Hébergeur de Données de Santé

A certificação HDS fornece a garantia necessária de segurança das informações para empresas que desejam hospedar os dados de saúde de cidadãos franceses na nuvem.

Introduzida pela Agence du Numérique en Santé (ANS) em 2024, a versão 2.0 do HDS fortalece a segurança e a proteção dos dados pessoais de saúde regidos pela legislação francesa. As principais mudanças incluem:

• Requisitos de soberania de dados que exigem que o armazenamento de dados de saúde (Atividades 1 e 2) ocorra exclusivamente dentro do Espaço Econômico Europeu (EEA).
• Obrigações de transparência aprimoradas em relação a subprocessadores e possível exposição à legislação não europeia.
• Alinhamento com os padrões europeus de cibersegurança e requisitos reforçados de portabilidade/reversibilidade de dados.

De acordo com o modelo de responsabilidade compartilhada, é responsabilidade de nossos clientes avaliar seus próprios requisitos de compatibilidade, incluindo o impacto da HDS versão 2.0. Os requisitos da HDS estão disponíveis no site da ANS.

A certificação HDS v1.1 foi substituída pela certificação v2.0 obtida por meio da auditoria de transição. A AWS agora está certificada de acordo com a estrutura v2.0 atual.

Sim. A AWS possui a certificação HDSv2 em 27 regiões. Para clientes sujeitos ao requisito de residência de dados do EEE das Atividades 1 e 2, as seis regiões do EEE (Frankfurt, Irlanda, Milão, Paris, Estocolmo, Espanha) garantem conformidade ininterrupta além do prazo de transição obrigatório de 16 de maio de 2026. Todas as 27 regiões certificadas permanecem elegíveis para as Atividades 3—6.

A AWS obteve a certificação HDSv2 em 21 de abril de 2026, abrangendo todas as seis atividades da estrutura HDS:

• Atividades 1 e 2 — Infraestrutura física (somente regiões do EEE)
      1. Fornecimento e manutenção em condições operacionais das instalações físicas destinadas a abrigar a infraestrutura de hardware do sistema de informação utilizado para o processamento de dados de saúde.
      2. Fornecimento e manutenção em condições operacionais da infraestrutura de hardware do sistema de informação utilizado para o processamento de dados de saúde.
• Atividades 3–6 — Infraestrutura virtual, plataforma, operações e backups (todas as 27 regiões certificadas)
      3. Fornecimento e manutenção em condições operacionais da infraestrutura virtual do sistema de informação utilizado para o processamento de dados de saúde.
      4. Provisão e manutenção em condições operacionais da plataforma para hospedagem de aplicativos do sistema de informação.
      5. Administração e operação do sistema de informações contendo dados de saúde
      6. Backup de dados de saúde

Importante — Residência de dados para hospedagem física (Atividades 1 e 2): De acordo com a estrutura HDSv2, as Atividades 1 e 2 exigem que os dados de saúde sejam armazenados fisicamente exclusivamente no Espaço Econômico Europeu (EEA). Isso significa que, se você estiver sujeito aos requisitos do HDS, seus dados de saúde em repouso devem residir em uma das regiões do EEE listadas abaixo. As atividades 3 a 6 (infraestrutura virtual, hospedagem de plataforma, administração/operação e backups) não estão sujeitas a essa restrição geográfica e podem ser realizadas de qualquer região certificada.

Europa (EEE) — elegível para todas as atividades (1—6)

• Europa (Frankfurt, Alemanha)
• Europa (Irlanda)
• Europa (Milão, Itália)
• Europa (Paris, França)
• Europa (Espanha)
• Europa (Estocolmo, Suécia)

Europa (fora do EEE) — elegível somente para as atividades 3 a 6

• Europa (Londres, Reino Unido)
• Europa (Zurique, Suíça)

Américas — elegível somente para as atividades 3 a 6

• Leste dos EUA (Norte da Virgínia)
• Leste dos EUA (Ohio)
• Oeste dos EUA (Oregon)
• Oeste dos EUA (Norte da Califórnia)
• Canadá (Central)
• Oeste do Canadá (Calgary)
• América do Sul (São Paulo, Brasil)

