¿Cumple Microsoft 365 HIPAA?

El cumplimiento de la HIPAA de Office 365 es una preocupación urgente para un número cada vez mayor de empresas de atención médica. La robusta solución en la nube de Microsoft permite a los proveedores mantener registros y comunicarse con facilidad, pero ¿es demasiado fácil? ¿Se puede proteger realmente la información confidencial si se almacena en la nube?

La computación en la nube ha estado haciendo incursiones en la industria de la salud durante varios años. Ofrece numerosos beneficios como estrategia, lo que permite a las organizaciones y proveedores de atención ampliar dónde y cómo pueden usar la tecnología. Al facilitar a los proveedores el mantenimiento y la referencia de los registros de los pacientes, incluso cuando están en movimiento, la computación en la nube mejora y simplifica la experiencia del paciente.

Este cambio a la nube es positivo para la atención médica en su conjunto, pero impone una responsabilidad adicional a los especialistas en cumplimiento y seguridad. Afortunadamente, la tarea de encontrar software en la nube compatible con HIPAA es cada vez más fácil a medida que más proveedores y desarrolladores reconocen la demanda del mercado. Muchos proveedores de soluciones ahora han adaptado sus ofertas para satisfacer las necesidades HIPAA de las organizaciones de atención médica.

Microsoft 365, posiblemente el servicio en la nube más utilizado, es un ejemplo destacado. Ofrece cumplimiento de HIPAA para todas las organizaciones de atención médica que tienen y utilizan adecuadamente un acuerdo de asociado comercial (BAA). En este artículo, obtendrá más información sobre lo que Microsoft ha hecho para permitir que su suite 365 cumpla con los requisitos de HIPAA y qué aspectos de la protección de datos siguen siendo responsabilidad de los proveedores.

HIPAA BAA y Microsoft 365
¿Qué es un BAA?
¿Cómo funciona el BAA de Microsoft?
Controles de seguridad de Microsoft 365 y Requisitos de HIPAA
Microsoft Compliance Center
Características de seguridad de Microsoft 365 para HIPAA
Cómo maneja Microsoft las infracciones de seguridad
Configuración de cumplimiento HIPAA de Office 365: Prácticas recomendadas
Compruebe los detalles del servicio.
Configure procedimientos de control de acceso.
Proporcionar capacitación sobre exclusión de PHI.
Establecer procedimientos para la revisión del acceso.
Cómo Netwrix ayuda a los clientes de Microsoft 365
Sepa exactamente dónde almacena ePHI
Reduzca el área de la superficie de ataque minimizando los permisos
Identificar y responder a amenazas
Preguntas frecuentes sobre el cumplimiento de Microsoft 365 y la HIPAA

HIPAA BAA y Microsoft 365

El nivel de cumplimiento de HIPAA de cualquier solución en la nube depende del BAA de la organización del usuario. Una de las características más convenientes de Microsoft 365 para el cliente de atención médica es que proporciona un BAA como elemento estándar de servicio.

¿Qué es un BAA?

Un acuerdo de asociado comercial es un contrato entre una entidad cubierta por HIPAA (como un consultorio médico u hospital) y una empresa asociada. Tan pronto como se cargue cualquier información de salud protegida (PHI) en la nube, ambas partes están sujetas automáticamente a las regulaciones de HIPAA. Por ese motivo, debe contar con un BAA con un proveedor en la nube antes de implementar cualquier solución relacionada con los datos de los pacientes.

¿Cómo funciona el BAA de Microsoft?

De forma predeterminada, Microsoft ofrece su BAA como parte de sus Términos de Servicios en línea a los usuarios que son entidades cubiertas o socios comerciales según lo define HIPAA. El BAA cubre Dynamics 365, Office 365 y algunos otros servicios en la nube.

Si está considerando a Microsoft como proveedor de soluciones, revise el BAA en detalle para asegurarse de que los servicios y términos cubiertos del BAA satisfagan sus necesidades. Microsoft no modifica su BAA por solicitud del cliente, por lo que los términos deben ser suficientes como están escritos.

Controles de seguridad de Microsoft 365 y Requisitos de HIPAA

Para confirmar que sus prácticas de seguridad se ajustan a las recomendaciones del editor oficial de HIPAA, el Departamento de Salud y Servicios Humanos (HHS) de EE .UU., Microsoft se ha sometido a auditorías de seguridad de la información según la norma ISO 27001. Este estándar evalúa múltiples aspectos de la seguridad de TI de una organización, incluso si sigue las recomendaciones del HHS.

Los resultados confirman que Office 365 incluye todos los controles de seguridad y privacidad de HIPAA necesarios para el cumplimiento. Puede acceder a estos controles a través del Centro de cumplimiento de Microsoft 365.

