Microsoft 365 HIPAA è conforme?

Office 365 HIPAA compliance è una preoccupazione pressante per un numero crescente di aziende sanitarie. La robusta soluzione cloud di Microsoft consente ai provider di tenere registri e comunicare con facilità, ma è troppo facile? Le informazioni sensibili possono davvero essere protette se sono memorizzate nel cloud?

Il cloud computing ha fatto breccia nel settore sanitario per diversi anni. Offre numerosi vantaggi come strategia, consentendo alle organizzazioni e ai fornitori di assistenza di espandere dove e come possono utilizzare la tecnologia. Rendendo più facile per i provider conservare e consultare le cartelle cliniche dei pazienti, anche quando sono in viaggio, il cloud computing migliora e semplifica l’esperienza del paziente.

Questo passaggio al cloud è positivo per l’assistenza sanitaria nel suo complesso, ma attribuisce ulteriori responsabilità agli specialisti di conformità e sicurezza. Fortunatamente, il compito di trovare HIPAA-compliant software cloud sta diventando sempre più facile come più fornitori e sviluppatori riconoscono la domanda del mercato. Molti fornitori di soluzioni hanno ora adattato le loro offerte per soddisfare le esigenze HIPAA delle organizzazioni sanitarie.

Microsoft 365, discutibile il servizio cloud più utilizzato, è un esempio standout. Offre la conformità HIPAA per tutte le organizzazioni sanitarie che hanno e utilizzano correttamente un Business Associate Agreement (BAA). In questo articolo, imparerete di più su ciò che Microsoft ha fatto per consentire la sua suite 365 per soddisfare i requisiti HIPAA e quali aspetti della protezione dei dati rimangono la responsabilità dei fornitori.

HIPAA BAA e Microsoft 365

Il livello di conformità HIPAA di qualsiasi soluzione cloud dipende dal BAA dell’organizzazione utente. Una delle caratteristiche più convenienti di Microsoft 365 per il client sanitario è che fornisce un BAA come elemento standard di servizio.

Che cos’è un BAA?

Un accordo di business associate è un contratto tra un’entità coperta da HIPAA (come uno studio medico o un ospedale) e un’azienda associata. Non appena tutte le informazioni sanitarie protette (PHI) vengono caricate nel cloud, entrambe le parti sono automaticamente soggette alle normative HIPAA. Per questo motivo, è necessario disporre di un BAA in atto con un fornitore cloud prima di implementare qualsiasi soluzione relativa ai dati dei pazienti.

Come funziona il BAA di Microsoft?

Per impostazione predefinita, Microsoft offre la sua BAA come parte dei suoi Termini di servizi online agli utenti che sono entità coperte o soci in affari come definito da HIPAA. Il BAA copre Dynamics 365, Office 365 e alcuni altri servizi cloud.

Se stai considerando Microsoft come fornitore di soluzioni, rivedi il BAA in dettaglio per assicurarti che i servizi e i termini coperti del BAA soddisfino le tue esigenze. Microsoft non modifica il suo BAA su richiesta del cliente, quindi i termini devono essere sufficienti come scritti.

Microsoft 365 Security Controls and HIPAA Requirements

Per confermare che le sue pratiche di sicurezza si allineano con le raccomandazioni dell’editore ufficiale HIPAA, il Dipartimento della Salute e dei servizi umani (HHS) degli Stati Uniti, Microsoft è stata sottoposta a audit di sicurezza delle informazioni secondo lo standard ISO 27001 . Questo standard valuta diversi aspetti della sicurezza IT di un’organizzazione, incluso se segue le raccomandazioni HHS.

I risultati confermano che Office 365 include tutti i controlli di sicurezza e privacy HIPAA necessari per la conformità. È possibile accedere a questi controlli tramite Microsoft 365 Compliance Center.

Microsoft Compliance Center

Microsoft Compliance Center consente ai clienti di accedere agli strumenti e alle informazioni di cui hanno bisogno per gestire la conformità. Include funzionalità come:

• Conformità Punteggio di rischio metrica che misura i progressi verso la riduzione del rischio
• attiva gli avvisi di carta, che elenca le notifiche di sicurezza e punti verso le informazioni più dettagliate
• Una classificazione dei dati sezione per aiutarvi a organizzare correttamente i dati importanti
• Una sezione report con le informazioni sulle app di terze parti, i file condivisi e più
• i permessi di Una sezione che consente di gestire l’accesso all’interno dell’organizzazione
• Una sezione soluzioni con informazioni dettagliate circa la conformità dell’organizzazione strategie
• Uno strumento di protezione contro la perdita di dati che consente di tenere traccia delle informazioni sensibili

Il Compliance Center è una risorsa solida. È disponibile per tutti i clienti Microsoft Business, ma alcune funzionalità, come gestione avanzata delle minacce, etichette di sensibilità per la classificazione dei dati, alcune funzionalità DLP, potrebbero non essere disponibili a meno che non si disponga di una licenza di livello superiore.

