Hébergeur de Données de Santé

La certificación HDS brinda la garantía necesaria respecto a la seguridad de la información para compañías que quieren alojar datos sanitarios de ciudadanos franceses en la nube.

La versión 2.0 de HDS, presentada por la Agence du Numérique en Santé (ANS) en 2024, refuerza la seguridad y la protección de los datos sanitarios personales regidos por la legislación francesa. Entre los cambios clave se incluyen los siguientes:

• Requisitos de soberanía de los datos, que exigen que el almacenamiento de los datos sanitarios (actividades 1 y 2) se realice exclusivamente dentro del Espacio Económico Europeo (EEE).
• Obligaciones de transparencia mejoradas con respecto a los subtratadores y la posible exposición a la legislación no europea.
• Alineación con los estándares europeos de ciberseguridad y requisitos reforzados de portabilidad o reversibilidad de datos.

De acuerdo con el Modelo de responsabilidad compartida, es responsabilidad del cliente evaluar sus propios requisitos de cumplimiento, incluido el impacto de la versión 2.0 de HDS. Los requisitos de HDS se pueden encontrar en el sitio web de la ANS.

La certificación HDS v1.1 se reemplazó por la certificación v2.0 obtenida a través de la auditoría de transición. AWS ahora cuenta con la certificación según el marco actual de v.2.0.

Sí. AWS cuenta con la certificación HDSv2 en veintisiete regiones. Para los clientes sujetos al requisito de residencia de los datos del EEE para las actividades 1 y 2, las seis regiones del EEE (España, Estocolmo, Fráncfort, Irlanda, Milán y París) garantizan el cumplimiento ininterrumpido más allá de la fecha límite de transición obligatoria del 16 de mayo de 2026. Las veintisiete regiones certificadas siguen siendo elegibles para las actividades 3 a 6.

AWS obtuvo la certificación HDSv2 el 21 de abril de 2026, que abarca las seis actividades del marco de HDS:

• Actividades 1 y 2: infraestructura física (solo regiones del EEE)
      1. Aprovisionamiento y mantenimiento en condiciones operativas de sitios físicos para alojar la infraestructura del hardware del sistema de información utilizado para el tratamiento de datos sanitarios.
      2. Aprovisionamiento y mantenimiento en condiciones operativas de la infraestructura del hardware del sistema de información utilizado para el tratamiento de datos sanitarios.
• Actividades 3 a 6: infraestructura virtual, plataforma, operaciones y copias de seguridad (las veintisiete regiones certificadas)
      3. Aprovisionamiento y mantenimiento en condiciones operativas de la infraestructura virtual del sistema de información utilizado para el tratamiento de datos sanitarios.
      4. Aprovisionamiento y mantenimiento en condiciones operativas de la plataforma para alojar las aplicaciones del sistema de información.
      5. Administración y operación del sistema de información que contiene datos sanitarios.
      6. Copia de seguridad de datos sanitarios.

Importante: Residencia de los datos para el alojamiento físico (actividades 1 y 2): según el marco HDSv2, las actividades 1 y 2 requieren que los datos sanitarios se almacenen físicamente y de forma exclusiva dentro del Espacio Económico Europeo (EEE). Esto significa que, si está sujeto a los requisitos de HDS, sus datos sanitarios en reposo deben residir en una de las regiones del EEE que se indican a continuación. Las actividades 3 a 6 (infraestructura virtual, alojamiento de plataformas, administración u operación y copias de seguridad) no están sujetas a esta restricción geográfica y se pueden presar desde cualquier región certificada.

Europa (EEE): regiones elegibles para todas las actividades (1-6)

• Europa (Fráncfort, Alemania)
• Europa (Irlanda)
• Europa (Milán, Italia)
• Europa (París, Francia)
• Europa (España)
• Europa (Estocolmo, Suecia)

Europa (no EEE): regiones elegibles solo para las actividades 3 a 6

• Europa (Londres, Reino Unido)
• Europa (Zúrich, Suiza)

América: regiones elegibles solo para las actividades 3 a 6

• Este de EE. UU. (Norte de Virginia)
• EE.UU. Este (Ohio)
• EE.UU. Oeste (Oregón)
• EE.UU. Oeste (Norte de California)
• Canadá (centro)
• Oeste de Canadá (Calgary)
• América del Sur (São Paulo, Brasil)

