az Office 365 HIPAA-megfelelőség egyre több egészségügyi vállalat számára sürgető aggodalomra ad okot. A Microsoft robusztus felhőmegoldása lehetővé teszi a szolgáltatók számára a nyilvántartások vezetését és a könnyű kommunikációt — de ez túl egyszerű? Valóban védhetők-e az érzékeny információk, Ha a felhőben tárolják őket?
a felhőalapú számítástechnika évek óta terjed az egészségügyi iparban. Számos előnyt kínál stratégiaként, lehetővé téve a szervezetek és a gondozók számára, hogy bővítsék hol és hogyan használhatják a technológiát. Azáltal, hogy megkönnyíti a szolgáltatók számára a betegnyilvántartások vezetését és hivatkozását, még útközben is, a felhőalapú számítástechnika javítja és egyszerűsíti a betegélményt.
a felhőre való áttérés pozitív hatással van az egészségügy egészére, de további felelősséget ró a Megfelelőségi és biztonsági szakemberekre. Szerencsére a HIPAA-kompatibilis felhőszoftverek megtalálása egyre könnyebbé válik, mivel egyre több gyártó és fejlesztő ismeri fel a piaci keresletet. Számos megoldásszolgáltató adaptálta kínálatát az egészségügyi szervezetek HIPAA igényeinek kielégítésére.
a Microsoft 365, amely vitatható a legszélesebb körben használt felhőszolgáltatás, kiemelkedő példa. HIPAA megfelelést kínál minden olyan egészségügyi szervezet számára, amely rendelkezik és megfelelően használja az üzleti társult megállapodást (BAA). Ebben a cikkben többet megtudhat arról, hogy a Microsoft mit tett annak érdekében, hogy 365-ös csomagja megfeleljen a HIPAA követelményeinek, és hogy az adatvédelem mely szempontjai maradnak a szolgáltatók felelőssége.
- HIPAA BAA és Microsoft 365
- mi az a BAA?
- hogyan működik a Microsoft BAA?
- Microsoft 365 biztonsági ellenőrzések és HIPAA követelmények
- a Microsoft Compliance Center
- Microsoft 365 biztonsági funkciók a HIPAA-hoz
- hogyan kezeli a Microsoft a biztonsági incidenseket
- Office 365 HIPAA megfelelőségi konfiguráció: Bevált gyakorlatok
- ellenőrizze a szolgáltatás részleteit.
- hozzáférés-ellenőrzési eljárások beállítása.
- képzést nyújt a PHI kizárásáról.
- a hozzáférés felülvizsgálatára vonatkozó eljárások létrehozása.
- hogyan segít a Netwrix a Microsoft 365 ügyfeleinek?
- pontosan tudja, hol tárolja az ePHI-t
- csökkentse a támadási felületet az engedélyek minimalizálásával
- fenyegetések azonosítása és reagálása
- Microsoft 365 és HIPAA megfelelőségi kérdések
HIPAA BAA és Microsoft 365
bármely felhőmegoldás HIPAA megfelelőségi szintje a felhasználói szervezet BAA-jától függ. A Microsoft 365 egyik legkényelmesebb szolgáltatása az egészségügyi ügyfél számára az, hogy a szolgáltatás standard elemeként BAA-t biztosít.
mi az a BAA?
az üzleti partneri megállapodás a HIPAA hatálya alá tartozó szervezet (például orvosi rendelő vagy kórház) és egy kapcsolódó vállalkozás közötti szerződés. Amint bármely védett egészségügyi információ (PHI) feltöltésre kerül a felhőbe, mindkét fél automatikusan a HIPAA szabályozásának hatálya alá tartozik. Ezért szükség van egy BAA-ra a felhő szállítóval, mielőtt bármilyen, a betegadatokkal kapcsolatos megoldást megvalósítana.
hogyan működik a Microsoft BAA?
alapértelmezés szerint a Microsoft az Online szolgáltatási feltételek részeként kínálja BAA-ját azoknak a felhasználóknak, akik a HIPAA által meghatározott entitások vagy üzleti partnerek. A BAA magában foglalja a Dynamics 365, Az Office 365 és néhány más felhőalapú szolgáltatást.
ha a Microsoftot megoldás-szolgáltatónak tekinti, tekintse át részletesen a BAA-t, hogy megbizonyosodjon arról, hogy a BAA hatálya alá tartozó szolgáltatások és feltételek megfelelnek-e az Ön igényeinek. A Microsoft nem módosítja BAA-ját az ügyfél kérésére, ezért a feltételeknek elegendőnek kell lenniük az írott formában.
