A Microsoft 365 HIPAA kompatibilis?

az Office 365 HIPAA-megfelelőség egyre több egészségügyi vállalat számára sürgető aggodalomra ad okot. A Microsoft robusztus felhőmegoldása lehetővé teszi a szolgáltatók számára a nyilvántartások vezetését és a könnyű kommunikációt — de ez túl egyszerű? Valóban védhetők-e az érzékeny információk, Ha a felhőben tárolják őket?

a felhőalapú számítástechnika évek óta terjed az egészségügyi iparban. Számos előnyt kínál stratégiaként, lehetővé téve a szervezetek és a gondozók számára, hogy bővítsék hol és hogyan használhatják a technológiát. Azáltal, hogy megkönnyíti a szolgáltatók számára a betegnyilvántartások vezetését és hivatkozását, még útközben is, a felhőalapú számítástechnika javítja és egyszerűsíti a betegélményt.

a felhőre való áttérés pozitív hatással van az egészségügy egészére, de további felelősséget ró a Megfelelőségi és biztonsági szakemberekre. Szerencsére a HIPAA-kompatibilis felhőszoftverek megtalálása egyre könnyebbé válik, mivel egyre több gyártó és fejlesztő ismeri fel a piaci keresletet. Számos megoldásszolgáltató adaptálta kínálatát az egészségügyi szervezetek HIPAA igényeinek kielégítésére.

a Microsoft 365, amely vitatható a legszélesebb körben használt felhőszolgáltatás, kiemelkedő példa. HIPAA megfelelést kínál minden olyan egészségügyi szervezet számára, amely rendelkezik és megfelelően használja az üzleti társult megállapodást (BAA). Ebben a cikkben többet megtudhat arról, hogy a Microsoft mit tett annak érdekében, hogy 365-ös csomagja megfeleljen a HIPAA követelményeinek, és hogy az adatvédelem mely szempontjai maradnak a szolgáltatók felelőssége.

HIPAA BAA és Microsoft 365

bármely felhőmegoldás HIPAA megfelelőségi szintje a felhasználói szervezet BAA-jától függ. A Microsoft 365 egyik legkényelmesebb szolgáltatása az egészségügyi ügyfél számára az, hogy a szolgáltatás standard elemeként BAA-t biztosít.

mi az a BAA?

az üzleti partneri megállapodás a HIPAA hatálya alá tartozó szervezet (például orvosi rendelő vagy kórház) és egy kapcsolódó vállalkozás közötti szerződés. Amint bármely védett egészségügyi információ (PHI) feltöltésre kerül a felhőbe, mindkét fél automatikusan a HIPAA szabályozásának hatálya alá tartozik. Ezért szükség van egy BAA-ra a felhő szállítóval, mielőtt bármilyen, a betegadatokkal kapcsolatos megoldást megvalósítana.

hogyan működik a Microsoft BAA?

alapértelmezés szerint a Microsoft az Online szolgáltatási feltételek részeként kínálja BAA-ját azoknak a felhasználóknak, akik a HIPAA által meghatározott entitások vagy üzleti partnerek. A BAA magában foglalja a Dynamics 365, Az Office 365 és néhány más felhőalapú szolgáltatást.

ha a Microsoftot megoldás-szolgáltatónak tekinti, tekintse át részletesen a BAA-t, hogy megbizonyosodjon arról, hogy a BAA hatálya alá tartozó szolgáltatások és feltételek megfelelnek-e az Ön igényeinek. A Microsoft nem módosítja BAA-ját az ügyfél kérésére, ezért a feltételeknek elegendőnek kell lenniük az írott formában.

Microsoft 365 biztonsági ellenőrzések és HIPAA követelmények

annak igazolására, hogy biztonsági gyakorlatai összhangban vannak a HIPAA hivatalos kiadójának, az Egyesült Államok Egészségügyi és Humán szolgáltatási Minisztériumának (HHS) ajánlásaival, a Microsoft az ISO 27001 szabvány szerinti információbiztonsági auditokon esett át . Ez a szabvány a szervezet informatikai biztonságának több aspektusát értékeli, beleértve azt is, hogy követi-e a HHS ajánlásait.

