarios inician sesión ingresando su nombre de usuario y
contraseña seguidos de un OTP (código de acceso único) proporcionado por un token de hardware o software.
19
Para más información, ver:
• Función de Amazon WorkDocs
• Registro de llamadas a la API de Amazon WorkDocs mediante AWS CloudTrail
Los clientes no deben almacenar PHI en nombres de archivos o directorios.
Inspector de Amazon
Amazon Inspector es un servicio de evaluación de seguridad automatizado para clientes que buscan mejorar su seguridad y
cumplimiento de las aplicaciones implementadas en AWS. Amazon Inspector evalúa automáticamente las aplicaciones en busca
de vulnerabilidades o desviaciones de las mejores prácticas. Después de realizar una evaluación, Amazon Inspector genera una
lista detallada de hallazgos de seguridad priorizados por nivel de gravedad. Los clientes pueden ejecutar Amazon Inspector en
instancias EC2 que contienen PHI. Amazon Inspector cifra todos los datos transmitidos a través de la red, así como todos los datos
de telemetría almacenados en reposo.
Secuencias de Amazon Kinesis

Amazon Kinesis Streams permite a los clientes crear aplicaciones personalizadas que procesan o analizan datos de transmisión para
necesidades especializadas. La función de cifrado del lado del servidor permite a los clientes cifrar los datos en reposo. Cuando el
cifrado del lado del servidor está habilitado, Kinesis Streams utilizará una clave de AWS KMS para cifrar los datos antes de
almacenarlos en discos. Para más información, ver Protección de datos en Amazon Kinesis Data Streams . Las conexiones a Amazon
S3 que contienen PHI deben utilizar puntos finales que acepten transporte cifrado (es decir, HTTPS). Para obtener una lista de puntos
finales regionales, consulte Puntos finales de servicio de AWS .
AWS Lambda
AWS Lambda permite a los clientes ejecutar código sin aprovisionar ni administrar servidores por su cuenta. AWS
Lambda utiliza una flota informática de instancias de Amazon Elastic Compute Cloud (Amazon EC2) en varias zonas de
disponibilidad en una región, lo que proporciona alta disponibilidad, seguridad, rendimiento y escalabilidad de la
infraestructura de AWS.
Para garantizar que la PHI permanezca cifrada mientras se usa AWS Lambda, las conexiones a recursos externos
deben utilizar un protocolo cifrado como HTTPS o SSL / TLS. Por ejemplo, cuando se accede a S3 desde un
procedimiento Lambda, se debe abordar con
https://bucket.s3-aws-region.amazonaws.com.
20
Si alguna PHI se coloca en reposo o inactiva dentro de un procedimiento en ejecución, debe cifrarse en el lado del cliente o
en el lado del servidor con claves obtenidas de AWS KMS o AWS CloudHSM. Siga la guía relacionada para Amazon API
Gateway cuando active las funciones de AWS Lambda a través del servicio. Cuando se utilizan eventos de otros servicios de
AWS para activar funciones de AWS Lambda, los datos del evento no deben contener (en sí mismos) PHI. Por ejemplo,
cuando un procedimiento Lambda se activa a partir de un evento de S3, como la llegada de un objeto en S3, el nombre del
objeto que se transmite a Lambda no debe tener ninguna PHI, aunque el objeto en sí puede contener dichos datos.
Lote de AWS
AWS Batch permite a los desarrolladores, científicos e ingenieros ejecutar de manera fácil y eficiente cientos de miles de
trabajos de computación por lotes en AWS. AWS Batch aprovisiona dinámicamente la cantidad y el tipo óptimos de
recursos informáticos (como CPU o instancias optimizadas para memoria) según el volumen y los requisitos de recursos
específicos de los trabajos por lotes enviados. AWS Batch planifica, programa y ejecuta cargas de trabajo informáticas por
lotes en toda la gama de funciones y servicios informáticos de AWS.
De manera similar a la guía para Amazon ECS, la PHI no debe colocarse directamente en la definición de trabajo, la cola
de trabajos o las etiquetas de AWS Batch. En cambio, los trabajos programados y ejecutados con AWS Batch pueden
operar en PHI cifrada. Cualquier información devuelta por etapas de un trabajo a AWS Batch tampoco debe contener
ninguna PHI. Siempre que los trabajos ejecutados por AWS Batch deban transmitir o recibir PHI, esa conexión debe
cifrarse mediante HTTPS o SSL / TLS.
Amazon Connect
Amazon Connect es un servicio de centro de contacto de autoservicio basado en la nube que permite una participación dinámica,
personal y natural del cliente a cualquier escala. Los clientes no deben incluir ninguna PHI en ningún campo asociado con la
administración de usuarios, perfiles de seguridad y flujos de contactos dentro de Amazon Connect.
21
Ruta Amazónica 53
Amazon Route 53 es un servicio de DNS administrado que brinda a los clientes la capacidad de registrar nombres de dominio,
enrutar el tráfico de Internet los recursos de dominio del cliente y verificar el estado de esos recursos. Si bien Amazon Route 53 es un
servicio que cumple con los requisitos de la HIPAA, no se debe almacenar PHI en ningún nombre o etiqueta de recurso dentro de
Amazon Route 53, ya que no se admite el cifrado de dichos datos. En cambio, Amazon Route 53 se puede utilizar para proporcionar
acceso a los recursos del dominio del cliente que transmiten o almacenan PHI, como servidores web que se ejecutan en Amazon
EC2 o almacenamiento como Amazon S3.
AWS CloudHSM
AWS CloudHSM es un módulo de seguridad de hardware (HSM) basado en la nube que permite a los clientes generar y
utilizar fácilmente sus propias claves de cifrado en la nube de AWS. Con CloudHSM, los clientes pueden administrar sus
propias claves de cifrado utilizando HSM validados por FIPS 140-2 Nivel 3. CloudHSM ofrece a los clientes la flexibilidad
de integrarse con sus aplicaciones utilizando API estándar abiertas, como PKCS # 11, Java Cryptography Extensions
(JCE) y bibliotecas Microsoft CryptoNG (CNG).
CloudHSM también cumple con los estándares y permite a los clientes exportar todas sus claves a la mayoría de los HSM
disponibles comercialmente. Como AWS CloudHSM es un servicio de administración de claves de dispositivos de hardware, no
puede almacenar ni transmitir PHI. Los clientes no deben almacenar PHI en etiquetas (metadatos). No se requiere ninguna otra
guía especial.
Amazon ElastiCache para Redis

Amazon ElastiCache para Redis es un servicio de estructura de datos en memoria compatible con Redis que se puede utilizar como
almacén de datos o caché. Para almacenar PHI, los clientes deben asegurarse de que están ejecutando la última versión del motor
ElastiCache para Redis elegible para HIPAA. y tipos de nodos de generación actual . Amazon ElastiCache para Redis admite el
almacenamiento de PHI para los siguientes tipos de nodos y la versión del motor de Redis:
• Tipos de nodo: solo generación actual (por ejemplo, en el momento de la publicación de este documento técnico,
M4, M5, R4, R5, T2, T3)
• ElastiCache para la versión del motor de Redis: 3.2.6 y 4.0.10 en adelante
22
Para obtener más información sobre cómo elegir los nodos de la generación actual, consulte Precios de Amazon ElastiCache. Para
obtener más información sobre cómo elegir un motor ElastiCache para Redis, consulte ¿Qué es Amazon ElastiCache para
Redis?
Los clientes también deben asegurarse de que el clúster y los nodos dentro del clúster estén configurados para cifrar los datos en
reposo, habilitar el cifrado de transporte y habilitar la autenticación de los comandos de Redis. Además, los clientes también deben
asegurarse de que sus clústeres de Redis estén actualizados con las últimas actualizaciones de servicio de tipo 'Seguridad' en o antes
de la 'Fecha de solicitud recomendada' ( la fecha en la que se recomienda aplicar la actualización) en todo momento. Para obtener más
información, consulte las secciones siguientes.
Cifrado en reposo
Amazon ElastiCache para Redis proporciona cifrado de datos para su clúster para ayudar a proteger los datos en reposo. Cuando
los clientes habilitan el cifrado en reposo para un clúster en el momento de su creación, Amazon ElastiCache para Redis cifra los
datos en el disco y las copias de seguridad automatizadas de Redis. Los datos del cliente en el disco se cifran mediante claves
simétricas de Estándar de cifrado avanzado (AES) -512 aceleradas por hardware. Las copias de seguridad de Redis se cifran
mediante claves de cifrado administradas por Amazon S3 (SSE-S3). Un bucket de S3 con el cifrado del lado del servidor habilitado
cifrará los datos mediante claves simétricas de Estándar de cifrado avanzado (AES) -256 aceleradas por hardware antes de
guardarlos en el bucket.
Para obtener más detalles sobre las claves de cifrado administradas por Amazon S3 (SSE-S3), consulte Protección de datos Uso del cifrado
del lado del servidor con claves de cifrado administradas por Amazon S3 (SSE-
S3) . En un clúster de ElastiCache Redis (uno o varios nodos) que se ejecuta con cifrado, los datos almacenados en
reposo se cifran de acuerdo con la Guía vigente en el momento de la publicación de este documento técnico. Esto incluye
datos en disco y copias de seguridad automatizadas en el bucket de S3. Debido a que la Guía puede actualizarse, los
clientes deben continuar evaluando y determinando si el cifrado de Amazon ElastiCache para Redis cumple
su cumplimiento y requisitos reglamentarios. Para obtener más información sobre el cifrado en reposo con Amazon
ElastiCache para Redis, consulte ¿Qué es Amazon ElastiCache para Redis?
Cifrado de transporte
Amazon ElastiCache para Redis usa TLS para cifrar los datos en tránsito. Las conexiones a ElastiCache para
Redis que contienen PHI deben usar cifrado de transporte y evaluar la configuración para verificar su coherencia
con la Guía. Para más información, ver
CreateReplicationGroup . Para obtener más información sobre cómo habilitar el cifrado de transporte, consulte
ElastiCache para el cifrado en tránsito (TLS) de Redis .
23
Autenticación
Los clústeres de Amazon ElastiCache para Redis (uno o varios nodos) que contienen PHI deben proporcionar un token AUTH de
Redis para habilitar la autenticación de los comandos de Redis. Redis AUTH está disponible cuando están habilitados tanto el cifrado
en reposo como el cifrado en tránsito. Los clientes deben proporcionar un token sólido para Redis AUTH con las siguientes
restricciones:
• Debe ser solo caracteres ASCII imprimibles
• Debe tener al menos 16 caracteres y no más de 128 caracteres de longitud
• No puede contener ninguno de los siguientes caracteres: '/', '"' o" @ "
Este token debe configurarse desde dentro del parámetro de solicitud en el momento de la creación del grupo de replicación de
Redis (nodo único / múltiple) y puede actualizarse más tarde con un nuevo valor. AWS cifra este token mediante AWS Key
Management Service (KMS). Para obtener más información sobre Redis AUTH, consulte ElastiCache para el cifrado en tránsito
(TLS) de Redis .
Aplicación de actualizaciones del servicio ElastiCache
Los clústeres de Amazon ElastiCache para Redis (uno o varios nodos) que contienen PHI deben actualizarse con las últimas
actualizaciones de servicio de tipo 'Seguridad' en o antes de la 'Fecha de solicitud recomendada'. ElastiCache ofrece esto como una
función de autoservicio que los clientes pueden utilizar para aplicar las actualizaciones en cualquier momento bajo demanda y en tiempo
real. Cada actualización de servicio viene con una 'Severidad' y una 'Fecha de aplicación recomendada' y está disponible solo para los
grupos de replicación de Redis correspondientes.
El campo 'SLA cumplido' en la función de actualización del servicio indicará si la actualización se aplicó en o antes de la 'Fecha de
solicitud recomendada'. Si los clientes optan por no aplicar las actualizaciones a los grupos de replicación de Redis correspondientes
antes de la 'Fecha de aplicación recomendada', ElastiCache no tomará ninguna medida para aplicarlas. Los clientes pueden usar el
panel del historial de actualizaciones del servicio para revisar la aplicación de actualizaciones a sus grupos de replicación de Redis a lo
largo del tiempo. Para obtener más información sobre cómo utilizar esta función, consulte Autoservicio Actualizaciones en Amazon
ElastiCache .
Amazon CloudWatch
Los clientes pueden usar Amazon CloudWatch Logs para monitorear, almacenar y acceder a sus archivos de registro desde
instancias de Amazon Elastic Compute Cloud (Amazon EC2), AWS CloudTrail, Amazon Route 53 y otras fuentes. Luego, pueden
recuperar los datos de registro asociados de CloudWatch Logs. Los datos de registro se cifran mientras están en tránsito y mientras
están en reposo. Como un
24
Como resultado, no es necesario volver a cifrar la PHI emitida por ningún otro servicio y entregada a CloudWatch Logs.
Registro de contenedores elásticos de Amazon