Asia Pacífico y Oceanía: regiones elegibles solo para las actividades 3 a 6

• Asia-Pacífico (Tokio)
• Asia-Pacífico (Sídney, Australia)
• Asia-Pacífico (Melbourne, Australia)
• Asia-Pacífico (Singapur)
• Asia-Pacífico (Mumbai, India)
• Asia-Pacífico (Seúl, Corea del Sur)
• Asia-Pacífico (Hong Kong)
• Asia-Pacífico (Yakarta, Indonesia)
• Asia-Pacífico (Osaka, Japón)
• Asia-Pacífico (Hyderabad, India)

Medio Oriente e Israel: regiones elegibles solo para las actividades 3 a 6

• Medio Oriente (Dubái, Emiratos Árabes Unidos)
• Israel (Tel Aviv)

Para contar con la certificación HDS, un proveedor de TI debe tener la certificación ISO 27001. Los servicios cubiertos por la certificación ISO 27001 de AWS se incluyen en el ámbito de HDS. Los servicios de AWS en el ámbito de la norma ISO/IEC 27001:2022 se pueden encontrar en la página web Certificación ISO.

De acuerdo con el Modelo de responsabilidad compartida, es responsabilidad del cliente evaluar sus propios requisitos de cumplimiento. Consulte el sitio web de la ANS para obtener más información. El estándar de HDS se puede encontrar en el sitio web de la ANS.

Según el Modelo de responsabilidad compartida, la certificación HDS de AWS demuestra la “seguridad de la nube”, lo que permite que los clientes enfoquen sus recursos en los elementos relacionados con ella en relación con su proceso de certificación HDS.

Sí. La certificación HDSv2 de AWS puede descargarse en AWS Artifact. La lista de hosts certificados se puede encontrar en el sitio web de la ANS.

AWS European Sovereign Cloud aún no está incluida en el ámbito de la certificación HDS v2.0. La región obtuvo las certificaciones de cumplimiento fundacionales (ISO 27001, SOC 2, C5) y AWS está evaluando la inclusión de esta región en el ámbito de la certificación HDS. Se proporcionará una nueva actualización a su debido tiempo.

La referencia centralizada para todos los encargados del tratamiento que participan en las actividades de alojamiento con certificación HDS está disponible en la página Subtratadores de AWS. Además, los clientes pueden acceder a la verificación de la certificación a través del sitio web de la ANS, que proporciona el estado oficial de la certificación y los detalles de los subtratadores que participan en las actividades de alojamiento con certificación HDS.

Esto garantiza que los clientes dispongan de un acceso claro y centralizado para verificar el estado de cumplimiento y certificación de todos los subtratadores que manejan datos sanitarios en la infraestructura que cumple con HDS de AWS.

AWS mantiene mecanismos integrales de portabilidad de datos y control de clientes que permiten a los clientes recuperar sus datos sanitarios en varios formatos estándar del sector y migrar las cargas de trabajo mediante métodos bien documentados.

Propiedad y control de los datos de los clientes

Según el Modelo de responsabilidad compartida de AWS, el Contrato de cliente de AWS (sección 6.1) y el Anexo de HDS v2 (sección 12), los clientes conservan la propiedad y el control totales de su contenido. AWS ofrece la posibilidad de recuperar datos en cualquier momento mediante funcionalidades de servicio nativas, sin necesidad de la asistencia de AWS.

Funcionalidades clave de portabilidad

• Cláusulas contractuales: el Código de Salud Pública francés exige la ejecución de condiciones contractuales específicas entre el host de los datos sanitarios y sus clientes. Los clientes de AWS pueden consultar el Anexo de procesamiento de datos de AWS (AWS DPA) y las condiciones específicas aplicables.
• Ciencias biológicas y de la salud: AWS ofrece arquitecturas de referencia, guías de prácticas recomendadas y soluciones especializadas para el sector sanitario. Obtenga más información en AWS para la salud.
• Acelerador de zonas de aterrizaje en AWS para el sector sanitario: una implementación de referencia para implementar una infraestructura que cumpla con HDS. Obtenga más información en GitHub.