交换的最低可接受风险标准 (MARS-E)

美国医疗保险和医疗补助服务中心 (CMS) 汇编了一套包含指南、要求和模板的文档，称为交换的最低可接受风险标准 (MARS-E) 2.2 版。这些文档遵循 2010 年《患者保护和平价护理法案 (ACA)》针对所有 ACA 管理实体的要求。具体而言，第 1 卷（《统一的安全和隐私权框架》）提供了成功管理 ACA 系统、数据和隐私权所需的安全和隐私控制。

经认证的第三方评估组织 (3PAO) 已证明，Google Cloud 符合 MARS-E 2.2 版标准的适用要求。 虽然 MARS-E 没有正式的授权和认证流程，但 3PAO 比较了 MARS-E 安全和隐私控制目录中的控制措施与评估 FedRAMP 时执行的评估活动，发现两者的匹配度较高。然后，3PAO 查看了最新的 FedRAMP 安全性评估报告，了解了重叠的控制措施，并独立测试了 FedRAMP 未涵盖的其余控制措施。