Amazon Elastic Container Registry (Amazon ECR) está integrado con Amazon Elastic Container Service (Amazon ECS) y
permite a los clientes almacenar, ejecutar y administrar fácilmente imágenes de contenedores para aplicaciones que se
ejecutan en Amazon ECS. Una vez que los clientes especifican el repositorio de Amazon ECR en su Definición de tarea,
Amazon ECS recuperará las imágenes adecuadas para sus aplicaciones.
No se requieren pasos especiales para usar Amazon ECR con imágenes de contenedor que contienen PHI. Las imágenes del contenedor se
cifran mientras están en tránsito y se almacenan cifradas mientras están en reposo mediante el cifrado del lado del servidor de Amazon S3
(SSE-S3).
Amazon QuickSight
Amazon QuickSight es un servicio de análisis empresarial que los clientes pueden utilizar para crear visualizaciones, realizar
análisis ad hoc y obtener rápidamente información empresarial a partir de sus datos. Amazon QuickSight descubre las fuentes
de datos de AWS, permite a las organizaciones escalar a cientos de miles de usuarios y ofrece un rendimiento receptivo
mediante el uso de un motor en memoria sólido (SPICE).
Los clientes solo pueden usar la edición Enterprise de Amazon QuickSight para trabajar con datos que contienen PHI, ya que
brinda soporte para el cifrado de datos almacenados en reposo en SPICE. El cifrado de datos se realiza mediante claves
administradas por AWS.
Servicios administrados por AWS

AWS Managed Services proporciona una gestión continua de las infraestructuras de AWS. Al implementar las mejores prácticas
para mantener la infraestructura de un cliente, los servicios administrados de AWS ayudan a reducir la sobrecarga operativa y el
riesgo. AWS Managed Services automatiza actividades comunes como solicitudes de cambio, monitoreo, administración de
parches, seguridad y servicios de respaldo, y brinda servicios de ciclo de vida completo para aprovisionar, ejecutar y respaldar
infraestructuras.
Los clientes pueden usar AWS Managed Services para administrar cargas de trabajo de AWS que operan con datos
que contienen PHI. El uso de AWS Managed Services no altera la
25
Servicios de AWS elegibles para el uso con PHI. Las herramientas y la automatización proporcionadas por AWS Managed Services no
se pueden utilizar para el almacenamiento o la transmisión de PHI.
AWS Fargate
AWS Fargate es una tecnología que permite al cliente ejecutar contenedores sin tener que administrar servidores o
clústeres. Con AWS Fargate, los clientes ya no tienen que aprovisionar, configurar y escalar clústeres de máquinas virtuales
para ejecutar contenedores. Esto elimina la necesidad de elegir tipos de servidor, decidir cuándo escalar clústeres u
optimizar el empaquetado de clústeres. AWS Fargate elimina la necesidad de que los clientes interactúen con servidores o
clústeres o piensen en ellos. Con Fargate, los clientes se enfocan en diseñar y construir sus aplicaciones en lugar de
administrar la infraestructura que las ejecuta.
Fargate no requiere ninguna configuración adicional para trabajar con cargas de trabajo que procesan PHI. Los clientes pueden
ejecutar cargas de trabajo de contenedores en Fargate mediante servicios de orquestación de contenedores como Amazon ECS.
Fargate solo administra la infraestructura subyacente y no opera con o sobre datos dentro de la carga de trabajo que se está
orquestando. De acuerdo con los requisitos de HIPAA, la PHI aún debe estar encriptada siempre que esté en tránsito o en
reposo cuando se acceda a ella mediante contenedores lanzados con Fargate. Hay varios mecanismos para cifrar en reposo
disponibles con cada opción de almacenamiento de AWS descrita en este documento.
AWS CloudFormation
AWS CloudFormation permite a los clientes crear y aprovisionar implementaciones de infraestructura de AWS de
manera predecible y repetida. Ayuda a los clientes a aprovechar los productos de AWS como Amazon EC2, Amazon
Elastic Block Store, Amazon SNS, Elastic Load Balancing y Auto Scaling para crear aplicaciones altamente
confiables, altamente escalables y rentables en la nube sin preocuparse por crear y configurar el AWS subyacente.
infraestructura.
AWS CloudFormation permite a los clientes utilizar un archivo de plantilla para crear y eliminar una colección de recursos juntos
como una sola unidad (una pila). AWS CloudFormation no almacena, transmite ni procesa PHI por sí mismo. En su lugar, se
utiliza para crear e implementar arquitecturas que utilizan otros servicios de AWS que pueden almacenar, transmitir o procesar
PHI. Solo los servicios elegibles de HIPAA deben usarse con PHI. Consulte las entradas para esos servicios en este documento
técnico para obtener orientación sobre el uso de la PHI con esos servicios. AWS CloudFormation utiliza AWS CloudTrail para
registrar todas las llamadas a la API.
26
Mapa de la nube de AWS

AWS Cloud Map es un servicio de descubrimiento de recursos en la nube. Con AWS Cloud Map, los clientes pueden definir
nombres personalizados para los recursos de la aplicación, como tareas de Amazon ECS, instancias de Amazon EC2, buckets
de Amazon S3, tablas de Amazon DynamoDB, colas de Amazon SQS o cualquier otro recurso en la nube. Luego, los clientes
pueden usar estos nombres personalizados para descubrir la ubicación y los metadatos de los recursos en la nube de sus
aplicaciones mediante AWS SDK y consultas de API autenticadas. Si bien AWS Cloud Map es un servicio apto para HIPAA, no
se debe almacenar PHI en ningún nombre / atributo de recurso dentro de AWS Cloud Map, ya que no hay soporte para proteger
dichos datos. En cambio, AWS Cloud Map se puede utilizar para descubrir los recursos de dominio del cliente que transmiten o
almacenan PHI.
AWS X-Ray
AWS X-Ray es un servicio que recopila datos sobre las solicitudes que atiende la aplicación de un cliente y proporciona
herramientas que pueden usar para ver, filtrar y obtener información sobre esos datos para identificar problemas y
oportunidades de optimización. Para cualquier solicitud rastreada a la aplicación de un cliente, pueden ver información
detallada no solo sobre la solicitud y la respuesta, sino también sobre las llamadas que realiza su aplicación a los recursos,
microservicios, bases de datos y API web HTTP de AWS. AWS X-Ray no debe usarse para almacenar o procesar PHI. La
información transmitida hacia y desde AWS X-Ray está cifrada de forma predeterminada. Cuando utilice AWS X-Ray, no
coloque ninguna PHI en anotaciones de segmento o metadatos de segmento.
AWS CloudTrail
AWS CloudTrail es un servicio que permite la gobernanza, el cumplimiento, la auditoría operativa y la auditoría de riesgos de las cuentas de
AWS. Con CloudTrail, los clientes pueden registrar, monitorear continuamente y retener la actividad de la cuenta relacionada con las acciones
en su infraestructura de AWS. CloudTrail proporciona un historial de eventos de la actividad de su cuenta de AWS, incluidas las acciones
realizadas a través de la Consola de administración de AWS, los SDK de AWS, las herramientas de línea de comandos y otros servicios de
AWS. Este historial de eventos simplifica el análisis de seguridad, el seguimiento de cambios de recursos y la resolución de problemas.
AWS CloudTrail está habilitado para su uso con todas las cuentas de AWS y se puede usar para el registro de auditoría, según
lo requiera AWS BAA. Los senderos específicos deben crearse mediante la consola de CloudTrail o la interfaz de línea de
comandos de AWS. CloudTrail cifra todo el tráfico
27
mientras está en tránsito y en reposo cuando se crea una ruta encriptada. Se debe crear una ruta encriptada cuando exista
la posibilidad de registrar PHI.
De forma predeterminada, un Trail encriptado almacena la entrada en Amazon S3 mediante el cifrado del lado del servidor con claves
administradas de Amazon S3 (SSE-S3). Si se desea una administración adicional de las claves, también se puede configurar con claves
administradas por AWS KMS (SSE-KMS). Como
CloudTrail es el destino final de las entradas de registro de AWS y, por lo tanto, un componente crítico de cualquier arquitectura que
maneje PHI, la validación de la integridad del archivo de registro de CloudTrail debe estar habilitada y los archivos de resumen de
CloudTrail asociados deben revisarse periódicamente. Una vez habilitado, se puede establecer una afirmación positiva de que los
archivos de registro no se han modificado o alterado.
AWS CodeBuild
AWS CodeBuild es un servicio de compilación totalmente administrado en la nube. AWS CodeBuild compila el código fuente, ejecuta
pruebas unitarias y produce artefactos que están listos para implementarse. AWS CodeBuild utiliza una clave maestra del cliente (CMK)
de AWS KMS para cifrar los artefactos de salida de la compilación. Se debe crear y configurar una CMK antes de crear artefactos que
contengan PHI, secretos / contraseñas, certificados maestros, etc. AWS CodeBuild utiliza AWS CloudTrail para registrar todas las
llamadas a la API.
28
AWS CodeCommit
AWS CodeCommit es un servicio de control de fuente administrado, seguro y altamente escalable que aloja repositorios Git
privados. AWS CodeCommit elimina la necesidad de que los clientes administren su propio sistema de control de fuente o se
preocupen por escalar su infraestructura.
AWS CodeCommit cifra todo el tráfico y la información almacenada mientras está en tránsito y en reposo. De forma predeterminada,
cuando se crea un repositorio dentro de AWS CodeCommit, se crea una clave administrada por AWS con AWS KMS y solo ese
repositorio la utiliza para cifrar todos los datos almacenados en reposo. AWS CodeCommit utiliza AWS CloudTrail para registrar todas las
llamadas a la API.
Configuración de AWS
AWS Config proporciona una vista detallada de los recursos asociados con la cuenta de AWS de un cliente,
incluida la forma en que están configurados, cómo se relacionan entre sí y cómo las configuraciones y sus
relaciones han cambiado con el tiempo.
AWS Config no se puede utilizar para almacenar o transmitir PHI. En cambio, se puede aprovechar para monitorear y evaluar
arquitecturas creadas con otros servicios de AWS, incluidas las arquitecturas que manejan PHI, para ayudar a determinar si
siguen cumpliendo con su objetivo de diseño previsto. Las arquitecturas que manejan PHI solo deben construirse con
Servicios elegibles de HIPAA. AWS Config utiliza AWS CloudTrail para registrar todos los resultados.
Pila de AWS OpsWorks