Microsoft Compliance Center

Microsoft Compliance Center ofrece a los clientes acceso a las herramientas y la información que necesitan para gestionar el cumplimiento. Incluye características como:

Su puntuación de cumplimiento, una métrica basada en riesgos que mide el progreso hacia la reducción de riesgos
Una tarjeta de alertas activa, que enumera sus notificaciones de seguridad y le apunta hacia información más detallada
Una sección de clasificación de datos para ayudarlo a organizar adecuadamente los datos importantes
Una sección de informes con información sobre aplicaciones de terceros, archivos compartidos y más
Una sección de permisos que le permite administrar el acceso dentro de su organización
Una sección de soluciones con información detallada sobre el cumplimiento normativo de su organización estrategias
Una herramienta de protección contra la pérdida de datos que le permite rastrear información confidencial

El Centro de cumplimiento es un recurso sólido. Está disponible para todos los clientes empresariales de Microsoft, pero algunas características, como la administración avanzada de amenazas, las etiquetas de sensibilidad para la clasificación de datos y algunas funcionalidades de DLP, pueden no estar disponibles a menos que tenga una licencia de nivel superior.

Características de seguridad de Microsoft 365 para HIPAA

Microsoft proporciona muchas características de seguridad para ayudar a las empresas a cumplir con normativas específicas. Aquellos particularmente relevantes para HIPAA son:

Acceso con privilegios mínimos: Esta función limita el riesgo y el impacto de las filtraciones de datos al otorgar acceso elevado solo a aquellos que lo requieran.Lectores de privacidad
: Microsoft recomienda que los clientes con un BAA designen a representantes como Lectores de privacidad HIPAA, lo que les da acceso a las notificaciones del Centro de Mensajes sobre posibles infracciones relacionadas con la información médica protegida electrónica (ePHI).
Cifrado de extremo a extremo: Microsoft cifra todos los datos cuando se cargan o almacenan en los servidores de la empresa. También se cifra cuando se transfiere fuera de las instalaciones de Microsoft( cifrado en tránsito); sin embargo, parte de la información, incluidos los datos en las líneas de asunto de los correos electrónicos y los campos de dirección, no se puede cifrar debido a los protocolos de Internet estándar. Por lo tanto, Microsoft recomienda que todos los usuarios capaciten al personal para que nunca incluya ePHI en las líneas Para, Desde o Asunto de un correo electrónico.
Prevención de pérdida de datos: ePHI está protegido para que no se comparta con espectadores no autorizados.
Autenticación multifactor: Los usuarios deben proporcionar información enviada a otro dispositivo o cuenta antes de que se les permita iniciar sesión.
Registros de auditoría: Los administradores pueden ver quién ha visto, abierto, compartido o desechado documentos.Copias de seguridad de datos
: Esta función se requiere en HIPAA para que se puedan restaurar copias exactas de ePHI cuando sea necesario.
Configuración de seguridad: Microsoft permite a los clientes cambiar su configuración de seguridad en muchos servicios cubiertos por BAA. Para el cumplimiento de HIPAA, la estrategia más segura puede ser establecer los parámetros más estrictos posibles. Las instrucciones de configuración detalladas están disponibles en la guía de implementación de HIPAA de Microsoft.

Cómo maneja Microsoft las infracciones de seguridad

El BAA de Microsoft establece que, en caso de que se produzca una infracción de seguridad, la empresa notificará a todos los administradores globales de su cuenta y a todos los usuarios que tengan la designación de Lector de privacidad en un plazo de 30 días.

Microsoft no notifica a sus clientes de una infracción. Esa responsabilidad le corresponde a usted en virtud de la HIPAA, que requiere que todas las entidades cubiertas notifiquen a las personas afectadas si una violación involucra ePHI no garantizado. Microsoft tampoco envía ninguna notificación requerida al Secretario de HHS o a los medios de comunicación.

En el caso de una violación de un repositorio de ePHI potencial, Microsoft no es responsable de escanear los datos almacenados para determinar si algún ePHI ha sido realmente comprometido. Recibirá una notificación de que se ha producido una violación. A continuación, debe evaluar si se ha comprometido algún ePHI y cuál es el grado de impacto, si lo hay.

Configuración de cumplimiento HIPAA de Office 365: Prácticas recomendadas

Microsoft tiene muy claro que, al final, la responsabilidad del cumplimiento de la HIPAA recae en el cliente. El proveedor recomienda que todas las empresas establezcan un conjunto de procedimientos y políticas para ayudar a su personal a utilizar Office 365 de una manera que respalde el cumplimiento. Estos son algunos de los pasos más importantes a seguir durante el proceso de configuración.

Compruebe los detalles del servicio.

Asegúrese de que los productos que planea usar estén dentro del alcance de los Servicios de cumplimiento de HIPAA de Microsoft.
Revise el BAA para asegurarse de que las prácticas de seguridad y privacidad incluidas satisfacen sus necesidades.

Configure procedimientos de control de acceso.

En el Centro de mensajes de Microsoft 365, especifique sus lectores de privacidad.
Active el seguimiento de acceso para los administradores para que pueda ver cuándo acceden a las cuentas de usuario.

Proporcionar capacitación sobre exclusión de PHI.

El personal administrativo no debe ingresar ePHI en ningún directorio, libreta de direcciones o lista de direcciones globales.
Ningún personal debe compartir ePHI en las conversaciones de solución de problemas o asistencia con Microsoft.
Los usuarios no deben hacer referencia a ePHI en ningún nombre de archivo, encabezado de correo electrónico o ubicación de SharePoint de acceso público.
Los usuarios no deben enviar ePHI por correo electrónico, excepto a usuarios autorizados explícitamente.

