De acuerdo con Amazon AWS
Los clientes pueden usar cualquier servicio de AWS en una cuenta designada como una cuenta HIPAA, pero solo deben procesar, almacenar y transmitir PHI en los servicios elegibles para HIPAA definidos en BAA. Hoy hay diez servicios elegibles para HIPAA, incluidos AWS Snowball, Amazon DynamoDB, Amazon EBS, Amazon EC2, Amazon Elastic MapReduce (EMR), Amazon Elastic Load Balancing (ELB), Amazon Glacier, Amazon Relational Database Service (RDS) [MySQL, Oracle y motores PostgreSQL solamente], Amazon Aurora [solo edición compatible con MySQL], Amazon Redshift y Amazon S3.
fuente: https://aws.amazon.com/compliance/hipaa-compliance/
Esto significa que mientras no esté almacenando o transmitiendo PHI en SQS, solo la información sobre dónde se almacena esta PHI, probablemente pueda pasar un registro de auditoría. Cumplimiento de HIPAA.
En la arquitectura que describe, la cola SQS no necesita incluir ningún contenido de PHI. Esto lo haría cumplir con la declaración anterior.
Más información sobre el cumplimiento de HIPAA en AWS está disponible en este documento de enero de 2017: https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf
Específicamente, SQS se menciona y explica en las Preguntas frecuentes de HIPAA: https://aws.amazon.com/blogs/security/frequency-asked-questions-about-hipaa-compliance-in-the-aws-cloud-part-two/ .
actualización : a partir del 1 de mayo de 2017, SQS ahora cumple con HIPAA. https://aws.amazon.com/about-aws/whats-new/2017/05/amazon-simple-queue-service-sqs-is-now-a-hipaa-eligible-service/