Microsoft 365 biztonsági ellenőrzések és HIPAA követelmények
annak igazolására, hogy biztonsági gyakorlatai összhangban vannak a HIPAA hivatalos kiadójának, az Egyesült Államok Egészségügyi és Humán szolgáltatási Minisztériumának (HHS) ajánlásaival, a Microsoft az ISO 27001 szabvány szerinti információbiztonsági auditokon esett át . Ez a szabvány a szervezet informatikai biztonságának több aspektusát értékeli, beleértve azt is, hogy követi-e a HHS ajánlásait.
az eredmények megerősítik, hogy az Office 365 tartalmazza a megfelelőséghez szükséges HIPAA biztonsági és Adatvédelmi vezérlőket. Ezeket a vezérlőket a Microsoft 365 megfelelőségi Központján keresztül érheti el.
a Microsoft Compliance Center
a Microsoft Compliance Center hozzáférést biztosít az ügyfeleknek a megfelelőség kezeléséhez szükséges eszközökhöz és információkhoz. Olyan funkciókat tartalmaz, mint:
- az Ön megfelelőségi pontszáma, egy kockázatalapú mutató, amely a kockázatcsökkentés felé történő előrehaladást méri
- aktív riasztási kártya, amely felsorolja a biztonsági értesítéseket, és részletesebb információk felé mutat
- adatosztályozási szakasz, amely segít a fontos adatok megfelelő rendszerezésében
- jelentések szakasz, amely információkat tartalmaz harmadik féltől származó alkalmazásokról, megosztott fájlokról és többről
- engedélyek szakasz ez lehetővé teszi a szervezeten belüli hozzáférés kezelését
- egy megoldási szakasz, amely részletes információkat tartalmaz a szervezet megfelelőségéről stratégiák
- adatvesztés-védelmi eszköz, amely lehetővé teszi az érzékeny információk nyomon követését
a Megfelelőségi Központ robusztus erőforrás. Minden Microsoft üzleti ügyfél számára elérhető, de egyes funkciók, például a fejlett fenyegetéskezelés, az adatok osztályozásának érzékenységi címkéi, egyes DLP-funkciók csak akkor érhetők el, ha felső szintű licenccel rendelkezik.
Microsoft 365 biztonsági funkciók a HIPAA-hoz
a Microsoft számos biztonsági funkcióval segíti a vállalatokat abban, hogy megfeleljenek az egyes előírásoknak. A HIPAA szempontjából különösen relevánsak a következők:
- legkisebb jogosultságú hozzáférés: Ez a funkció korlátozza az adatsértések kockázatát és hatását azáltal, hogy emelt szintű hozzáférést biztosít csak azoknak, akiknek szükségük van rá.
- Adatvédelmi olvasók: a Microsoft azt javasolja, hogy a BAA-val rendelkező ügyfelek jelöljenek ki képviselőket HIPAA adatvédelmi Olvasókként, amely hozzáférést biztosít számukra az üzenetközpont értesítéseihez az elektronikus védett egészségügyi információkat (ePHI) érintő esetleges jogsértésekről.
- végpontok közötti titkosítás: a Microsoft minden adatot titkosít, amikor azokat feltölti vagy tárolja a vállalat szervereire. Akkor is titkosítva van, ha a Microsoft szolgáltatásain kívülre továbbítják (titkosítás tranzitban); azonban bizonyos információk, beleértve az e-mail tárgysorokban és címmezőkben található adatokat, a szabványos internetes protokollok miatt nem titkosíthatók. Ezért a Microsoft azt javasolja, hogy minden felhasználó képezze ki a személyzetet, hogy soha ne vegye fel az ePHI-t az e-mail Címzettjébe, Feladójába vagy Tárgysorába.
- adatvesztés megelőzése: az ePHI védett a jogosulatlan nézők számára történő megosztástól.
- Többtényezős Hitelesítés: A felhasználóknak a bejelentkezés előtt meg kell adniuk egy másik eszközre vagy fiókra küldött információkat.
- naplófájlok: A rendszergazdák megtekinthetik, hogy ki látta, nyitotta meg, osztotta meg vagy törölte a dokumentumokat.
- adatmentések: ez a funkció a HIPAA alatt szükséges, hogy az ePHI pontos másolatai szükség esetén visszaállíthatók legyenek.
