Answers:
根据Amazon AWS
客户可以在指定为HIPAA账户的账户中使用任何AWS服务,但他们仅应在BAA中定义的符合HIPAA要求的服务中处理,存储和传输PHI。今天有十种符合HIPAA要求的服务,包括AWS Snowball,Amazon DynamoDB,Amazon EBS,Amazon EC2,Amazon Elastic MapReduce(EMR),Amazon Elastic Load Balancing(ELB),Amazon Glacier,Amazon Relational Database Service(RDS)[MySQL,仅Oracle和PostgreSQL引擎],Amazon Aurora [仅MySQL兼容版本],Amazon Redshift和Amazon S3。
来源:https : //aws.amazon.com/compliance/hipaa-compliance/
这意味着只要您不在SQS中存储或传输PHI,就仅存储有关该PHI的存储位置的信息-您可能可以通过审核规则。符合HIPAA。
在您描述的体系结构中,SQS队列不需要包含任何PHI内容。这将使其符合上述声明。
此白皮书自2017年1月起提供了有关AWS的HIPAA合规性的更多信息-https: //d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf
具体SQS被提及,并在HIPAA FAQ解释- https://aws.amazon.com/blogs/security/frequently-asked-questions-about-hipaa-compliance-in-the-aws-cloud-part-two/。
更新:从2017年5月1日起,SQS现在符合HIPAA。https://aws.amazon.com/about-aws/whats-new/2017/05/amazon-simple-queue-service-sqs-is-now-a-hipaa-eligible-service/