AWS OpsWorks Stacks proporciona una forma sencilla y flexible de crear y administrar pilas y aplicaciones. Los
clientes pueden usar AWS OpsWorks Stacks para implementar y monitorear aplicaciones en sus pilas.
AWS OpsWorks Stacks cifra todo el tráfico mientras está en tránsito. Sin embargo, las bolsas de datos cifrados (un mecanismo de
almacenamiento de datos de Chef) no están disponibles y cualquier activo que deba almacenarse de forma segura, como PHI,
secretos / contraseñas, certificados maestros, etc., debe almacenarse en un depósito cifrado en Amazon S3. AWS OpsWorks Stack
utiliza AWS CloudTrail para registrar todas las llamadas a la API.
29
Sistema de archivos elástico de Amazon (EFS)

Amazon Elastic File System (Amazon EFS) proporciona almacenamiento de archivos elástico, escalable y simple para usar con los
servicios en la nube de AWS y los recursos locales. Es fácil de usar y ofrece una interfaz simple que permite a los clientes crear y
configurar sistemas de archivos rápida y fácilmente. Amazon EFS está diseñado para escalar elásticamente bajo demanda sin
interrumpir las aplicaciones, creciendo y reduciéndose automáticamente a medida que los clientes agregan y eliminan archivos.
Para satisfacer el requisito de que la PHI esté cifrada en reposo, hay dos rutas disponibles en EFS. EFS admite el cifrado en
reposo cuando se crea un nuevo sistema de archivos. Durante la creación, se debe seleccionar la opción para "Habilitar el
cifrado de datos en reposo". Al seleccionar esta opción, se garantiza que todos los datos colocados en el sistema de archivos
EFS se cifrarán mediante el cifrado AES-256 y las claves administradas por AWS KMS. Los clientes pueden optar
alternativamente por cifrar los datos antes de que se coloquen en EFS, pero luego son responsables de administrar el proceso
de cifrado y la gestión de claves.
La PHI no debe usarse como todo o parte de ningún nombre de archivo o carpeta. Transport Layer Security (TLS) proporciona el
cifrado de PHI mientras está en tránsito para Amazon EFS entre el servicio EFS y la instancia que monta el sistema de archivos.
EFS ofrece un asistente de montaje para facilitar la conexión a un sistema de archivos mediante TLS. De forma predeterminada,
TLS no se usa y debe habilitarse cuando se monta el sistema de archivos con el asistente de montaje EFS. Asegúrese de que el
comando de montaje contenga: o tls opción para habilitar el cifrado TLS. Alternativamente, los clientes que opten por no utilizar el
asistente de montaje de EFS pueden seguir las instrucciones de la documentación de EFS para configurar sus clientes NFS para
conectarse a través de un túnel TLS.
Transmisiones de video de Amazon Kinesis

Amazon Kinesis Video Streams es un servicio de AWS totalmente administrado que los clientes pueden usar para transmitir video en
vivo desde dispositivos a la nube de AWS, o crear aplicaciones para procesamiento de video en tiempo real o análisis de video por
lotes. El cifrado del lado del servidor es una función de Kinesis Video Streams que cifra automáticamente los datos en reposo mediante
el uso de una clave maestra del cliente (CMK) de AWS KMS que especifica el cliente. Los datos se cifran antes de que se escriban en
la capa de almacenamiento de transmisión de Kinesis Video Streams y se descifran después de que se recuperan del almacenamiento.
El SDK de Amazon Kinesis Video Streams se puede utilizar para transmitir datos de video en tiempo real que contengan PHI.
De forma predeterminada, el SDK usa TLS para cifrar marcos y fragmentos generados por el dispositivo de hardware en el
que está instalado. El SDK no gestiona ni
30
afectar los datos almacenados en reposo. Amazon Kinesis Video Streams utiliza AWS CloudTrail para registrar todas las llamadas a la API.
Amazon Rekognition
Amazon Rekognition facilita la adición de análisis de imágenes y videos a las aplicaciones de los clientes. Un cliente
solo necesita proporcionar una imagen o video a la API de Amazon Rekognition, y el servicio puede identificar los
objetos, las personas, el texto, las escenas y las actividades, así como detectar cualquier contenido inapropiado.
Amazon Rekognition también proporciona análisis y reconocimiento facial de alta precisión.
Amazon Rekognition es elegible para operar con imágenes o videos que contienen PHI. Amazon Rekognition opera
como un servicio administrado y no presenta opciones configurables para el manejo de datos. Amazon Rekognition solo
usa, divulga y mantiene la PHI según lo permitido por los términos de AWS BAA. Todos los datos se cifran en reposo y
en tránsito con Amazon Rekognition. Amazon Rekognition utiliza AWS CloudTrail para registrar todas las llamadas a la
API.
Amazon SageMaker
Amazon SageMaker es un servicio de aprendizaje automático totalmente administrado. Con Amazon SageMaker, los científicos de datos
y los desarrolladores pueden crear y entrenar modelos de aprendizaje automático de forma rápida y sencilla, y luego implementarlos
directamente en un entorno alojado listo para producción. Proporciona una instancia integrada de cuaderno de creación de Jupyter para
acceder fácilmente a las fuentes de datos para la exploración y el análisis. Amazon SageMaker también proporciona algoritmos de
aprendizaje automático comunes que están optimizados para ejecutarse de manera eficiente con datos extremadamente grandes en un
entorno distribuido.
Con soporte nativo para marcos y algoritmos propios, Amazon SageMaker ofrece opciones de capacitación
distribuidas flexibles que se ajustan a los flujos de trabajo específicos de un cliente. Amazon SageMaker es elegible
para operar con datos que contienen PHI. El cifrado de datos en tránsito lo proporciona SSL / TLS y se utiliza cuando
se comunica tanto con la interfaz frontal de Amazon SageMaker (al Notebook) como cuando Amazon SageMaker
interactúa con cualquier otro servicio de AWS (por ejemplo, extrayendo datos de Amazon S3 ).
Para satisfacer el requisito de que la PHI esté cifrada en reposo, el cifrado de los datos almacenados con la instancia que
ejecuta modelos con Amazon SageMaker se habilita mediante AWS Key
administración Servicio (KMS) cuando ajuste arriba la punto final
31
( DescribeEndpointConfig: KmsKeyID). El cifrado de los resultados del entrenamiento del modelo (artefactos) se habilita mediante
AWS KMS y las claves deben especificarse mediante KmsKeyID en el OutputDataConfig descripción. Si no se proporciona un ID
de clave de KMS, se utilizará la clave de KMS de Amazon S3 predeterminada para la cuenta del rol. Amazon SageMaker utiliza
AWS CloudTrail para registrar todas las llamadas a la API.
Servicio de flujo de trabajo simple de Amazon

Amazon Simple Workflow Service (Amazon SWF) ayuda a los desarrolladores a crear, ejecutar y escalar trabajos en segundo plano
que tienen pasos paralelos o secuenciales. Amazon SWF se puede considerar como un rastreador de estado y un coordinador de
tareas completamente administrado en la nube.
El servicio de flujo de trabajo simple de Amazon se utiliza para organizar los flujos de trabajo y no puede almacenar ni transmitir datos.
La PHI no debe colocarse en los metadatos de Amazon SWF ni dentro de ninguna descripción de tarea. Amazon SWF utiliza AWS
CloudTrail para registrar todas las llamadas a la API.
Administrador de secretos de AWS

AWS Secrets Manager es un servicio de AWS que facilita la administración a los clientes
misterios. Los secretos pueden ser credenciales de base de datos, contraseñas, claves API de terceros e incluso texto arbitrario. AWS
Secrets Manager se puede utilizar para almacenar PHI si dicha información está contenida en “secretos”. Todos los secretos
almacenados por AWS Secrets Manager se cifran en reposo mediante el AWS Key Management System (KMS). Los usuarios pueden
seleccionar la clave de AWS KMS utilizada al crear un nuevo secreto. Si no se selecciona ninguna clave, se utilizará la clave
predeterminada para la cuenta. AWS Secrets Manager utiliza AWS CloudTrail para registrar todas las llamadas a la API.
Catálogo de servicios de AWS

AWS Service Catalog permite a los administradores de TI crear, administrar y distribuir carteras de productos aprobados a los usuarios
finales, quienes luego pueden acceder a los productos que necesitan en un portal personalizado. AWS Service Catalog se utiliza para
catalogar, compartir e implementar soluciones de autoservicio en AWS y no se puede utilizar para almacenar, transmitir o procesar PHI.
La PHI no debe colocarse en ningún metadato de los elementos de AWS Service Catalog ni dentro de la descripción de ningún elemento.
AWS Service Catalog utiliza AWS CloudTrail para registrar todas las llamadas a la API.
32
Funciones de paso de AWS

AWS Step Functions facilita la coordinación de los componentes de aplicaciones distribuidas y microservicios mediante flujos de
trabajo visuales. AWS Step Functions no puede almacenar, transmitir ni procesar PHI. La PHI no debe colocarse dentro de los
metadatos de AWS Step Functions ni dentro de ninguna tarea o definición de máquina de estado. AWS Step Functions utiliza
Amazonas Atenea
Amazon Athena es un servicio de consulta interactivo que facilita el análisis de datos directamente en Amazon Simple
Storage Service (Amazon S3) utilizando SQL estándar. Athena ayuda a los clientes a analizar datos estructurados,
semiestructurados y no estructurados almacenados en Amazon S3. Los ejemplos incluyen CSV, JSON o formatos de
datos en columnas como Apache Parquet y Apache ORC. Los clientes pueden usar Athena para ejecutar consultas ad
hoc usando ANSI SQL, sin la necesidad de agregar o cargar los datos en Athena.
Amazon Athena ahora se puede utilizar para procesar datos que contienen PHI. El cifrado de datos en tránsito entre Amazon Athena
y S3 se proporciona de forma predeterminada mediante SSL / TLS. El cifrado de PHI mientras está en reposo en S3 debe realizarse
de acuerdo con la guía proporcionada en la sección S3. El cifrado de los resultados de consultas desde y dentro de Amazon Athena,
incluidos los resultados por etapas, debe habilitarse mediante el cifrado del lado del servidor con claves administradas de Amazon
S3 (SSE-S3), claves administradas por AWS KMS (SSE-KMS) o cifrado del lado del cliente con AWS Claves administradas por KMS
(CSE-KMS). Amazon Athena usa AWS CloudTrail para registrar todas las llamadas a la API.
Amazon EKS
Amazon Elastic Kubernetes Service (Amazon EKS) es un servicio administrado que facilita a los clientes ejecutar
Kubernetes en AWS sin necesidad de ponerse de pie o mantener su propio plano de control de Kubernetes. Kubernetes
es un sistema de código abierto para automatizar la implementación, el escalado y la administración de aplicaciones en
contenedores.
El uso de Amazon EKS con cargas de trabajo que procesan datos de PHI no requiere configuración adicional. Amazon EKS
opera como un servicio de orquestación, coordinando el lanzamiento de contenedores (cuyas imágenes se almacenan en S3) en
EC2 y no opera directamente con o sobre datos dentro de la carga de trabajo que se está orquestando. Amazon EKS utiliza
33
AWS IoT Core y AWS IoT Device

