По данным Amazon AWS
Клиенты могут использовать любую услугу AWS в учетной записи, обозначенной как учетная запись HIPAA, но они должны обрабатывать, хранить и передавать PHI только в соответствующих HIPAA службах, определенных в BAA. Сегодня существует десять услуг, отвечающих требованиям HIPAA, включая AWS Snowball, Amazon DynamoDB, Amazon EBS, Amazon EC2, Amazon Elastic MapReduce (EMR), Amazon Elastic Load Balancing (ELB), Amazon Glacier, Amazon Relational Database Service (RDS) [MySQL, Oracle и только движки PostgreSQL], Amazon Aurora [только для MySQL-совместимого издания], Amazon Redshift и Amazon S3.
источник: https://aws.amazon.com/compliance/hipaa-compliance/
Это означает, что до тех пор, пока вы не храните и не передаете PHI в SQS, просто информацию о том, где хранится эта PHI, вы, вероятно, можете пройти аудиторскую проверку. Соответствие HIPAA.
В описываемой вами архитектуре очередь SQS не обязательно должна содержать какой-либо контент PHI. Это заставит его соответствовать приведенному выше заявлению.
Более подробная информация о соответствии HIPAA для AWS доступна в этом техническом документе с января 2017 года - https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf
В частности, SQS упоминается и объясняется в часто задаваемых вопросах HIPAA - https://aws.amazon.com/blogs/security/frequently-asked-questions-about-hipaa-compliance-in-the-aws-cloud-part-two/ .
обновление : с 1 мая 2017 года SQS теперь соответствует требованиям HIPAA. https://aws.amazon.com/about-aws/whats-new/2017/05/amazon-simple-queue-service-sqs-is-now-a-hipaa-eligible-service/