az eredmények megerősítik, hogy az Office 365 tartalmazza a megfelelőséghez szükséges HIPAA biztonsági és Adatvédelmi vezérlőket. Ezeket a vezérlőket a Microsoft 365 megfelelőségi Központján keresztül érheti el.

a Microsoft Compliance Center

a Microsoft Compliance Center hozzáférést biztosít az ügyfeleknek a megfelelőség kezeléséhez szükséges eszközökhöz és információkhoz. Olyan funkciókat tartalmaz, mint:

  • az Ön megfelelőségi pontszáma, egy kockázatalapú mutató, amely a kockázatcsökkentés felé történő előrehaladást méri
  • aktív riasztási kártya, amely felsorolja a biztonsági értesítéseket, és részletesebb információk felé mutat
  • adatosztályozási szakasz, amely segít a fontos adatok megfelelő rendszerezésében
  • jelentések szakasz, amely információkat tartalmaz harmadik féltől származó alkalmazásokról, megosztott fájlokról és többről
  • engedélyek szakasz ez lehetővé teszi a szervezeten belüli hozzáférés kezelését
  • egy megoldási szakasz, amely részletes információkat tartalmaz a szervezet megfelelőségéről stratégiák
  • adatvesztés-védelmi eszköz, amely lehetővé teszi az érzékeny információk nyomon követését

a Megfelelőségi Központ robusztus erőforrás. Minden Microsoft üzleti ügyfél számára elérhető, de egyes funkciók, például a fejlett fenyegetéskezelés, az adatok osztályozásának érzékenységi címkéi, egyes DLP-funkciók csak akkor érhetők el, ha felső szintű licenccel rendelkezik.

Microsoft 365 biztonsági funkciók a HIPAA-hoz

a Microsoft számos biztonsági funkcióval segíti a vállalatokat abban, hogy megfeleljenek az egyes előírásoknak. A HIPAA szempontjából különösen relevánsak a következők:

  • legkisebb jogosultságú hozzáférés: Ez a funkció korlátozza az adatsértések kockázatát és hatását azáltal, hogy emelt szintű hozzáférést biztosít csak azoknak, akiknek szükségük van rá.
  • Adatvédelmi olvasók: a Microsoft azt javasolja, hogy a BAA-val rendelkező ügyfelek jelöljenek ki képviselőket HIPAA adatvédelmi Olvasókként, amely hozzáférést biztosít számukra az üzenetközpont értesítéseihez az elektronikus védett egészségügyi információkat (ePHI) érintő esetleges jogsértésekről.
  • végpontok közötti titkosítás: a Microsoft minden adatot titkosít, amikor azokat feltölti vagy tárolja a vállalat szervereire. Akkor is titkosítva van, ha a Microsoft szolgáltatásain kívülre továbbítják (titkosítás tranzitban); azonban bizonyos információk, beleértve az e-mail tárgysorokban és címmezőkben található adatokat, a szabványos internetes protokollok miatt nem titkosíthatók. Ezért a Microsoft azt javasolja, hogy minden felhasználó képezze ki a személyzetet, hogy soha ne vegye fel az ePHI-t az e-mail Címzettjébe, Feladójába vagy Tárgysorába.
  • adatvesztés megelőzése: az ePHI védett a jogosulatlan nézők számára történő megosztástól.
  • Többtényezős Hitelesítés: A felhasználóknak a bejelentkezés előtt meg kell adniuk egy másik eszközre vagy fiókra küldött információkat.
  • naplófájlok: A rendszergazdák megtekinthetik, hogy ki látta, nyitotta meg, osztotta meg vagy törölte a dokumentumokat.
  • adatmentések: ez a funkció a HIPAA alatt szükséges, hogy az ePHI pontos másolatai szükség esetén visszaállíthatók legyenek.
  • biztonsági konfiguráció: a Microsoft lehetővé teszi az ügyfelek számára, hogy megváltoztassák biztonsági beállításaikat a BAA által lefedett számos szolgáltatásban. A HIPAA megfelelés érdekében a legbiztonságosabb stratégia a lehető legszigorúbb paraméterek beállítása lehet. A részletes konfigurációs utasítások a Microsoft HIPAA implementációs útmutatójában találhatók.

hogyan kezeli a Microsoft a biztonsági incidenseket

a Microsoft BAA kijelenti, hogy biztonsági incidens esetén a vállalat 30 napon belül értesíti fiókja összes globális rendszergazdáját és minden olyan felhasználót, aki rendelkezik az Adatvédelmi olvasó megjelöléssel.