Management
AWS IoT Core y AWS IoT Device Management proporcionan comunicación bidireccional y segura entre dispositivos
conectados a Internet, como sensores, actuadores, microcontroladores integrados o dispositivos inteligentes, y la nube
de AWS. AWS IoT Core y AWS IoT Device Management ahora pueden acomodar dispositivos que transmiten datos que
contienen PHI. Toda la comunicación con AWS IoT Core y AWS IoT Device Management se cifra mediante TLS. AWS
IoT Core y AWS IoT Device Management utilizan AWS CloudTrail para registrar todas las llamadas a la API.
Amazon FreeRTOS
Amazon FreeRTOS es un sistema operativo para microcontroladores que hace que los dispositivos periféricos pequeños y de bajo
consumo sean fáciles de programar, implementar, proteger, conectar y administrar. Amazon FreeRTOS se basa en el kernel
FreeRTOS, un popular sistema operativo de código abierto para microcontroladores, y lo amplía con bibliotecas de software que
facilitan la conexión segura de dispositivos pequeños y de bajo consumo de energía a servicios en la nube de AWS como AWS IoT
Core o un borde más potente. dispositivos que ejecutan AWS IoT Greengrass.
Los datos que contienen PHI ahora se pueden cifrar en tránsito y en reposo cuando se usa un dispositivo calificado que
ejecuta Amazon FreeRTOS. Amazon FreeRTOS proporciona dos bibliotecas para brindar seguridad a la plataforma: TLS y
PKCS # 11. La API de TLS se debe utilizar para cifrar y autenticar todo el tráfico de red que contiene PHI. PKCS # 11
proporciona una interfaz estándar para operaciones criptográficas de software y debe usarse para cifrar cualquier PHI
almacenada en un dispositivo calificado que ejecute Amazon FreeRTOS.
Amazon GuardDuty
Amazon GuardDuty es un servicio de detección de amenazas administrado que monitorea continuamente el comportamiento malicioso
o no autorizado para ayudar a los clientes a proteger sus cuentas y cargas de trabajo de AWS. Monitorea la actividad, como llamadas
inusuales a la API o implementaciones potencialmente no autorizadas que indican un posible compromiso de la cuenta. Amazon
GuardDuty también detecta instancias potencialmente comprometidas o reconocimiento por parte de atacantes.
Amazon GuardDuty monitorea y analiza continuamente las siguientes fuentes de datos: registros de flujo de VPC, registros de
eventos de AWS CloudTrail y registros de DNS. Utiliza inteligencia de amenazas
34
feeds, como listas de dominios y direcciones IP maliciosas, y aprendizaje automático para identificar actividades inesperadas y
potencialmente no autorizadas y maliciosas dentro de un entorno de AWS. Como tal, Amazon GuardDuty no debería encontrar ninguna
PHI, ya que estos datos no deben almacenarse en ninguna de las fuentes de datos basadas en AWS enumeradas anteriormente.
Amazonas Neptuno
Amazon Neptune es un servicio de base de datos de gráficos rápido, confiable y completamente administrado que facilita la creación y
ejecución de aplicaciones que funcionan con conjuntos de datos altamente conectados. El núcleo de Amazon Neptune es un motor de base
de datos de gráficos de alto rendimiento especialmente diseñado que está optimizado para almacenar miles de millones de relaciones y
consultar el gráfico con una latencia de milisegundos. Amazon Neptune es compatible con los populares lenguajes de consulta de gráficos
Apache TinkerPop Gremlin y SPARQL de W3C.
Los datos que contienen PHI ahora se pueden conservar en una instancia cifrada de Amazon Neptune. Una instancia cifrada de
Amazon Neptune se puede especificar solo en el momento de la creación seleccionando 'Habilitar cifrado' en la consola de
Amazon Neptune. Todos los registros, copias de seguridad e instantáneas están cifrados para una instancia cifrada de Amazon
Neptune. La administración de claves para instancias encriptadas de Amazon Neptune se proporciona a través de AWS KMS. El
cifrado de datos en tránsito se proporciona a través de SSL / TLS. Amazon Neptune usa CloudTrail para registrar todas las
llamadas a la API.
Servicio de migración del servidor de AWS

AWS Server Migration Service (AWS SMS) automatiza la migración de máquinas virtuales VMware vSphere o Microsoft
Hyper-V / SCVMM locales a la nube de AWS. AWS SMS replica de forma incremental las máquinas virtuales del servidor
como imágenes de máquinas de Amazon alojadas en la nube (AMI) listas para su implementación en Amazon EC2.
35
Servicios web de Amazon
Los servidores que se ejecutan en las instalaciones y se migran a la nube con (AWS SMS) pueden contener datos de PHI. AWS SMS cifra
los datos mientras están en tránsito y cuando las imágenes de la máquina virtual del servidor se preparan para su ubicación final en EC2.
Consulte la guía para EC2 y la configuración de volúmenes de almacenamiento cifrados al migrar una máquina virtual de servidor que
contiene PHI con AWS SMS. AWS SMS utiliza CloudTrail para registrar todas las llamadas a la API.
Servicio de migración de bases de datos de AWS

AWS Database Migration Service (AWS DMS) ayuda a los clientes a migrar bases de datos a AWS de forma fácil
y segura. Los clientes pueden migrar sus datos hacia y desde las bases de datos comerciales y de código abierto
más utilizadas, como Oracle, MySQL y PostgreSQL. El servicio admite migraciones homogéneas como Oracle a
Oracle, y también migraciones heterogéneas entre diferentes plataformas de bases de datos, como Oracle a
PostgreSQL o MySQL a Oracle.
Las bases de datos que se ejecutan en las instalaciones y se migran a la nube con AWS DMS pueden contener datos de PHI. AWS
DMS cifra los datos mientras están en tránsito y cuando los datos se preparan para la migración final a la base de datos de destino en
AWS. AWS DMS cifra el almacenamiento utilizado por una instancia de replicación y la información de conexión de punto final. Para
cifrar el almacenamiento que usa una instancia de replicación, AWS DMS usa una clave de AWS KMS que es única para la cuenta de
AWS. Consulte la Guía para conocer la base de datos de destino adecuada para asegurarse de que los datos permanezcan cifrados una
vez que se complete la migración. AWS DMS utiliza CloudTrail para registrar todas las llamadas a la API.
Amazon MQ
Amazon MQ es un servicio de agente de mensajes administrado para Apache ActiveMQ que facilita la configuración y el
funcionamiento de agentes de mensajes en la nube. Amazon MQ funciona con aplicaciones y servicios existentes sin la
necesidad de que un cliente administre, opere o mantenga su propio sistema de mensajería. Para proporcionar el cifrado de
datos de PHI mientras están en tránsito, se deben usar los siguientes protocolos con TLS habilitado para acceder a los
corredores:
• AMQP
• MQTT
• MQTT sobre WebSocket
• OpenWire
• PISAR MUY FUERTE
36
• STOMP sobre WebSocket
Amazon MQ cifra los mensajes en reposo y en tránsito mediante claves de cifrado que administra y almacena de forma
segura. Amazon MQ usa CloudTrail para registrar todas las llamadas a la API.
AWS Glue
AWS Glue es un servicio ETL (extracción, transformación y carga) completamente administrado que hace que sea simple y rentable
para los clientes categorizar sus datos, limpiarlos, enriquecerlos y moverlos de manera confiable entre varios almacenes de datos.
Para garantizar el cifrado de los datos que contienen PHI mientras están en tránsito, AWS Glue debe configurarse para usar
conexiones JDBC a almacenes de datos con SSL / TLS. Además, para mantener el cifrado mientras se está en tránsito, la
configuración del cifrado del lado del servidor (SSE-S3) debe pasarse como un parámetro para los trabajos ETL que se ejecutan con
AWS Glue. Todos los datos almacenados en reposo dentro del Catálogo de datos de AWS Glue se cifran con claves administradas
por AWS KMS cuando el cifrado está habilitado al crear un objeto de Catálogo de datos. AWS Glue usa CloudTrail para registrar
todas las llamadas a la API.
Amazon Comprehend
Amazon Comprehend utiliza el procesamiento de lenguaje natural para extraer información sobre el contenido de los
documentos. Amazon Comprehend procesa cualquier archivo de texto en formato UTF-8. Desarrolla conocimientos al
reconocer las entidades, frases clave, lenguaje, sentimientos y otros elementos comunes en un documento. Amazon
Comprehend se puede utilizar con datos que contengan PHI. Amazon Comprehend no retiene ni almacena ningún dato y todas
las llamadas a la API están cifradas con SSL / TLS. Amazon Comprehend usa CloudTrail para registrar todas las llamadas a la
API.
Amazon Transcribe
Amazon Transcribe utiliza tecnologías avanzadas de aprendizaje automático para reconocer la voz en archivos de audio y
transcribirlos a texto. Por ejemplo, los clientes pueden usar Amazon Transcribe para convertir audio en texto en inglés
estadounidense y español mexicano y para crear aplicaciones que incorporen el contenido de archivos de audio. Amazon
Transcribe se puede utilizar con datos que contienen PHI. Amazon Transcribe no retiene ni almacena ningún dato y todas las
llamadas a la API están cifradas con SSL / TLS. Amazon Transcribe usa CloudTrail para registrar todas las llamadas a la API.
37
Traductor de Amazon
Amazon Translate utiliza tecnologías avanzadas de aprendizaje automático para proporcionar traducción de alta calidad bajo
demanda. Los clientes pueden utilizar Amazon Translate para traducir documentos de texto no estructurados o para crear
aplicaciones que funcionen en varios idiomas. Los documentos que contienen PHI se pueden procesar con Amazon Translate. No
se requiere ninguna configuración adicional al traducir documentos que contienen PHI. SSL / TLS proporciona el cifrado de datos
mientras están en tránsito y no quedan datos en reposo con Amazon Translate. Amazon Translate usa CloudTrail para registrar
todas las llamadas a la API.
Administrador de certificados de AWS