Microsoft 365 Security Features for HIPAA

Microsoft offre molte funzionalità di sicurezza per aiutare le aziende a mantenere la conformità a normative specifiche. Quelli particolarmente rilevanti per HIPAA sono:

• Accesso con privilegi minimi: questa funzione limita il rischio e l’impatto delle violazioni dei dati garantendo un accesso elevato solo a coloro che lo richiedono.
• Lettori di privacy: Microsoft consiglia ai clienti con un BAA di designare rappresentanti come lettori di privacy HIPAA, che dà loro accesso alle notifiche del Centro messaggi su possibili violazioni che coinvolgono electronic Protected healthcare information (ePHI).
• Crittografia end-to-end: Microsoft crittografa tutti i dati quando vengono caricati o archiviati sui server dell’azienda. Viene anche crittografato quando viene trasferito al di fuori delle strutture Microsoft (encryption in transit); tuttavia, alcune informazioni, inclusi i dati nelle righe dell’oggetto e nei campi dell’indirizzo e-mail, non possono essere crittografate a causa dei protocolli Internet standard. Pertanto, Microsoft consiglia a tutti gli utenti di addestrare il personale a non includere mai ePHI nelle righe A, Da o Oggetto di un’e-mail.
• Prevenzione della perdita di dati: ePHI è protetto dalla condivisione a spettatori non autorizzati.
• Autenticazione a più fattori: Gli utenti devono fornire informazioni inviate a un altro dispositivo o account prima di poter accedere.
• Registri di controllo: gli amministratori possono visualizzare chi ha visto, aperto, condiviso o cestinato documenti.
• Backup dei dati: questa funzione è richiesta in HIPAA in modo che le copie esatte di ePHI possano essere ripristinate quando necessario.
• Configurazione di sicurezza: Microsoft consente ai clienti di modificare le impostazioni di sicurezza su molti servizi coperti dalla BAA. Per la conformità HIPAA, la strategia più sicura potrebbe essere quella di impostare i parametri più severi possibili. Istruzioni di configurazione dettagliate sono disponibili nella guida all’implementazione HIPAA di Microsoft.

Come Microsoft gestisce le violazioni della sicurezza

La BAA di Microsoft afferma che in caso di violazione della sicurezza, la società notificherà tutti gli amministratori globali del tuo account e tutti gli utenti che hanno la designazione Privacy Reader entro 30 giorni.

Microsoft non notifica ai clienti una violazione. Tale responsabilità ricade su HIPAA, che richiede a tutte le entità coperte di notificare le persone interessate se una violazione coinvolge ePHI non garantito. Microsoft inoltre non invia alcuna notifica richiesta al Segretario di HHS o ai media.

In caso di violazione di un potenziale repository ePHI, Microsoft non è responsabile della scansione dei dati memorizzati per determinare se un ePHI è stato effettivamente compromesso. Riceverai una notifica che si è verificata una violazione. È quindi necessario valutare se un ePHI è stato compromesso e quale sia il grado dell’impatto.

Configurazione di conformità HIPAA di Office 365: Best Practice

Microsoft è molto chiaro che, alla fine, la responsabilità della conformità HIPAA spetta al cliente. Il fornitore consiglia a tutte le aziende di stabilire una serie di procedure e politiche per aiutare il proprio personale a utilizzare Office 365 in modo da supportare la conformità. Ecco alcuni dei passaggi più importanti da seguire durante il processo di installazione.

Controllare i dettagli del servizio.

• Assicurarsi che i prodotti che si intende utilizzare rientrino nell’ambito dei servizi di conformità HIPAA di Microsoft.
• Rivedere il BAA per assicurarsi che le pratiche di sicurezza e privacy inclusi soddisfare le vostre esigenze.

Impostare le procedure di controllo degli accessi.

• Nel Centro messaggi Microsoft 365, specificare i Lettori privacy.
• Attiva il monitoraggio degli accessi per gli amministratori in modo da poter vedere quando accedono agli account utente.

Fornire formazione sull’esclusione PHI.

• Il personale amministrativo non deve inserire ePHI in directory, rubriche o elenchi di indirizzi globali.
• Nessun personale deve condividere ePHI nella risoluzione dei problemi o nelle conversazioni di supporto con Microsoft.
• Gli utenti non devono fare riferimento a ePHI in nomi di file, intestazioni e-mail o posizioni SharePoint accessibili pubblicamente.
• Gli utenti non devono inviare ePHI via e-mail se non a utenti esplicitamente autorizzati.

Stabilire le procedure per la revisione degli accessi.