- biztonsági konfiguráció: a Microsoft lehetővé teszi az ügyfelek számára, hogy megváltoztassák biztonsági beállításaikat a BAA által lefedett számos szolgáltatásban. A HIPAA megfelelés érdekében a legbiztonságosabb stratégia a lehető legszigorúbb paraméterek beállítása lehet. A részletes konfigurációs utasítások a Microsoft HIPAA implementációs útmutatójában találhatók.
hogyan kezeli a Microsoft a biztonsági incidenseket
a Microsoft BAA kijelenti, hogy biztonsági incidens esetén a vállalat 30 napon belül értesíti fiókja összes globális rendszergazdáját és minden olyan felhasználót, aki rendelkezik az Adatvédelmi olvasó megjelöléssel.
a Microsoft nem értesíti ügyfeleit a jogsértésről. Ez a felelősség Önre hárul a HIPAA keretében, amely előírja, hogy minden érintett entitás értesítse az érintett személyeket, ha a jogsértés fedezetlen ePHI-t érint. A Microsoft nem nyújt be semmilyen szükséges értesítést a HHS titkárának vagy a médiának.
egy potenciális ePHI adattár megsértése esetén a Microsoft nem felelős a tárolt adatok szkenneléséért annak megállapítása érdekében, hogy az ePHI valóban veszélybe került-e. Értesítést kap arról, hogy jogsértés történt. Ezután meg kell vizsgálnia, hogy az ePHI veszélybe került-e, és milyen mértékű a hatás, ha van ilyen.
Office 365 HIPAA megfelelőségi konfiguráció: Bevált gyakorlatok
a Microsoft nagyon világos, hogy végül a HIPAA-megfelelésért az ügyfél felel. A forgalmazó azt javasolja, hogy minden vállalat hozzon létre egy sor eljárást és szabályzatot, hogy segítsék munkatársaikat az Office 365 megfelelőségének támogatásában. Íme néhány a legfontosabb lépés, amelyet a telepítési folyamat során követni kell.
ellenőrizze a szolgáltatás részleteit.
- győződjön meg arról, hogy a használni kívánt termékek a Microsoft HIPAA megfelelőségi szolgáltatásainak hatálya alá tartoznak.
- tekintse át a BAA-t, hogy megbizonyosodjon arról, hogy a mellékelt biztonsági és Adatvédelmi gyakorlatok megfelelnek-e az Ön igényeinek.
hozzáférés-ellenőrzési eljárások beállítása.
- a Microsoft 365 Üzenetközpontban adja meg az Adatvédelmi olvasóit.
- kapcsolja be a hozzáférés-követést a rendszergazdák számára, így láthatja, hogy mikor férnek hozzá a felhasználói fiókokhoz.
képzést nyújt a PHI kizárásáról.
- az adminisztratív személyzet nem írhatja be az ePHI-t semmilyen könyvtárba, címjegyzékbe vagy globális címlistába.
- a személyzetnek nem szabad megosztania az ePHI-t a Microsoft hibaelhárítása vagy támogatása során.
- a felhasználók nem hivatkozhatnak az ePHI-re semmilyen fájlnévben, e-mail fejlécben vagy nyilvánosan elérhető SharePoint-helyen.
- a felhasználók e-mailben nem küldhetnek ePHI-t, kivéve kifejezetten felhatalmazott felhasználóknak.
a hozzáférés felülvizsgálatára vonatkozó eljárások létrehozása.
- rendszeresen ellenőrizze a felhasználói hozzáférést az összes ePHI tárolóhoz.
- rendszeresen vizsgálja meg a felhasználói hozzáférési engedélyeket, a jelszóváltozásokat és a megosztott erőforrások kiegészítéseit.
- hozzon létre egy protokollt a hozzáférési jogok frissítéséhez személyi változások esetén.
hogyan segít a Netwrix a Microsoft 365 ügyfeleinek?
a HIPAA-nak való megfelelés nem kis feladat, és a felhőszolgáltatásokhoz kapcsolódó megfelelőség hozzáadása még a legerősebb szervezet erőforrásait is megadóztathatja. A Netwrix a HIPAA megfelelőségének megoldásával a terhelés nagy részét leveheti a válláról.
pontosan tudja, hol tárolja az ePHI-t
a Netwrix megoldás képes azonosítani az adott OneDrive Vállalati verzió-tárolókat, Exchange Online-postaládákat és SharePoint Online-webhelyeket a fiókjában, amelyek ePHI-t tartalmaznak. Ez az első lépés az EFI védelme felé a belső és külső fenyegetésekkel szemben.