AWS Certificate Manager es un servicio que permite a los clientes aprovisionar, administrar e implementar fácilmente certificados
SSL / TLS públicos y privados para su uso con los servicios de AWS y sus recursos internos conectados. AWS Certificate Manager
no debe usarse para almacenar datos que contengan PHI. AWS Certificate Manager utiliza CloudTrail para registrar todas las
llamadas a la API.
Amazon CloudWatch
Amazon CloudWatch es un servicio de monitoreo para los recursos de AWS Cloud y las aplicaciones que los clientes ejecutan en
AWS. Los clientes pueden utilizar Amazon CloudWatch para recopilar y rastrear métricas, recopilar y monitorear archivos de
registro y configurar alarmas. Amazon CloudWatch en sí no produce, almacena ni transmite PHI. Los clientes pueden monitorear
las llamadas a la API de CloudWatch con AWS CloudTrail. Para más información, ver Registro de llamadas a la API de Amazon
CloudWatch con AWS CloudTrail .
Para obtener más detalles sobre los requisitos de configuración, consulte Registros de Amazon CloudWatch .
Eventos de Amazon CloudWatch

Amazon CloudWatch Events ofrece un flujo casi en tiempo real de eventos del sistema que describen cambios en los
recursos de AWS. Los clientes deben asegurarse de que la PHI no fluya hacia los eventos de CloudWatch y que cualquier
recurso de AWS que emita un evento de CloudWatch que esté almacenando, procesando o transmitiendo PHI esté
configurado de acuerdo con la Guía.
Los clientes pueden configurar Amazon CloudWatch Events para registrarse como una llamada a la API de AWS en CloudTrail. Para más
información, ver Creación de una regla de eventos de CloudWatch que
Disparadores en una llamada a la API de AWS mediante AWS CloudTrail .
38
Amazon Kinesis Data Firehose

Cuando los clientes envían datos de sus productores de datos a su flujo de datos de Kinesis, Amazon Kinesis Data Streams
cifra los datos con una clave de AWS KMS antes de almacenarlos en reposo. Cuando el flujo de entrega de Kinesis Data
Firehose lee datos del flujo de Kinesis, Kinesis Data Streams primero descifra los datos y luego los envía a Kinesis Data
Firehose. Kinesis Data Firehose almacena los datos en la memoria en función de las sugerencias de almacenamiento en
búfer especificadas por el cliente. Luego entrega los datos a los destinos sin almacenar los datos no cifrados en reposo.
Para obtener más información sobre el cifrado con Kinesis Data Firehose, consulte Protección de datos en Amazon Kinesis
Data Firehose . AWS proporciona varias herramientas que los clientes pueden usar para monitorear Amazon Kinesis Data
Firehose, incluidas las métricas de Amazon CloudWatch, Amazon CloudWatch Logs, el agente de Kinesis y el registro e
historial de API. Para más información, ver Supervisión de Amazon Kinesis Data Firehose .
Análisis de datos de Amazon Kinesis

Amazon Kinesis Data Analytics permite a los clientes crear rápidamente código SQL que lee, procesa y almacena
datos continuamente casi en tiempo real. Al utilizar consultas SQL estándar sobre los datos de transmisión, los
clientes pueden construir aplicaciones que transforman y proporcionan información sobre sus datos. Kinesis Data
Analytics admite entradas de Kinesis Data Streams y Kinesis Data Firehose como fuentes para la aplicación de
análisis. Si la transmisión está encriptada, Kinesis Data Analytics accede a los datos en la transmisión encriptada sin
problemas sin necesidad de configuración adicional. Kinesis Data Analytics no almacena datos no cifrados leídos de
Kinesis Data Streams.
Para más información, ver Configuración de la entrada de la aplicación . Kinesis Data Analytics se integra con AWS
CloudTrail y Amazon CloudWatch Logs para el monitoreo de aplicaciones. Para más información, ver Herramientas
de monitoreo y Trabajando con Amazon CloudWatch Logs .
Servicio Amazon Elasticsearch

Amazon Elasticsearch Service (Amazon ES) permite a los clientes ejecutar un clúster de Elasticsearch administrado en una
nube privada virtual de Amazon dedicada (Amazon VPC). Al usar Amazon ES con PHI, los clientes deben usar Elasticsearch
6.0 o posterior. Los clientes deben asegurarse de que la PHI esté cifrada en reposo y en tránsito dentro de Amazon
Elasticsearch Service. Los clientes pueden utilizar el cifrado de claves de AWS KMS para cifrar los datos en reposo en sus
dominios de Amazon ES, que solo está disponible para Elasticsearch 5.1 o posterior.
39
Para obtener más información sobre cómo cifrar datos en reposo, consulte Cifrado de datos en reposo para Amazon
Elasticsearch Service . Cada dominio de Amazon ES se ejecuta en su propia VPC. Los clientes deben habilitar el cifrado de
nodo a nodo, que está disponible en Elasticsearch
6.0 o posterior. Si los clientes envían datos a
Amazon ES sobre HTTPS, el cifrado de nodo a nodo ayuda a garantizar que los datos del cliente permanezcan cifrados a
medida que Elasticsearch los distribuye (y redistribuye) en todo el clúster. Si los datos llegan sin cifrar a través de HTTP,
Amazon ES cifra los datos una vez que llegan al clúster. Por lo tanto, cualquier PHI que ingrese a un clúster de Amazon
Elasticsearch Service debe enviarse a través de HTTPS. Para más información, ver Cifrado de nodo a nodo para Amazon
Elasticsearch Service . Los registros de la API de configuración de Amazon ES se pueden capturar en AWS CloudTrail. Para
más información, ver Administración de dominios de Amazon Elasticsearch Service .
Amazon DocumentDB (con compatibilidad con MongoDB)

Amazon DocumentDB (con compatibilidad con MongoDB) (Amazon DocumentDB) ofrece cifrado en reposo durante la creación
del clúster a través de AWS KMS, lo que permite a los clientes cifrar bases de datos utilizando AWS o claves administradas por
el cliente. En una instancia de base de datos que se ejecuta con el cifrado habilitado, los datos almacenados en reposo se cifran
de acuerdo con la Guía vigente en el momento de la publicación de este documento técnico, al igual que las copias de seguridad
automatizadas, las réplicas de lectura y las instantáneas. Debido a que la Guía puede actualizarse, los clientes deben continuar
evaluando y determinando si el cifrado de Amazon DocumentDB satisface sus requisitos normativos y de cumplimiento. Para
obtener más información sobre el cifrado en reposo con Amazon DocumentDB, consulte Cifrando Amazon
DocumentDB Los datos en reposo .
Las conexiones a Amazon DocumentDB que contienen PHI deben utilizar puntos de enlace que acepten transporte cifrado
(HTTPS). De forma predeterminada, un clúster de Amazon DocumentDB recién creado solo acepta conexiones seguras
mediante Transport Layer Security (TLS). Para más información, ver Cifrar datos en tránsito . Amazon DocumentDB usa AWS
CloudTrail para registrar todas las llamadas a la API. Para más información, ver Iniciar sesión y supervisar
Amazon DocumentDB .
Para determinadas funciones de administración, Amazon DocumentDB utiliza tecnología operativa que se comparte con Amazon
RDS. Las llamadas a la consola, la AWS CLI y la API de Amazon DocumentDB se registran como llamadas realizadas a la API de
Amazon RDS.
40
AWS Mobile Hub

AWS Mobile Hub proporciona un conjunto de herramientas que permiten a los clientes configurar rápidamente los servicios de
AWS e integrarlos en su aplicación móvil. AWS Mobile Hub en sí mismo no almacena ni transmite PHI. En cambio, se utiliza
para administrar y orquestar arquitecturas móviles creadas con otros servicios de AWS, incluidas las arquitecturas que manejan
PHI. Las arquitecturas que manejan PHI solo deben crearse con servicios elegibles de HIPAA, y la PHI no debe colocarse en
metadatos para AWS Mobile Hub. AWS Mobile Hub utiliza AWS CloudTrail para registrar todas las acciones. Para más
información, ver Registro de llamadas a la API de la CLI móvil de AWS con AWS CloudTrail .
AWS IoT Greengrass

AWS IoT Greengrass permite a los clientes ejecutar capacidades locales de computación, mensajería, almacenamiento en caché de
datos, sincronización e inferencia ML para dispositivos conectados de forma segura. AWS IoT Greengrass utiliza certificados X.509,
suscripciones administradas, políticas de AWS IoT y políticas y roles de IAM para garantizar que las aplicaciones de Greengrass del
cliente sean seguras. AWS IoT Greengrass utiliza el modelo de seguridad de transporte de AWS IoT para cifrar la comunicación con la
nube mediante TLS. Además, los datos de AWS IoT Greengrass se cifran cuando están en reposo (en la nube). Para obtener más
información sobre la seguridad de Greengrass, consulte Descripción general de la seguridad de AWS IoT Greengrass .
Los clientes pueden registrar las acciones de la API de AWS IoT Greengrass mediante AWS CloudTrail. Para más información, ver Registro
de llamadas a la API de AWS IoT Greengrass con AWS CloudTrail .
AWS OpsWorks para Chef Automate

AWS OpsWorks para Chef Automate es un servicio de administración de configuración totalmente administrado que aloja Chef
Automate, un conjunto de herramientas de automatización de Chef para la administración de infraestructura y aplicaciones. El
servicio en sí no contiene, transmite ni maneja ninguna PHI o información confidencial, pero los clientes deben asegurarse de
que los recursos configurados por OpsWorks para Chef Automate estén configurados de acuerdo con la Guía. Las llamadas a la
API se capturan con AWS CloudTrail. Para más información, ver Registro de llamadas a la API de AWS OpsWorks Stacks con
AWS CloudTrail .
AWS OpsWorks para Puppet Enterprise

AWS OpsWorks for Puppet Enterprise es un servicio de administración de configuración totalmente administrado que aloja Puppet
Enterprise, un conjunto de herramientas de automatización de Puppet para
41
gestión de infraestructura y aplicaciones. El servicio en sí no contiene, transmite ni maneja ninguna PHI o información
confidencial, pero los clientes deben asegurarse de que cualquier recurso configurado por OpsWorks para Puppet
Enterprise esté configurado de acuerdo con la Guía. Las llamadas a la API se capturan con AWS CloudTrail. Para más
información, ver
Registro de llamadas a la API de AWS OpsWorks Stacks con AWS CloudTrail .
Transferencia de AWS para SFTP
AWS Transfer for SFTP proporciona acceso al Protocolo de transferencia segura de archivos (SFTP) a los recursos de
S3 del cliente. A los clientes se les presenta un servidor virtual, al que se accede mediante el protocolo SFTP estándar
en un punto final de servicio regional. Desde el punto de vista del cliente de AWS y el cliente de SFTP, la puerta de
enlace SFTP parece un servidor SFTP estándar de alta disponibilidad. Aunque el servicio en sí no almacena, procesa
ni transmite PHI, los recursos a los que el cliente accede en Amazon S3 deben configurarse de manera coherente con
la Guía. Los clientes también pueden utilizar AWS CloudTrail para registrar las llamadas a la API realizadas a AWS
Transfer para SFTP.
AWS DataSync
AWS DataSync es un servicio de transferencia en línea que simplifica, automatiza y acelera la transferencia de datos
entre el almacenamiento local y AWS. Los clientes pueden utilizar AWS DataSync para conectar sus fuentes de datos a
Amazon S3 o Amazon EFS. Los clientes deben asegurarse de que Amazon S3 y Amazon EFS estén configurados de
manera coherente con la Guía. De forma predeterminada, los datos del cliente se cifran en tránsito mediante TLS 1.2.
Para obtener más información sobre el cifrado y AWS DataSync, consulte AWS
Funciones de DataSync . Los clientes pueden monitorear la actividad de DataSync utilizando AWS CloudTrail. Para obtener más información
sobre cómo iniciar sesión con CloudTrail, consulte Registro de llamadas a la API de AWS DataSync con AWS CloudTrail .
Acelerador global de AWS