• Rivedere regolarmente l’accesso degli utenti a tutti i repository di archiviazione ePHI.
• Esamina regolarmente le autorizzazioni di accesso degli utenti, le modifiche delle password e le aggiunte alle risorse condivise.
• Creare un protocollo per l’aggiornamento dei diritti di accesso in caso di modifiche del personale.

Come Netwrix aiuta i clienti Microsoft 365

La conformità con HIPAA non è un compito da poco e l’aggiunta di conformità relativa ai servizi cloud può tassare le risorse anche dell’organizzazione più solida. Netwrix può prendere gran parte di quel carico fuori delle spalle con la sua soluzione per la conformità HIPAA.

Sapere esattamente dove si memorizzano ePHI

La soluzione Netwrix può identificare i repository OneDrive for Business specifici, le cassette postali Exchange Online e i siti SharePoint Online nel proprio account che contengono ePHI. Questo è il primo passo verso la protezione che ePHI da minacce interne ed esterne.

Riduci la tua superficie di attacco riducendo al minimo le autorizzazioni

La soluzione Netwrix può anche aiutarti ad assicurarti di avere i privilegi corretti. Può identificare e rimuovere automaticamente le autorizzazioni eccessive ai dati sensibili. Inoltre, semplifica anche il processo di verifica degli accessi e di attestazione dei privilegi, migliorando così le possibilità di superare gli audit di conformità la prima volta.

Identificare e rispondere alle minacce

Grazie alla visibilità cross-system dettagliata, la soluzione Netwrix può individuare bandiere rosse che potrebbero indicare minacce interne, come tentativi di accesso falliti, escalation dei privilegi e un numero insolitamente elevato di letture, e rilevare i segni di ransomware in corso. Ti consente di approfondire facilmente le attività sospette in modo da poter bloccare le minacce prima che causino gravi danni.

Se c’è una violazione, qualunque sia la sua origine, Netwrix può aiutare a determinare la gravità dell’incidente, consentendo di soddisfare tutti i requisiti per le autorità di notifica e gli utenti interessati.

Microsoft 365 e HIPAA Compliance FAQ

Ci sono problemi HIPAA con l’utilizzo di Office 365?

Se esamini attentamente la BAA di Microsoft e comprendi l’ambito delle sue protezioni di sicurezza e conformità, confermi che tali protezioni soddisfano le tue esigenze di conformità HIPAA e disponga di tutti i controlli di sicurezza richiesti, dovresti avere pochi se non qualche dubbio sulla conformità HIPAA.

Le protezioni HIPAA di Office 365 sono robuste, ma alla fine, la conformità è responsabilità dell’utente in quanto entità coperta da HIPAA.

Quale piano Microsoft Office 365 è conforme a HIPAA?

Microsoft offre la sua conformità HIPAA BAA agli utenti di Office 365 Business, Office 365 US Government e Office 365 US Government Defense. Tuttavia, le licenze di livello inferiore di questi servizi (Business Basic, Business Standard e Business Premium, ad esempio) potrebbero non avere tutte le funzionalità di sicurezza avanzate che si desidera utilizzare per mantenere la conformità.

Microsoft consiglia agli utenti che cercano la conformità HIPAA di abilitare protezioni di sicurezza di alto livello. Alcune di queste protezioni, tra cui anti-phishing threat explorers e data loss prevention, sono disponibili solo per i titolari di licenze Enterprise di livello superiore.

Avere un BAA con Microsoft garantisce la conformità con HIPAA e HITECH Act?

No, un BAA non garantisce la conformità. Lo scopo del BAA è quello di chiarire quali requisiti di conformità sono di responsabilità del socio in affari HIPAA. Ad esempio, se si verifica una violazione nel tuo account Microsoft Office 365, Microsoft ti informerà che si è verificato.

Sotto anche il BAA più robusto, tu come cliente del servizio cloud hai ancora la responsabilità di mantenere la conformità. È necessario stabilire e mantenere un programma di conformità interno che affronti tutto ciò che è richiesto da te come organizzazione coperta da HIPAA. Ad esempio, è necessario disporre di politiche, procedure e processi interni per garantire che il personale agisca in modo da non violare i regolamenti HIPAA.

Il BAA di Microsoft ti aiuta a rispettare i principi HIPAA quando usi i servizi dell’azienda, ma non farà tutto per te. È ancora necessario assicurarsi che il team utilizza Office 365 in un modo che si allinea con ogni regola di HIPAA e la legge HITECH.

Evangelista del prodotto presso Netwrix Corporation, scrittore e presentatore. Ryan è specializzato nell’evangelizzazione della sicurezza informatica e nella promozione dell’importanza della visibilità sui cambiamenti IT e sull’accesso ai dati. Come autore, Ryan si concentra sulle tendenze della sicurezza IT, sondaggi e approfondimenti del settore.