zgodność z Ustawą Office 365 HIPAA jest pilnym problemem dla rosnącej liczby firm z sektora opieki zdrowotnej. Niezawodne rozwiązanie chmurowe firmy Microsoft umożliwia dostawcom prowadzenie rejestrów i łatwą komunikację — ale czy jest to zbyt łatwe? Czy poufne informacje mogą być naprawdę chronione, jeśli są przechowywane w chmurze?
Chmura obliczeniowa od kilku lat wprowadza się do branży opieki zdrowotnej. Oferuje liczne korzyści jako strategia, umożliwiając organizacjom i dostawcom opieki rozszerzenie zakresu i sposobu korzystania z technologii. Dzięki ułatwieniu dostawcom przechowywania i odwoływania się do dokumentacji pacjentów, nawet gdy są w podróży, przetwarzanie w chmurze poprawia i upraszcza obsługę pacjenta.
to przejście na chmurę jest korzystne dla opieki zdrowotnej jako całości, ale nakłada dodatkową odpowiedzialność na specjalistów ds. zgodności i bezpieczeństwa. Na szczęście znalezienie zgodnego z HIPAA oprogramowania chmurowego staje się łatwiejsze, ponieważ coraz więcej dostawców i programistów rozpoznaje zapotrzebowanie rynku. Wielu dostawców rozwiązań dostosowało swoją ofertę do potrzeb HIPAA organizacji opieki zdrowotnej.
Microsoft 365, prawdopodobnie najczęściej używana usługa w chmurze, jest wyjątkowym przykładem. Zapewnia zgodność z HIPAA dla wszystkich organizacji opieki zdrowotnej, które mają i prawidłowo korzystają z umowy business associate agreement (BAA). W tym artykule dowiesz się więcej o tym, co firma Microsoft zrobiła, aby jej pakiet 365 spełniał wymagania HIPAA i jakie aspekty ochrony danych pozostają w gestii dostawców.
- HIPAA BAA i Microsoft 365
- co to jest BAA?
- jak działa BAA Microsoftu?
- Kontrola bezpieczeństwa Microsoft 365 i wymagania HIPAA
- Centrum zgodności Microsoft
- Microsoft 365 funkcje zabezpieczeń dla HIPAA
- jak Microsoft radzi sobie z naruszeniami bezpieczeństwa
- Konfiguracja zgodności Office 365 HIPAA: Najlepsze praktyki
- Sprawdź szczegóły usługi.
- Skonfiguruj procedury kontroli dostępu.
- jak Netwrix pomaga klientom Microsoft 365
- dowiedz się dokładnie, gdzie przechowujesz ePHI
- zmniejsz powierzchnię ataku, minimalizując uprawnienia
- identyfikowanie zagrożeń i reagowanie na nie
- Microsoft 365 i HIPAA Compliance FAQ
HIPAA BAA i Microsoft 365
poziom zgodności HIPAA dowolnego rozwiązania chmurowego zależy od poziomu zgodności organizacji użytkownika. Jedną z najwygodniejszych funkcji Microsoft 365 dla klienta opieki zdrowotnej jest to, że zapewnia BAA jako standardowy element usługi.
co to jest BAA?
umowa spółki stowarzyszonej to umowa między podmiotem objętym HIPAA (takim jak gabinet lekarski lub szpital) a przedsiębiorstwem powiązanym. Gdy tylko jakiekolwiek chronione informacje zdrowotne (PHI) zostaną przesłane do chmury, obie strony automatycznie podlegają przepisom HIPAA. Z tego powodu przed wdrożeniem jakiegokolwiek rozwiązania związanego z danymi pacjentów należy skontaktować się z dostawcą usług chmurowych.
jak działa BAA Microsoftu?
domyślnie Microsoft oferuje swoje BAA jako część Warunków usług Online użytkownikom, którzy są podmiotami objętymi ochroną lub współpracownikami biznesowymi zdefiniowanymi przez HIPAA. Baa obejmuje Dynamics 365, Office 365 i niektóre inne usługi w chmurze.
Jeśli rozważasz firmę Microsoft jako dostawcę rozwiązań, sprawdź szczegółowo BAA, aby upewnić się, że objęte usługi i warunki BAA spełniają Twoje potrzeby. Microsoft nie modyfikuje swojego BAA na żądanie klienta, więc warunki muszą być wystarczające w formie pisemnej.
