Oświadczenie: Nie jestem prawnikiem.
Po pierwsze, niektóre wymagane lektury:
Centrum zaufania Microsoft Azure
HIPAA Business Associate Agreement (BAA)
HIPAA i HITECH Act są przepisami prawa Stanów Zjednoczonych, które mają zastosowanie do podmiotów opieki zdrowotnej mających dostęp do informacji o pacjencie (zwanych chronionymi informacjami zdrowotnymi lub PHI). W wielu okolicznościach, aby objęta ochroną firma opieki zdrowotnej mogła korzystać z usługi w chmurze, takiej jak Azure, dostawca usług musi wyrazić zgodę na piśmie w celu przestrzegania określonych przepisów bezpieczeństwa i prywatności określonych w HIPAA i ustawie HITECH. Aby pomóc klientom w przestrzeganiu przepisów HIPAA i ustawy o HITECH, Microsoft oferuje licencję BAA dla klientów jako aneks do umowy.
Microsoft obecnie oferuje licencję BAA klientom, którzy mają licencję zbiorową / umowę Enterprise Agreement (EA) lub rejestrację EA wyłącznie na platformie Azure w firmie Microsoft w zakresie usług w zakresie. EA tylko na platformie Azure nie zależy od wielkości miejsca, a raczej od rocznego zobowiązania pieniężnego na platformie Azure, które pozwala klientowi uzyskać zniżkę na wynagrodzenie w miarę ustalania ceny.
Przed podpisaniem umowy BAA klienci powinni przeczytać wskazówki dotyczące wdrażania platformy Azure HIPAA. Ten dokument został opracowany, aby pomóc klientom zainteresowanym HIPAA i ustawą HITECH w zrozumieniu odpowiednich możliwości platformy Azure. Docelowi odbiorcy obejmują osoby odpowiedzialne za ochronę prywatności, osoby odpowiedzialne za bezpieczeństwo, osoby odpowiedzialne za zgodność i inne osoby w organizacjach klientów odpowiedzialnych za wdrażanie i przestrzeganie ustawy HIPAA i HITECH. Dokument obejmuje niektóre z najlepszych praktyk dotyczących budowania aplikacji zgodnych z HIPAA i szczegółowo opisuje postanowienia platformy Azure dotyczące postępowania w przypadku naruszeń bezpieczeństwa. Chociaż platforma Azure zawiera funkcje pomagające w zapewnieniu zgodności prywatności i bezpieczeństwa klienta, klienci są odpowiedzialni za zapewnienie, że ich szczególne korzystanie z platformy Azure jest zgodne z HIPAA, ustawą HITECH oraz innymi obowiązującymi przepisami ustawowymi i wykonawczymi,
Klienci powinni skontaktować się z przedstawicielem konta Microsoft w celu podpisania umowy.
Może być konieczne podpisanie umowy licencyjnej z dostawcą usług w chmurze (Azure). Zapytaj przedstawiciela (-ów) zgodności.
Oto wskazówki dotyczące wdrażania platformy Azure HIPAA .
Możliwe jest korzystanie z platformy Azure w sposób zgodny z wymogami HIPAA i HITECH Act.
Maszyny wirtualne platformy Azure, Azure SQL i instancje programu SQL Server działające w ramach maszyn wirtualnych platformy Azure są objęte zakresem i obsługiwane tutaj.
Bitlocker jest wystarczający do szyfrowania danych w spoczynku. Wykorzystuje szyfrowanie AES w sposób, który spełnia wymagania HIPAA (a także wymagania innych podobnych organizacji) do szyfrowania danych w spoczynku.
Co więcej, SQL Server nie będzie przechowywać niezaszyfrowanych, wrażliwych danych na dysku systemu operacyjnego, chyba że skonfigurujesz SQL, aby to zrobić ... na przykład konfigurując TempDB do pracy na dysku systemu operacyjnego lub coś takiego.
Szyfrowanie komórek / pól / kolumn w poszczególnych bazach danych nie jest ściśle wymagane, zakładając , że spełniono już wymagania dotyczące szyfrowania danych w spoczynku na inne sposoby, np. TDE lub Bitlocker.
Może pojawić się sposób, w jaki zdecydujesz się zarządzać kluczem szyfrującym Bitlocker, ponieważ nie będzie on znajdować się w układzie TPM lub na wymiennym napędzie USB, ponieważ nie masz dostępu do fizycznej maszyny. (Zastanów się nad tym, aby sysadmin ręcznie wpisał hasło, aby odblokować dysk danych przy każdym ponownym uruchomieniu serwera). Jest to rodzaj głównego przyciągania do usług takich jak CloudLink, ponieważ zarządzają dla ciebie tym świętym kluczem szyfrującym.