a Microsoft nem értesíti ügyfeleit a jogsértésről. Ez a felelősség Önre hárul a HIPAA keretében, amely előírja, hogy minden érintett entitás értesítse az érintett személyeket, ha a jogsértés fedezetlen ePHI-t érint. A Microsoft nem nyújt be semmilyen szükséges értesítést a HHS titkárának vagy a médiának.

egy potenciális ePHI adattár megsértése esetén a Microsoft nem felelős a tárolt adatok szkenneléséért annak megállapítása érdekében, hogy az ePHI valóban veszélybe került-e. Értesítést kap arról, hogy jogsértés történt. Ezután meg kell vizsgálnia, hogy az ePHI veszélybe került-e, és milyen mértékű a hatás, ha van ilyen.

Office 365 HIPAA megfelelőségi konfiguráció: Bevált gyakorlatok

a Microsoft nagyon világos, hogy végül a HIPAA-megfelelésért az ügyfél felel. A forgalmazó azt javasolja, hogy minden vállalat hozzon létre egy sor eljárást és szabályzatot, hogy segítsék munkatársaikat az Office 365 megfelelőségének támogatásában. Íme néhány a legfontosabb lépés, amelyet a telepítési folyamat során követni kell.

ellenőrizze a szolgáltatás részleteit.

  • győződjön meg arról, hogy a használni kívánt termékek a Microsoft HIPAA megfelelőségi szolgáltatásainak hatálya alá tartoznak.
  • tekintse át a BAA-t, hogy megbizonyosodjon arról, hogy a mellékelt biztonsági és Adatvédelmi gyakorlatok megfelelnek-e az Ön igényeinek.

hozzáférés-ellenőrzési eljárások beállítása.

  • a Microsoft 365 Üzenetközpontban adja meg az Adatvédelmi olvasóit.
  • kapcsolja be a hozzáférés-követést a rendszergazdák számára, így láthatja, hogy mikor férnek hozzá a felhasználói fiókokhoz.

képzést nyújt a PHI kizárásáról.

  • az adminisztratív személyzet nem írhatja be az ePHI-t semmilyen könyvtárba, címjegyzékbe vagy globális címlistába.
  • a személyzetnek nem szabad megosztania az ePHI-t a Microsoft hibaelhárítása vagy támogatása során.
  • a felhasználók nem hivatkozhatnak az ePHI-re semmilyen fájlnévben, e-mail fejlécben vagy nyilvánosan elérhető SharePoint-helyen.
  • a felhasználók e-mailben nem küldhetnek ePHI-t, kivéve kifejezetten felhatalmazott felhasználóknak.

a hozzáférés felülvizsgálatára vonatkozó eljárások létrehozása.

  • rendszeresen ellenőrizze a felhasználói hozzáférést az összes ePHI tárolóhoz.
  • rendszeresen vizsgálja meg a felhasználói hozzáférési engedélyeket, a jelszóváltozásokat és a megosztott erőforrások kiegészítéseit.
  • hozzon létre egy protokollt a hozzáférési jogok frissítéséhez személyi változások esetén.

hogyan segít a Netwrix a Microsoft 365 ügyfeleinek?

a HIPAA-nak való megfelelés nem kis feladat, és a felhőszolgáltatásokhoz kapcsolódó megfelelőség hozzáadása még a legerősebb szervezet erőforrásait is megadóztathatja. A Netwrix a HIPAA megfelelőségének megoldásával a terhelés nagy részét leveheti a válláról.

pontosan tudja, hol tárolja az ePHI-t

a Netwrix megoldás képes azonosítani az adott OneDrive Vállalati verzió-tárolókat, Exchange Online-postaládákat és SharePoint Online-webhelyeket a fiókjában, amelyek ePHI-t tartalmaznak. Ez az első lépés az EFI védelme felé a belső és külső fenyegetésekkel szemben.

csökkentse a támadási felületet az engedélyek minimalizálásával

a Netwrix megoldás segíthet abban is, hogy megbizonyosodjon arról, hogy a megfelelő jogosultságokkal rendelkezik. Automatikusan azonosítja és eltávolítja az érzékeny adatokra vonatkozó túlzott engedélyeket. Emellett egyszerűsíti a hozzáférés-felülvizsgálatot és a jogosultság-igazolási folyamatot is, így növeli annak esélyét, hogy az első alkalommal megfeleljen a megfelelőségi ellenőrzéseken.