Kontrola bezpieczeństwa Microsoft 365 i wymagania HIPAA
aby potwierdzić zgodność praktyk bezpieczeństwa z zaleceniami oficjalnego wydawcy HIPAA, amerykańskiego Departamentu Zdrowia i usług ludzkich (HHS), firma Microsoft przeszła audyty bezpieczeństwa informacji zgodnie z normą ISO 27001 . Ten standard ocenia wiele aspektów bezpieczeństwa IT organizacji, w tym czy przestrzega zaleceń HHS.
wyniki potwierdzają, że usługa Office 365 zawiera wszystkie elementy kontroli bezpieczeństwa i prywatności HIPAA niezbędne do zapewnienia zgodności z przepisami. Możesz uzyskać dostęp do tych kontroli za pośrednictwem Microsoft 365 Compliance Center.
Centrum zgodności Microsoft
Centrum zgodności Microsoft zapewnia klientom dostęp do narzędzi i informacji potrzebnych do zarządzania zgodnością. Zawiera funkcje takie jak:
- Twój wynik zgodności, wskaźnik oparty na ryzyku, który mierzy postępy w zmniejszaniu ryzyka
- aktywna karta alertów, która zawiera listę powiadomień dotyczących zabezpieczeń i wskazuje na bardziej szczegółowe informacje
- sekcja klasyfikacji danych, która pomaga prawidłowo zorganizować ważne dane
- sekcja raportów z informacjami o aplikacjach innych firm, udostępnionych plikach i nie tylko
- sekcja uprawnień umożliwia to zarządzanie dostępem w organizacji
- sekcja rozwiązań ze szczegółowymi informacjami o zgodności organizacji strategie
- narzędzie do ochrony przed utratą danych umożliwiające śledzenie poufnych informacji
Compliance Center to solidny zasób. Jest on dostępny dla wszystkich klientów biznesowych firmy Microsoft, ale niektóre funkcje, takie jak zaawansowane zarządzanie zagrożeniami, etykiety wrażliwości na klasyfikację danych, niektóre funkcje DLP, mogą nie być dostępne, chyba że masz licencję najwyższego poziomu.
Microsoft 365 funkcje zabezpieczeń dla HIPAA
Microsoft oferuje wiele funkcji zabezpieczeń, które pomagają przedsiębiorstwom zachować zgodność z określonymi przepisami. Szczególnie istotne dla HIPAA są:
- Dostęp o najmniejszych przywilejach: ta funkcja ogranicza ryzyko i wpływ naruszenia danych, zapewniając podwyższony dostęp tylko tym, którzy tego potrzebują.
- czytniki Prywatności: Microsoft zaleca, aby klienci posiadający certyfikat BAA wyznaczali przedstawicieli jako czytniki prywatności HIPAA, co daje im dostęp do powiadomień Centrum Wiadomości o możliwych naruszeniach związanych z elektronicznymi chronionymi informacjami zdrowotnymi (ephi).
- szyfrowanie End-to-end: Microsoft szyfruje wszystkie dane, gdy są przesyłane na serwery firmy lub przechowywane na nich. Jest również szyfrowany, gdy jest przesyłany poza obiektami firmy Microsoft( szyfrowanie w tranzycie); jednak niektóre informacje, w tym dane w liniach tematycznych wiadomości e-mail i polach adresowych, nie mogą być szyfrowane ze względu na standardowe protokoły internetowe. Dlatego Microsoft zaleca, aby wszyscy użytkownicy szkolili personel, aby nigdy nie umieszczał ePHI w wierszach Do, od ani tematu wiadomości e-mail.
- Zapobieganie utracie danych: ePHI jest chroniony przed udostępnianiem nieautoryzowanym widzom.
- Uwierzytelnianie Wieloskładnikowe: Użytkownicy muszą podać informacje wysłane na inne urządzenie lub konto, zanim będą mogli się zalogować.
- dzienniki inspekcji: administratorzy mogą przeglądać, kto widział, otworzył, udostępnił lub zniszczył dokumenty.
- kopie zapasowe danych: Ta funkcja jest wymagana w HIPAA, aby w razie potrzeby można było przywrócić dokładne kopie ePHI.