csökkentse a támadási felületet az engedélyek minimalizálásával
a Netwrix megoldás segíthet abban is, hogy megbizonyosodjon arról, hogy a megfelelő jogosultságokkal rendelkezik. Automatikusan azonosítja és eltávolítja az érzékeny adatokra vonatkozó túlzott engedélyeket. Emellett egyszerűsíti a hozzáférés-felülvizsgálatot és a jogosultság-igazolási folyamatot is, így növeli annak esélyét, hogy az első alkalommal megfeleljen a megfelelőségi ellenőrzéseken.
fenyegetések azonosítása és reagálása
a rendszerek közötti részletes láthatóságnak köszönhetően a Netwrix megoldás kiszúrhatja a bennfentes fenyegetéseket, például a sikertelen hozzáférési kísérleteket, a privilégiumok fokozódását és a szokatlanul nagy számú olvasást, és észlelheti a folyamatban lévő ransomware jeleit. Ez lehetővé teszi, hogy könnyen fúrni mélyen gyanús tevékenységeket, így blokkolja fenyegetések előtt komoly károkat okoznak.
a NetWrix a bejelentő hatóságokra és az érintett felhasználókra vonatkozó valamennyi követelmény teljesítésével segít meghatározni az incidens súlyosságát, függetlenül annak forrásától.
Microsoft 365 és HIPAA megfelelőségi kérdések
vannak-e HIPAA aggályok az Office 365 használatával kapcsolatban?
mindaddig, amíg alaposan áttekinti a Microsoft BAA-ját, és megérti a biztonsági és megfelelőségi védelem hatókörét, megerősíti, hogy ezek a védelem megfelel az Ön HIPAA-megfelelőségi igényeinek, és rendelkezik az összes szükséges biztonsági ellenőrzéssel az end-en, kevés aggálya lehet a HIPAA-megfelelőséggel kapcsolatban.
az Office 365 HIPAA-védelme megbízható, de végső soron a megfelelőség az Ön felelőssége, mint a HIPAA hatálya alá tartozó entitás.
melyik Microsoft Office 365-csomag kompatibilis a HIPAA-val?
a Microsoft HIPAA megfelelőségi BAA-t kínál az Office 365 Vállalati, az Office 365 amerikai kormányzati és az Office 365 amerikai kormányzati védelmi felhasználóknak. Előfordulhat azonban, hogy ezeknek a Szolgáltatásoknak az alacsonyabb szintű licencei (például Business Basic, Business Standard és Business Premium) nem rendelkeznek az összes olyan speciális biztonsági funkcióval, amelyet a megfelelőség fenntartásához használni szeretne.
a Microsoft azt javasolja, hogy a HIPAA-megfelelőséget kereső felhasználók engedélyezzék a legfelső szintű biztonsági védelmet. Néhány ilyen védelem, beleértve az adathalász fenyegetések felderítőit és az adatvesztés megelőzését, csak a magasabb szintű vállalati licencek tulajdonosai számára érhető el.
a Microsoft BAA-ja garantálja-e a HIPAA és a HITECH törvény betartását?
nem, a BAA nem garantálja a megfelelőséget. A BAA célja annak tisztázása, hogy a megfelelőségi követelmények a HIPAA üzleti munkatársának felelőssége. Például, ha a Microsoft Office 365-fiókjában megsértés történt, a Microsoft értesíti Önt arról, hogy megtörtént.
még a legerősebb BAA alatt is Ön, mint felhőszolgáltatás-ügyfél továbbra is felelős a megfelelés fenntartásáért. Létre kell hoznia és fenn kell tartania egy belső megfelelőségi programot, amely mindent megold, amit HIPAA-lefedettségű szervezetként megkövetelnek Öntől. Például belső szabályzatokkal, eljárásokkal és folyamatokkal kell rendelkeznie annak biztosítása érdekében, hogy személyzete olyan módon járjon el, amely nem sérti a HIPAA előírásait.
a Microsoft BAA segít betartani a HIPAA alapelveit a vállalat szolgáltatásainak használatakor, de nem fog mindent megtenni az Ön számára. Továbbra is meg kell győződnie arról, hogy csapata úgy használja az Office 365-öt, hogy az megfeleljen a HIPAA és a HITECH törvény minden szabályának.