AWS Global Accelerator es un servicio de equilibrio de carga global que mejora la disponibilidad y la latencia de las
aplicaciones multirregionales. Para garantizar que la PHI permanezca cifrada en tránsito y en reposo mientras se usa AWS
Global Accelerator, las arquitecturas que equilibran la carga de Global Accelerator deben usar un protocolo cifrado, como
HTTPS o SSL / TLS. Consulte la guía de Amazon EC2, Elastic Load Balancing y otros servicios de AWS para comprender
mejor las opciones de cifrado disponibles para los recursos de backend. AWS Global Accelerator utiliza AWS CloudTrail
para registrar todas las llamadas a la API.
42
Amazon Comprehend Medical

Para obtener orientación, consulte el Amazon Comprehend sección.
AWS RoboMaker
AWS RoboMaker permite a los clientes ejecutar código en la nube para el desarrollo de aplicaciones y proporciona
un servicio de simulación robótica para acelerar las pruebas de aplicaciones.
AWS RoboMaker también proporciona un servicio de administración de flotas de robótica para la implementación, actualización y
administración de aplicaciones remotas.
El tráfico de red que contiene PHI debe cifrar los datos en tránsito. Toda la comunicación de administración con el servidor de simulación
se realiza a través de TLS, y los clientes deben utilizar mecanismos de cifrado de transporte estándar abiertos para las conexiones a otros
servicios de AWS. AWS RoboMaker también se integra con CloudTrail para registrar todas las llamadas a la API en un bucket de Amazon
S3 específico.
Los registros de AWS RoboMaker no contienen PHI y los volúmenes de EBS que utiliza el servidor de simulación están
cifrados. Al transferir datos que pueden contener PHI a otros servicios, como Amazon S3, los clientes deben seguir las
instrucciones del servicio receptor para almacenar PHI. Para las implementaciones en robots, los clientes deben asegurarse
de que el cifrado de datos en tránsito y en reposo sea coherente con su interpretación de la Guía.
Alexa para empresas

Alexa for Business facilita la configuración, instalación y administración de flotas de dispositivos habilitados para Alexa en la
empresa. Alexa for Business permite a la empresa controlar qué habilidades (aplicaciones de Alexa) están disponibles para sus
usuarios y a qué recursos corporativos (correo electrónico, calendario, directorios, etc.) tienen acceso las habilidades designadas
de Alexa. A través de este acceso, amplía las capacidades de Alexa con nuevas habilidades específicas de la empresa, como
iniciar reuniones y verificar si las salas de conferencias están reservadas.
El sistema Alexa for Business consta de dos componentes. Primero está la consola de administración de Alexa for Business, un
servicio de AWS que configura y monitorea el hardware habilitado para Alexa y permite la configuración del sistema. También
proporciona los ganchos para que las habilidades designadas de Alexa puedan acceder a los recursos corporativos. La
segunda es la Alexa
43
El sistema, que procesa las consultas y los comandos del usuario final, toma medidas y proporciona respuestas. El
sistema Alexa no es un servicio de AWS.
La consola de administración de Alexa for Business no procesa ni almacena ninguna PHI. Por lo tanto, Alexa for Business se
puede usar junto con las habilidades de Alexa que no procesan PHI, como iniciar reuniones, verificar salas de conferencias o
usar cualquier habilidad de Alexa que tampoco procese PHI. Si los clientes desean procesar PHI con Alexa y Alexa for
Business, los clientes deben usar una habilidad de Alexa elegible para HIPAA y firmar un BAA con la organización de Alexa.
Los clientes pueden obtener más información sobre cómo desarrollar habilidades de Alexa elegibles para HIPA en Habilidades
de Alexa Healthcare .
Amazon Appstream 2.0

Amazon AppStream 2.0 es un servicio de transmisión de aplicaciones totalmente administrado. Los clientes son propietarios de sus
datos y deben configurar las aplicaciones de Windows necesarias de manera que cumplan con sus requisitos reglamentarios. Los
clientes pueden configurar el almacenamiento persistente a través de Carpetas de inicio. Los archivos y carpetas se cifran en
tránsito mediante los puntos de enlace SSL de Amazon S3. Los archivos y carpetas se cifran en reposo mediante claves de cifrado
administradas por Amazon S3. Para más información, ver Habilite y administre el almacenamiento persistente para sus usuarios de
AppStream 2.0 Si los clientes optan por utilizar una solución de almacenamiento de terceros, son responsables de garantizar que la
configuración de esa solución sea coherente con la guía. Toda la comunicación de API pública con Amazon AppStream 2.0 se cifra
mediante TLS. Para obtener más información, consulte Documentación de Amazon AppStream 2.0.
Amazon Appstream 2.0 está integrado con AWS CloudTrail, un servicio que registra las llamadas a la API realizadas por o en
nombre de Amazon Appstream 2.0 en la cuenta de AWS del cliente y entrega los archivos de registro al bucket de Amazon S3
especificado. CloudTrail captura las llamadas a la API realizadas desde la consola de Amazon Appstream 2.0 o desde la API de
Amazon Appstream 2.0. Los clientes también pueden utilizar Amazon CloudWatch para registrar métricas de uso de recursos. Para
más información, ver Supervisión de los recursos de Amazon AppStream 2.0 y Inicio sesión
Llamadas a la API de AppStream 2.0 con AWS CloudTrail.
Métricas de AWS SDK
Los clientes empresariales pueden utilizar el agente de AWS CloudWatch con AWS SDK Metrics for Enterprise Support
(SDK Metrics) para recopilar métricas de AWS SDK en sus hosts y clientes. Estas métricas se comparten con AWS
Enterprise Support. Las métricas de SDK pueden ayudar a los clientes a recopilar métricas relevantes y datos de
diagnóstico sobre los
44
conexiones a los servicios de AWS sin agregar instrumentación personalizada a su código y reduce el trabajo manual
necesario para compartir registros y datos con AWS Support.
Las métricas del SDK son solamente disponible para los clientes de AWS con una suscripción a Enterprise Support. Los clientes
pueden utilizar SDK Metrics con cualquier aplicación que llame directamente a los servicios de AWS y que se haya creado con un AWS
SDK que sea una de las versiones enumeradas en la documentación de AWS Metrics ( Supervisar aplicaciones con métricas de AWS
SDK ).
SDK Metrics monitorea las llamadas que realiza AWS SDK y utiliza el agente de CloudWatch que se ejecuta en el
mismo entorno que una aplicación cliente.
El agente de CloudWatch cifra los datos en tránsito desde la máquina local para su entrega en el grupo de registros de destino. El
grupo de registros se puede configurar para que se cifre siguiendo las instrucciones en Cifre los datos de registro en los registros de
CloudWatch con AWS KMS .
Intercambio de datos de AWS
AWS Data Exchange facilita la búsqueda, suscripción y uso de datos de terceros en la nube. Una vez suscritos a un
producto de datos, los clientes pueden utilizar la API de AWS Data Exchange para cargar datos directamente en Amazon
S3 y luego analizarlo con una amplia variedad de AWS
analítica y aprendizaje automático servicios. Para los proveedores de datos, AWS Data Exchange facilita el acceso a los millones de
clientes de AWS que migran a la nube al eliminar la necesidad de crear y mantener una infraestructura para el almacenamiento, la
entrega, la facturación y la autorización de datos.
AWS Data Exchange siempre cifra todos los productos de datos almacenados en el servicio en reposo sin requerir ninguna
configuración adicional. Este cifrado se realiza automáticamente a través de una clave KMS administrada por el servicio. AWS Data
Exchange utiliza la seguridad de la capa de transporte
(TLS) y cifrado del lado del cliente para cifrado en tránsito. Comunicación con datos de AWS
El intercambio siempre se realiza a través de HTTPS, por lo que los datos del cliente siempre se cifran en tránsito. Este
cifrado se configura de forma predeterminada cuando los clientes utilizan AWS Data Exchange. Para más información, ver Protección
de datos en AWS Data Exchange .
AWS Data Exchange está integrado con AWS CloudTrail. AWS CloudTrail captura todas las llamadas a las API de AWS Data
Exchange como eventos, incluidas las llamadas desde la consola de AWS Data Exchange y desde las llamadas de código a las
operaciones de la API de AWS Data Exchange. Algunas acciones que pueden realizar los clientes son acciones solo de consola.
No hay una API correspondiente en AWS SDK o AWS CLI. Estas son acciones que dependen de la funcionalidad de AWS
Marketplace, como publicar o suscribirse a un producto. Intercambio de datos de AWS
45
proporciona registros de CloudTrail para un subconjunto de estas acciones exclusivas de la consola. Para más información, ver Registro
de llamadas a la API de AWS Data Exchange con AWS CloudTrail.
Todos los listados que utilizan AWS Data Exchange deben cumplir con las normas de AWS Data Exchange. Directrices de publicación y Preguntas
frecuentes sobre AWS Data Exchange para los proveedores de AWS Marketplace, que restringen determinadas categorías de datos. Para más
información, ver Datos de AWS Preguntas frecuentes sobre el intercambio .
Amazon Managed Streaming para Apache Kafka (MSK)