Ásia-Pacífico e Oceania — elegível somente para as atividades 3 a 6

• Ásia-Pacífico (Tóquio, Japão)
• Ásia-Pacífico (Sydney, Austrália)
• Ásia-Pacífico (Melbourne, Austrália)
• Ásia-Pacífico (Singapura)
• Ásia-Pacífico (Mumbai, Índia)
• Ásia-Pacífico (Seul, Coreia do Sul)
• Ásia-Pacífico (Hong Kong)
• Ásia-Pacífico (Jacarta, Indonésia)
• Ásia-Pacífico (Osaka, Japão)
• Ásia-Pacífico (Hyderabad, Índia)

Oriente Médio e Israel — elegíveis somente para as atividades 3 a 6

• Oriente Médio (Dubai, Emirados Árabes Unidos)
• Israel (Tel Aviv)

Para receber a certificação HDS, um provedor de TI deve ter a certificação ISO 27001. Os serviços cobertos pela certificação ISO 27001 da AWS estão incluídos no escopo da HDS. Os serviços da AWS no escopo da ISO/IEC 27001:2022 podem ser encontrados na página da Web com certificação ISO.

De acordo com o modelo de responsabilidade compartilhada, é responsabilidade de nossos clientes avaliar seus próprios requisitos de compatibilidade. Consulte o site da ANS para ver mais detalhes. A norma HDS pode ser encontrada no site da ANS.

De acordo com o modelo de responsabilidade compartilhada, a certificação HDS da AWS demonstra a “segurança da nuvem” e permite que os clientes concentrem seus recursos em itens relacionados à “segurança na nuvem” durante o processo de certificação HDS.

Sim. O certificado AWS HDSv2 pode ser baixado do AWS Artifact. A lista de anfitriões certificados pode ser encontrada no site da ANS.

A AWS European Sovereign Cloud ainda não está incluída no escopo da certificação HDS v2.0. A região obteve certificações de conformidade fundamentais (ISO 27001, SOC 2, C5), e a AWS está avaliando a inclusão dessa região no escopo da certificação da HDS. Uma atualização adicional será fornecida oportunamente.

A referência centralizada para todos os processadores que participam de atividades de hospedagem certificadas pela HDS está disponível na página de subprocessadores da AWS. Além disso, os clientes podem acessar a verificação da certificação pelo site da ANS, que fornece o status oficial da certificação e detalhes sobre os subcontratados envolvidos nas atividades de hospedagem certificadas pela HDS.

Isso garante que os clientes tenham acesso claro e centralizado para verificar a conformidade e o status da certificação de todos os subcontratados que tratam de dados de saúde na infraestrutura da AWS em conformidade com a HDS.

A AWS mantém mecanismos abrangentes de portabilidade de dados e controle pelo cliente, permitindo que estes recuperem seus dados de saúde em diversos formatos padrão do setor e migrem workloads utilizando métodos bem documentados.

Propriedade e controle dos dados dos clientes

De acordo com o Modelo de Responsabilidade Compartilhada da AWS, o Contrato de Cliente da AWS (Seção 6.1) e o Adendo HDS v2 (Seção 12), os clientes mantêm a propriedade e o controle total sobre seus conteúdos. A AWS oferece a possibilidade de recuperar dados a qualquer momento utilizando os recursos nativos do serviço da AWS, sem que seja necessário solicitar assistência da AWS.

Principais recursos de portabilidade

• Cláusulas contratuais: O Código de Saúde Pública francês exige a execução de condições contratuais específicas entre o hospedeiro de dados de saúde e seus clientes. Os clientes da AWS podem consultar o Adendo de Processamento de Dados da AWS (AWS DPA) e os termos específicos aplicáveis.
• Saúde e ciências biológicas: a AWS oferece arquiteturas de referência, guias de melhores práticas e soluções especializadas para o setor de saúde. Saiba mais na AWS for Health.
• AWS Landing Zone Accelerator for Healthcare: uma implementação de referência para a implantação de infraestrutura compatível com a HDS. Saiba mais no GitHub.