Establecer procedimientos para la revisión del acceso.

Revise regularmente el acceso de los usuarios a todos los repositorios de almacenamiento ePHI.
Examine regularmente los permisos de acceso de los usuarios, los cambios de contraseña y las adiciones a los recursos compartidos.
Cree un protocolo para actualizar los derechos de acceso en caso de cambios de personal.

Cómo Netwrix ayuda a los clientes de Microsoft 365

Cumplir con HIPAA no es tarea fácil, y agregar cumplimiento relacionado con los servicios en la nube puede gravar los recursos incluso de la organización más robusta. Netwrix puede quitar gran parte de esa carga de sus hombros con su solución para el cumplimiento de HIPAA.

Sepa exactamente dónde almacena ePHI

La solución Netwrix puede identificar los repositorios específicos de OneDrive para empresas, los buzones de correo de Exchange Online y los sitios de SharePoint Online de su cuenta que contienen ePHI. Este es el primer paso para proteger a ese ePHI de amenazas internas y externas.

Reduzca el área de la superficie de ataque minimizando los permisos

La solución Netwrix también puede ayudarle a asegurarse de que dispone de los privilegios correctos. Puede identificar y eliminar automáticamente permisos excesivos para datos confidenciales. También simplifica el proceso de revisión de acceso y certificación de privilegios, mejorando así sus posibilidades de pasar las auditorías de cumplimiento la primera vez.

Identificar y responder a amenazas

Gracias a la visibilidad detallada entre sistemas, la solución Netwrix puede detectar señales de alerta que podrían indicar amenazas internas, como intentos de acceso fallidos, aumento de privilegios y un número inusualmente alto de lecturas, y detectar signos de ransomware en curso. Le permite profundizar fácilmente en actividades sospechosas para que pueda bloquear amenazas antes de que causen daños graves.

Si hay una violación, cualquiera que sea su origen, Netwrix puede ayudarlo a determinar la gravedad del incidente, lo que le permite cumplir con todos los requisitos para notificar a las autoridades y a los usuarios afectados.

Preguntas frecuentes sobre el cumplimiento de Microsoft 365 y la HIPAA

¿Hay alguna preocupación por la HIPAA con el uso de Office 365?

Siempre que revise cuidadosamente el BAA de Microsoft y comprenda el alcance de sus protecciones de seguridad y cumplimiento, confirme que esas protecciones cumplen con sus necesidades de cumplimiento de HIPAA y tenga todos los controles de seguridad necesarios, debería tener pocas o ninguna preocupación sobre el cumplimiento de HIPAA.

Las protecciones HIPAA de Office 365 son sólidas, pero en última instancia, el cumplimiento es su responsabilidad como entidad cubierta por HIPAA.

¿Qué plan de Microsoft Office 365 es compatible con HIPAA?

Microsoft ofrece su BAA de cumplimiento de HIPAA a los usuarios de Office 365 Business, Office 365 US Government y Office 365 US Government Defense. Sin embargo, es posible que las licencias de nivel inferior de estos servicios (Business Basic, Business Standard y Business Premium, por ejemplo) no tengan todas las funciones de seguridad avanzadas que desee utilizar para mantener el cumplimiento.

Microsoft recomienda que los usuarios que buscan el cumplimiento de HIPAA habiliten protecciones de seguridad de primer nivel. Algunas de estas protecciones, incluidos los exploradores de amenazas anti-phishing y la prevención de pérdida de datos, solo están disponibles para los titulares de licencias empresariales de nivel superior.

¿Tener un BAA con Microsoft garantiza el cumplimiento de HIPAA y la Ley HITECH?

No, un BAA no garantiza el cumplimiento. El propósito de la BAA es aclarar qué requisitos de cumplimiento son responsabilidad del socio comercial de HIPAA. Por ejemplo, si se produce una infracción en su cuenta de Microsoft Office 365, Microsoft le notificará que se ha producido.

Incluso con el BAA más robusto, usted, como cliente de servicios en la nube, sigue teniendo la responsabilidad de mantener el cumplimiento. Debe establecer y mantener un programa de cumplimiento interno que aborde todo lo que se requiere de usted como organización cubierta por HIPAA. Por ejemplo, debe contar con políticas, procedimientos y procesos internos para garantizar que su personal actúe de una manera que no viole las regulaciones de HIPAA.

El BAA de Microsoft le ayuda a cumplir los principios de HIPAA al usar los servicios de la empresa, pero no lo hará todo por usted. Aún debe asegurarse de que su equipo use Office 365 de manera que se alinee con cada regla de HIPAA y la Ley HITECH.

Evangelista de productos en Netwrix Corporation, escritor y presentador. Ryan se especializa en evangelizar la ciberseguridad y promover la importancia de la visibilidad de los cambios de TI y el acceso a los datos. Como autor, Ryan se centra en las tendencias de seguridad de TI, las encuestas y los conocimientos de la industria.