Amazon MSK proporciona funciones de cifrado para datos en reposo y para datos en tránsito. Para el cifrado de datos en reposo, el clúster
de Amazon MSK utiliza el cifrado del lado del servidor de Amazon EBS y las claves de AWS KMS para cifrar los volúmenes de
almacenamiento. Para los datos en tránsito, los clústeres de Amazon MSK tienen el cifrado habilitado a través de TLS para la comunicación
entre agentes.
La configuración de cifrado se habilita cuando se crea un clúster. Además, de forma predeterminada, el cifrado en tránsito se establece
en TLS para los clústeres creados desde la CLI o la consola de AWS. Se requiere una configuración adicional para que los clientes se
comuniquen con los clústeres mediante el cifrado TLS. Los clientes pueden cambiar la configuración de cifrado predeterminada
seleccionando la configuración de TLS / texto sin formato. Para más información, ver Cifrado de Amazon MSK.
Los clientes pueden monitorear el desempeño de los clústeres de clientes usando la consola de Amazon MSK, la consola de
Amazon CloudWatch, o los clientes pueden acceder a las métricas de host y JMX usando Open Monitoring con Prometheus,
una solución de monitoreo de código abierto.
Herramientas diseñadas para leer Prometeo los exportadores son compatibles con Open Monitoring, como: Datadog , Lentes , Nueva
Reliquia , Sumológico , o un servidor Prometheus. Para obtener detalles sobre la supervisión abierta, consulte Documentación de
Amazon MSK Open Monitoring .
Tenga en cuenta que la versión predeterminada de Apache Zookeeper incluida con Apache Kafka no admite el cifrado.
Sin embargo, es importante tener en cuenta que las comunicaciones entre los agentes de Apache Zookeeper y Apache
Kafka se limitan a la información del agente, el tema y el estado de la partición. La única forma en que se pueden producir
y consumir datos desde un clúster de Amazon MSK es a través de una conexión privada entre sus clientes en su VPC y el
clúster de Amazon MSK. Amazon MSK no admite puntos finales públicos.
Amazon Pinpoint
Amazon Pinpoint ofrece a los desarrolladores una única capa de API, compatibilidad con CLI y compatibilidad con SDK del lado del cliente para
ampliar los canales de comunicación de aplicaciones con los usuarios. Los canales elegibles
46
incluyen: correo electrónico, mensajería de texto SMS, notificaciones push móviles y canales personalizados. Amazon Pinpoint también
proporciona un sistema de análisis que rastrea el comportamiento del usuario de la aplicación y la participación del usuario. Con este servicio,
los desarrolladores pueden aprender cómo cada usuario prefiere participar y pueden personalizar la experiencia del usuario para aumentar la
satisfacción del usuario.
Amazon Pinpoint también ayuda a los desarrolladores a abordar múltiples casos de uso de mensajería, como mensajería directa o
transaccional, mensajería dirigida o de campaña y mensajería basada en eventos. Al integrar y habilitar todos los canales de
participación del usuario final a través de Amazon Pinpoint, los desarrolladores pueden crear una vista de 360 grados de la
participación del usuario en todos los puntos de contacto con el cliente. Amazon Pinpoint almacena datos de eventos, endpoints y
usuarios para que los clientes puedan crear segmentos, enviar mensajes a los destinatarios y capturar datos de participación.
Amazon Pinpoint cifra los datos tanto en reposo como en tránsito. Para obtener más información, consulte Preguntas frecuentes
sobre Amazon Pinpoint. Si bien Amazon Pinpoint cifra todos los datos en reposo y en tránsito, es posible que el canal final,
como SMS o correo electrónico, no esté cifrado, y los clientes deben configurar cualquier canal de forma coherente con sus
requisitos.
Además, los clientes que necesitan enviar PHI a través del canal SMS deben usar un código corto dedicado (números de
teléfono de origen de 5, 6 dígitos) con el propósito explícito de enviar PHI. Para obtener más información sobre cómo solicitar
un código corto, consulte Solicitud de códigos cortos dedicados para mensajería SMS con Amazon Pinpoint. Los clientes
también pueden optar por no enviar PHI a través del canal final y, en cambio, proporcionar un mecanismo para acceder de
forma segura a PHI a través de HTTPS.
Las llamadas a la API a Amazon Pinpoint se pueden capturar mediante AWS CloudTrail. Las llamadas capturadas incluyen
las de la consola de Amazon Pinpoint y las llamadas de código a las operaciones de la API de Amazon Pinpoint. Si los
clientes crean un rastro, los clientes pueden habilitar la entrega continua de eventos de AWS CloudTrail a un bucket de
Amazon S3, incluidos los eventos para Amazon Pinpoint. Si los clientes no configuran una ruta, aún pueden ver los eventos
más recientes utilizando el historial de eventos en la consola de AWS CloudTrail. Con la información recopilada por AWS
CloudTrail, los clientes pueden determinar si la solicitud se realizó a Amazon Pinpoint, la dirección IP de la solicitud, quién
realizó la solicitud, cuándo se realizó la solicitud y detalles adicionales. Para obtener más información, consulte Registro de
llamadas a la API de Amazon Pinpoint con AWS CloudTrail.
47
Amazon Lex
Amazon Lex es un servicio de AWS para crear interfaces de conversación para aplicaciones que utilizan voz y texto. Con
Amazon Lex, el mismo motor de conversación que impulsa a Amazon Alexa ahora está disponible para cualquier
desarrollador, lo que permite a los clientes crear sofisticados chatbots de lenguaje natural en sus aplicaciones nuevas y
existentes. Amazon Lex proporciona la funcionalidad y la flexibilidad profundas de la comprensión del lenguaje natural
(NLU) y el reconocimiento automático de voz (ASR) para que los clientes puedan crear experiencias de usuario muy
atractivas con interacciones de conversación realistas y crear nuevas categorías de productos.
Lex utiliza el protocolo HTTPS para comunicarse tanto con los clientes como con otros servicios de AWS. El acceso a Lex
se basa en API y se pueden aplicar los privilegios mínimos de IAM correspondientes. Para más información, ver Protección
de datos en Amazon Lex .
La supervisión es importante para mantener la fiabilidad, la disponibilidad y el rendimiento de los chatbots de Amazon Lex del cliente.
Para realizar un seguimiento del estado de los bots de Amazon Lex, utilice Amazon CloudWatch. Con CloudWatch, los clientes pueden
obtener métricas para operaciones individuales de Amazon Lex o para operaciones globales de Amazon Lex para su cuenta. Los
clientes también pueden configurar alarmas de CloudWatch para recibir notificaciones cuando una o más métricas superen un umbral
definido por los clientes. Por ejemplo, los clientes pueden monitorear la cantidad de solicitudes realizadas a un bot durante un período
de tiempo en particular, ver la latencia de solicitudes exitosas o generar una alarma cuando los errores exceden un umbral. Lex
también está integrado con AWS CloudTrail para registrar las llamadas a la API de Lex. Para más información, ver Monitoreo en
Amazon Lex .
Servicio de correo electrónico simple de Amazon (SES)
Amazon Simple Email Services (Amazon SES) es un servicio de envío y recepción de correo electrónico flexible y
altamente escalable. Admite los protocolos S / MIME y PGP para cifrar mensajes para un cifrado completo de un extremo
a otro, y toda la comunicación con Amazon SES está protegida mediante SSL (TLS 1.2). Los clientes tienen la opción de
almacenar mensajes cifrados en reposo configurando Amazon SES para recibir y cifrar mensajes antes de almacenarlos
en un bucket de Amazon S3. Para obtener más información, consulte Cómo Amazon Simple Email Service (Amazon SES)
usa AWS KMS para obtener más información sobre el cifrado de mensajes para el almacenamiento. Los mensajes se
protegen en tránsito a Amazon SES a través de un punto de enlace HTTPS o una conexión SMTP cifrada.
Para los mensajes enviados desde Amazon SES a un receptor, Amazon SES primero intentará establecer una conexión
segura con el servidor de correo receptor, pero si es una conexión segura
48
no se puede establecer, enviará el mensaje sin cifrar. Para requerir el cifrado para la entrega a un receptor, los
clientes deben crear un conjunto de configuración en Amazon SES y usar la AWS CLI para establecer la propiedad
TlsPolicy en Exigir. Para más información, ver
Amazon SES y protocolos de seguridad . Amazon SES se integra con AWS CloudTrail para monitorear todas las llamadas
a la API. Con la información recopilada por AWS CloudTrail, los clientes pueden determinar si la solicitud se realizó a
Amazon SES, la dirección IP de la solicitud, quién realizó la solicitud, cuándo se realizó la solicitud y detalles adicionales.
Para más información, ver Registro de llamadas a la API de Amazon SES con AWS CloudTrail . Amazon SES también
proporciona métodos para monitorear la actividad de envío, como envíos, rechazos, tasas de rebote, entregas, aperturas y
clics. Para más información, ver Supervisión de la actividad de envío de Amazon SES .
Pronóstico del Amazonas
Amazon Forecast es un servicio completamente administrado que utiliza el aprendizaje automático para brindar pronósticos
de alta precisión. Basado en la misma tecnología de pronóstico de aprendizaje automático que usa Amazon.com. Cada
interacción que los clientes tienen con Amazon Forecast está protegida por cifrado. Cualquier contenido procesado por
Amazon Forecast se cifra con las claves del cliente a través de Amazon Key Management Service y se cifra en reposo en la
región de AWS donde los clientes utilizan el servicio.
Amazon Forecast está integrado con AWS CloudTrail, un servicio que proporciona un registro de las acciones realizadas por un
usuario, función o un servicio de AWS en Amazon Forecast. CloudTrail captura todas las llamadas a la API para Amazon Forecast
como eventos. Las llamadas capturadas incluyen llamadas desde la consola de Amazon Forecast y llamadas de código a las
operaciones de la API de Amazon Forecast. Si los clientes crean un rastro, los clientes pueden habilitar la entrega continua de
eventos de CloudTrail a un bucket de Amazon S3, incluidos los eventos para Amazon Forecast. Para más información, ver Registro
de llamadas a la API de Forecast con AWS CloudTrail.
De forma predeterminada, los archivos de registro entregados por CloudTrail a su depósito están encriptados por Amazon
Cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 (SSE-S3) . Para proporcionar una capa de seguridad que se
pueda administrar directamente, los clientes pueden utilizar lado del servidor
cifrado con claves administradas por AWS KMS (SSE-KMS) para sus archivos de registro de CloudTrail.
Al habilitar el cifrado del lado del servidor, se cifran los archivos de registro, pero no los archivos de resumen con SSEKMS. Los archivos de
resumen están cifrados con Claves de cifrado administradas por Amazon S3 (SSES3) .
49
AWS Forecast importa y exporta datos desde / hacia los buckets S3. Al importar y exportar datos de Amazon S3,
los clientes deben asegurarse de que los buckets de S3 estén configurados de manera coherente con la guía. Ver Empezando
para más información.
Base de datos de contabilidad de Amazon Quantum (QLDB)
Amazon QLDB es una base de datos de contabilidad completamente administrada que proporciona un registro de transacciones transparente,
inmutable y verificable criptográficamente propiedad de una autoridad central de confianza. Amazon QLDB rastrea todos y cada uno de los
cambios en los datos de las aplicaciones y mantiene un historial completo y verificable de los cambios a lo largo del tiempo. Los datos que
contienen PHI ahora se pueden retener en una instancia de QLDB. De forma predeterminada, todos los datos de Amazon QLDB en tránsito y
en reposo están cifrados. Los datos en tránsito se cifran mediante TLS y los datos en reposo se cifran mediante claves administradas por AWS.
Para fines de protección de datos, recomendamos que los clientes protejan las credenciales de las cuentas de AWS y configuren cuentas de
usuario individuales con AWS Identity and Access Management (IAM), de modo que a cada usuario se le otorguen solo los permisos
necesarios para cumplir con sus obligaciones laborales. Para obtener más información, consulte: Protección de datos en Amazon QLDB.
Amazon QLDB está integrado con AWS CloudTrail, un servicio que proporciona un registro de las acciones realizadas por un
usuario, función o un servicio de AWS en QLDB. CloudTrail captura todas las llamadas a la API del plano de control para
QLDB como eventos. Las llamadas que se capturan incluyen llamadas desde la consola QLDB y llamadas de código a las
operaciones de la API QLDB. Si los clientes crean un rastro, los clientes pueden habilitar la entrega continua de eventos de
CloudTrail a un bucket de Amazon Simple Storage Service (Amazon S3), incluidos los eventos para QLDB. Si los clientes no
configuran una ruta, los clientes aún pueden ver los eventos más recientes en la consola de CloudTrail en el historial de
eventos. Con la información recopilada por CloudTrail, los clientes pueden determinar la solicitud que se realizó a QLDB, la
dirección IP desde la que se realizó la solicitud, quién realizó la solicitud, cuándo se realizó y detalles adicionales.
50
Auditoría, copias de seguridad y recuperación ante desastres