fenyegetések azonosítása és reagálása

a rendszerek közötti részletes láthatóságnak köszönhetően a Netwrix megoldás kiszúrhatja a bennfentes fenyegetéseket, például a sikertelen hozzáférési kísérleteket, a privilégiumok fokozódását és a szokatlanul nagy számú olvasást, és észlelheti a folyamatban lévő ransomware jeleit. Ez lehetővé teszi, hogy könnyen fúrni mélyen gyanús tevékenységeket, így blokkolja fenyegetések előtt komoly károkat okoznak.

a NetWrix a bejelentő hatóságokra és az érintett felhasználókra vonatkozó valamennyi követelmény teljesítésével segít meghatározni az incidens súlyosságát, függetlenül annak forrásától.

Microsoft 365 és HIPAA megfelelőségi kérdések

vannak-e HIPAA aggályok az Office 365 használatával kapcsolatban?

mindaddig, amíg alaposan áttekinti a Microsoft BAA-ját, és megérti a biztonsági és megfelelőségi védelem hatókörét, megerősíti, hogy ezek a védelem megfelel az Ön HIPAA-megfelelőségi igényeinek, és rendelkezik az összes szükséges biztonsági ellenőrzéssel az end-en, kevés aggálya lehet a HIPAA-megfelelőséggel kapcsolatban.

az Office 365 HIPAA-védelme megbízható, de végső soron a megfelelőség az Ön felelőssége, mint a HIPAA hatálya alá tartozó entitás.

melyik Microsoft Office 365-csomag kompatibilis a HIPAA-val?

a Microsoft HIPAA megfelelőségi BAA-t kínál az Office 365 Vállalati, az Office 365 amerikai kormányzati és az Office 365 amerikai kormányzati védelmi felhasználóknak. Előfordulhat azonban, hogy ezeknek a Szolgáltatásoknak az alacsonyabb szintű licencei (például Business Basic, Business Standard és Business Premium) nem rendelkeznek az összes olyan speciális biztonsági funkcióval, amelyet a megfelelőség fenntartásához használni szeretne.

a Microsoft azt javasolja, hogy a HIPAA-megfelelőséget kereső felhasználók engedélyezzék a legfelső szintű biztonsági védelmet. Néhány ilyen védelem, beleértve az adathalász fenyegetések felderítőit és az adatvesztés megelőzését, csak a magasabb szintű vállalati licencek tulajdonosai számára érhető el.

a Microsoft BAA-ja garantálja-e a HIPAA és a HITECH törvény betartását?

nem, a BAA nem garantálja a megfelelőséget. A BAA célja annak tisztázása, hogy a megfelelőségi követelmények a HIPAA üzleti munkatársának felelőssége. Például, ha a Microsoft Office 365-fiókjában megsértés történt, a Microsoft értesíti Önt arról, hogy megtörtént.

még a legerősebb BAA alatt is Ön, mint felhőszolgáltatás-ügyfél továbbra is felelős a megfelelés fenntartásáért. Létre kell hoznia és fenn kell tartania egy belső megfelelőségi programot, amely mindent megold, amit HIPAA-lefedettségű szervezetként megkövetelnek Öntől. Például belső szabályzatokkal, eljárásokkal és folyamatokkal kell rendelkeznie annak biztosítása érdekében, hogy személyzete olyan módon járjon el, amely nem sérti a HIPAA előírásait.

a Microsoft BAA segít betartani a HIPAA alapelveit a vállalat szolgáltatásainak használatakor, de nem fog mindent megtenni az Ön számára. Továbbra is meg kell győződnie arról, hogy csapata úgy használja az Office 365-öt, hogy az megfeleljen a HIPAA és a HITECH törvény minden szabályának.

termék evangélista a Netwrix Corporation-nél, író és műsorvezető. Ryan a kiberbiztonság evangelizálására és az informatikai változások láthatóságának és az adatokhoz való hozzáférésnek a fontosságára specializálódott. Szerzőként Ryan az IT biztonsági trendekre, felmérésekre és iparági betekintésre összpontosít.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.