交换的最低可接受风险标准 (MARS-E)

美国医疗保险和医疗补助服务中心 (CMS) 汇编了一套包含指南、要求和模板的文档，称为交换的最低可接受风险标准 (MARS-E) 2.2 版。 这些文档遵循 2010 年《患者保护和平价护理法案 (ACA)》针对所有 ACA 管理实体的要求。具体而言，第 1 卷（《统一的安全和隐私权框架》）提供了成功管理 ACA 系统、数据和隐私权所需的安全和隐私控制。

经认证的第三方评估组织 (3PAO) 已证明，Google Cloud 符合 MARS-E 2.2 版标准的适用要求。虽然没有针对 MARS-E 的正式授权和认证流程，但 3PAO 将 MARS-E 安全和隐私控制措施目录中的控制措施与评估 FedRAMP 时进行的评估活动进行了比较，发现其涵盖范围很广。然后，3PAO 查看了最新的 FedRAMP 安全评估报告，以了解重叠的控制措施，并对 FedRAMP 未涵盖的其余控制措施进行独立测试。