La regla de seguridad de HIPAA tiene requisitos detallados relacionados con capacidades de auditoría en profundidad, procedimientos de
respaldo de datos y mecanismos de recuperación ante desastres. Los servicios de AWS contienen muchas características que ayudan a los
clientes a abordar sus requisitos. Por ejemplo, los clientes deben considerar el establecimiento de capacidades de auditoría para permitir que
los analistas de seguridad examinen registros o informes de actividad detallados para ver quién tuvo acceso, la entrada de la dirección IP, a
qué datos se accedió, etc.
Estos datos deben ser rastreados, registrados y almacenados en una ubicación central durante períodos prolongados, en caso de una auditoría.
Con Amazon EC2, los clientes pueden ejecutar archivos de registro de actividad y auditorías hasta la capa de paquetes en sus servidores
virtuales, tal como lo hacen en el hardware tradicional. También pueden rastrear cualquier tráfico IP que llegue a su instancia de servidor virtual.
Los administradores de un cliente pueden hacer una copia de seguridad de los archivos de registro en Amazon S3 para un almacenamiento
confiable a largo plazo.
La HIPAA también tiene requisitos detallados relacionados con el mantenimiento de un plan de contingencia para proteger los
datos en caso de una emergencia y debe crear y mantener copias exactas recuperables de la PHI electrónica. Para implementar
un plan de respaldo de datos en AWS, Amazon EBS ofrece almacenamiento persistente para instancias de servidor virtual
Amazon EC2. Estos volúmenes se pueden exponer como dispositivos de bloque estándar y ofrecen almacenamiento fuera de la
instancia que persiste independientemente de la vida de una instancia. Para alinearse con las pautas de HIPAA, los clientes
pueden crear instantáneas puntuales de los volúmenes de Amazon EBS que se almacenan automáticamente en Amazon S3 y se
replican en varias zonas de disponibilidad, que son ubicaciones distintas diseñadas para aislarse de fallas en otras zonas de
disponibilidad.
Se puede acceder a estas instantáneas en cualquier momento y pueden proteger los datos para una durabilidad a largo plazo. Amazon S3
también proporciona una solución de alta disponibilidad para el almacenamiento de datos y copias de seguridad automatizadas. Con solo
cargar un archivo o una imagen en Amazon S3, se crean y almacenan automáticamente múltiples copias redundantes en centros de datos
separados. Se puede acceder a estos archivos en cualquier momento, desde cualquier lugar (según los permisos) y se almacenan hasta que
se eliminan intencionalmente.
Además, AWS ofrece de forma inherente una variedad de mecanismos de recuperación ante desastres. La recuperación ante
desastres, el proceso de proteger los datos de una organización y la infraestructura de TI en tiempos de desastre, implica mantener
sistemas altamente disponibles, mantener tanto los datos como el sistema replicados fuera del sitio y permitir el acceso continuo a
ambos.
1
Con Amazon EC2, los administradores pueden iniciar instancias de servidor muy rápidamente y pueden usar una dirección IP elástica
(una dirección IP estática para el entorno de computación en la nube) para una conmutación por error ordenada de una máquina a otra.
Amazon EC2 también ofrece zonas de disponibilidad. Los administradores pueden lanzar instancias de Amazon EC2 en varias zonas
de disponibilidad para crear sistemas tolerantes a fallas y geográficamente diversos que sean altamente resistentes en caso de fallas
en la red, desastres naturales y la mayoría de las otras fuentes probables de tiempo de inactividad.
Con Amazon S3, los datos de un cliente se replican y almacenan automáticamente en centros de datos separados para proporcionar un
almacenamiento de datos confiable diseñado para brindar una disponibilidad del 99,99%. Para obtener más información sobre la recuperación
ante desastres, consulte el documento técnico de AWS Disaster Recovery disponible en Recuperación de desastres .
Revisiones de documentos
Fecha Descripción
Agosto de 2020 Sección agregada sobre AWS App Mesh, contenido actualizado de AWS System
Manager.
Enero de 2020 Se agregaron secciones en Amazon CloudWatch, Amazon CloudWatch Events,

Amazon Kinesis Data Firehose, Amazon Kinesis Data Analytics, Amazon
Elasticsearch Service, Amazon DocumentDB (con compatibilidad con MongoDB),
AWS Mobile Hub, AWS IoT Greengrass, AWS OpsWorks para Chef Automate,
AWS OpsWorks para Puppet Enterprise, AWS Transfer para SFTP, AWS
DataSync, AWS Global Accelerator, Amazon Comprehend Medical, AWS
RoboMaker y Alexa for Business.
Enero de 2019 Se agregaron secciones sobre Amazon Comprehend, Amazon Transcribe, Amazon
Translate y AWS Certificate Manager.
Noviembre de 2018 Se agregaron secciones sobre Amazon Athena, Amazon EKS, AWS IoT Core y
AWS IoT Device Management, Amazon FreeRTOS, Amazon GuardDuty,
Amazon Neptune, AWS Server Migration Service, AWS Database Migration
Service, Amazon MQ y AWS Glue.
2
Fecha Descripción
Junio de 2018 Se agregaron secciones sobre Amazon Elastic File System (EFS), Amazon Kinesis
Video Streams, Amazon Rekognition, Amazon SageMaker, Amazon Simple
Workflow, AWS Secrets Manage, AWS Service Catalog y AWS Step Functions.
Abril de 2018 Se agregaron secciones sobre AWS CloudFormation, AWS X-Ray, AWS
CloudTrail, AWS CodeBuild, AWS CodeCommit, AWS Config y AWS OpsWorks
Stack.
Enero de 2018 Sección agregada sobre AWS Fargate.
Noviembre de 2017 Se agregaron secciones sobre Amazon EC2 Container Registry, Amazon Macie,
Amazon QuickSight y AWS Managed Services.
Noviembre de 2017 Se agregaron secciones en Amazon ElastiCache para Redis y Amazon CloudWatch.
Octubre de 2017 Se agregaron secciones sobre Amazon SNS, Amazon Route 53, AWS Storage
Gateway, AWS Snowmobile y AWS CloudHSM. Sección actualizada sobre AWS
Key Management Service.
Septiembre de 2017 Se agregaron secciones sobre Amazon Connect, Amazon Kinesis Streams,
Amazon RDS (Maria) DB, Amazon RDS SQL Server, AWS Batch, AWS Lambda,
AWS Snowball Edge y la función Lambda @ Edge de Amazon CloudFront.
Agosto de 2017 Se agregaron secciones sobre Amazon EC2 Systems Manager y Amazon
Inspector.
Julio de 2017 Se agregaron secciones sobre Amazon WorkSpaces, Amazon WorkDocs, AWS
Directory Service y Amazon ECS.
Junio de 2017 Se agregaron secciones sobre Amazon CloudFront, AWS WAF, AWS Shield y
Amazon S3 Transfer Acceleration.
Mayo de 2017 Se eliminó el requisito de instancias dedicadas o hosts dedicados para

procesar PHI en EC2 y EMR.
Marzo de 2017 Lista actualizada de servicios para apuntar a los servicios de AWS en el alcance por
página del programa de cumplimiento. Descripción agregada para Amazon API
Gateway.
3
Fecha Descripción
Enero de 2017 Actualizado a la plantilla más nueva.
Octubre de 2016 Primera publicacion

AWS HIPAA Compliance Whitepaper - En.es

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

AWS HIPAA Compliance Whitepaper - En.es

Cargado por

Copyright:

Formatos disponibles

Arquitectura para la seguridad y el

cumplimiento de HIPAA en Amazon

AWS KMS ................................................ .................................................. .......................... 2

Amazon EC2 ................................................ .................................................. .................. 2

Administrador de sistemas de AWS ............................................... .................................................. ..3

Nube privada virtual de Amazon .............................................. ............................................ 3

Tienda Amazon Elastic Block .............................................. ............................................... 4

Amazon Redshift ................................................ .................................................. ............ 4

Amazon S3 ................................................ .................................................. ..................... 4

Aceleración de transferencia de Amazon S3 .............................................. ..................................... 5

Amazon SNS ................................................ .................................................. .................. 5

Amazon SQS ................................................ .................................................. .................. 6

Glaciar Amazon S3 ............................................... .................................................. ......... 7

Amazon RDS para MySQL .............................................. .................................................. .7

Amazon RDS para Oracle .............................................. .................................................. ..8

Amazon RDS para PostgreSQL .............................................. ........................................... 8

Amazon RDS para SQL Server ............................................. ............................................. 9

Amazon RDS para MariaDB .............................................. ............................................... 10

Amazon Aurora ................................................ .................................................. ............ 10

Malla de aplicaciones de AWS ............................................... .................................................. ............. 11

Amazon CloudFront ................................................ .................................................. ..... 11

Equilibrio de carga elástico ............................................... .................................................. ..12

Amazon ECS ................................................ .................................................. ................ 12

Amazon EMR ................................................ .................................................. ............... 13

Amazon DynamoDB ................................................ .................................................. ..... 13

Amazon API Gateway ............................................... .................................................. ... 14

AWS Storage Gateway ............................................... .................................................. .15

Escudo AWS ................................................ .................................................. ......................dieciséis

AWS Snowball ................................................ .................................................. .................dieciséis

AWS Snowball Edge ............................................... .................................................. ........ 17

AWS Snowmobile ................................................ .................................................. ............ 17

AWS WAF: firewall de aplicaciones web ............................................ ................................. 18

Servicio de directorio de AWS ............................................... .................................................. ..... 18

Amazon WorkSpaces ................................................ .................................................. ...... 19

Amazon WorkDocs ................................................ .................................................. .......... 19

Inspector de Amazon ................................................ .................................................. ............ 20

Secuencias de Amazon Kinesis ............................................... .................................................. .20

AWS Lambda ................................................ .................................................. ................... 20

Lote de AWS ................................................ .................................................. ....................... 21

Amazon Connect ................................................ .................................................. ............. 21

Ruta Amazónica 53 ............................................... .................................................. ............. 22

AWS CloudHSM ................................................ .................................................. .............. 22

Amazon ElastiCache para Redis .............................................. ........................................... 22

Amazon CloudWatch ................................................ .................................................. ....... 24

Registro de contenedores elásticos de Amazon .............................................. .................................... 25

Amazon QuickSight ................................................ .................................................. ......... 25

Servicios administrados por AWS ............................................... .................................................. ..25

AWS Fargate ................................................ .................................................. ................... 26

AWS CloudFormation ................................................ .................................................. ...... 26

Mapa de la nube de AWS ............................................... .................................................. ............... 27

AWS X-Ray .............................................. .................................................. ........................ 27

AWS CloudTrail ................................................ .................................................. ............... 27

AWS CodeBuild ................................................ .................................................. ............... 28

AWS CodeCommit ................................................ .................................................. .......... 29

Pila de AWS OpsWorks ............................................... .................................................. ..... 29

Amazon Elastic File System (EFS) ........................................... ........................................ 30

Secuencias de video de Amazon Kinesis .............................................. .......................................... 30

Amazon Rekognition ................................................ .................................................. ....... 31

Amazon SageMaker ................................................ .................................................. ........ 31

Servicio de flujo de trabajo simple de Amazon .............................................. ...................................... 32

Administrador de secretos de AWS ............................................... .................................................. ..... 32

Catálogo de servicios de AWS ............................................... .................................................. ....... 32

Funciones de paso de AWS ............................................... .................................................. ........ 33