- konfiguracja zabezpieczeń: Microsoft umożliwia Klientom zmianę ustawień zabezpieczeń w wielu usługach objętych BAA. W przypadku zgodności z HIPAA najbezpieczniejszą strategią może być ustawienie najsurowszych możliwych parametrów. Szczegółowe instrukcje konfiguracji są dostępne w przewodniku implementacji HIPAA firmy Microsoft.
jak Microsoft radzi sobie z naruszeniami bezpieczeństwa
BAA firmy Microsoft stwierdza, że w przypadku naruszenia bezpieczeństwa firma powiadomi wszystkich globalnych administratorów konta i wszystkich użytkowników posiadających oznaczenie Privacy Reader w ciągu 30 dni.
Microsoft nie powiadamia klientów o naruszeniu. Odpowiedzialność ta spoczywa na użytkowniku na mocy ustawy HIPAA, która wymaga od wszystkich podmiotów objętych ochroną powiadomienia osób, których dotyczy naruszenie, o niezabezpieczonych EFI. Microsoft nie przekazuje również żadnych wymaganych powiadomień Sekretarzowi HHS ani mediom.
w przypadku naruszenia potencjalnego repozytorium ePHI firma Microsoft nie ponosi odpowiedzialności za skanowanie przechowywanych danych w celu ustalenia, czy jakiekolwiek ePHI rzeczywiście zostało naruszone. Otrzymasz powiadomienie, że doszło do naruszenia. Następnie należy ocenić, czy jakiekolwiek EFI zostało naruszone i jaki jest stopień wpływu, jeśli w ogóle.
Konfiguracja zgodności Office 365 HIPAA: Najlepsze praktyki
Microsoft wyraźnie stwierdza, że ostatecznie odpowiedzialność za zgodność z HIPAA spoczywa na kliencie. Sprzedawca zaleca wszystkim firmom ustanowienie zestawu procedur i zasad, aby pomóc swoim pracownikom w korzystaniu z usługi Office 365 w sposób zapewniający zgodność z przepisami. Oto niektóre z najważniejszych kroków, które należy wykonać podczas procesu konfiguracji.
Sprawdź szczegóły usługi.
- upewnij się, że produkty, których planujesz użyć, wchodzą w zakres usług zgodności HIPAA firmy Microsoft.
- przejrzyj BAA, aby upewnić się, że zawarte praktyki bezpieczeństwa i prywatności spełniają Twoje potrzeby.
Skonfiguruj procedury kontroli dostępu.
- w Centrum Wiadomości Microsoft 365 określ swoje czytniki Prywatności.
- Włącz śledzenie dostępu administratorów, aby zobaczyć, kiedy uzyskują dostęp do kont użytkowników.
- personel administracyjny nie powinien wprowadzać ePHI do żadnych katalogów, książek adresowych ani globalnych list adresowych.
- żaden personel nie powinien udostępniać ePHI podczas rozwiązywania problemów lub rozmów wsparcia z firmą Microsoft.
- użytkownicy nie powinni odwoływać się do ePHI w żadnych nazwach plików, nagłówkach wiadomości e-mail ani publicznie dostępnych lokalizacjach SharePoint.
- użytkownicy nie powinni wysyłać ePHI pocztą elektroniczną, z wyjątkiem wyraźnie upoważnionych Użytkowników.
- Regularnie sprawdzaj dostęp użytkowników do wszystkich repozytoriów pamięci ephi.
- Regularnie sprawdzaj uprawnienia dostępu użytkowników, zmiany haseł i Dodatki do udostępnionych zasobów.
- Utwórz protokół aktualizacji praw dostępu w przypadku zmian personalnych.
jak Netwrix pomaga klientom Microsoft 365
zgodność z HIPAA nie jest łatwym zadaniem, a dodanie zgodności związanej z usługami w chmurze może opodatkować zasoby nawet najbardziej solidnej organizacji. Netwrix może odciążyć twoje barki dzięki rozwiązaniu zapewniającemu zgodność z HIPAA.
dowiedz się dokładnie, gdzie przechowujesz ePHI
rozwiązanie Netwrix może zidentyfikować konkretne repozytoria OneDrive dla firm, skrzynki pocztowe Exchange Online i witryny SharePoint Online na twoim koncie, które zawierają ePHI. Jest to pierwszy krok w kierunku ochrony tego ePHI przed zagrożeniami wewnętrznymi i zewnętrznymi.
zmniejsz powierzchnię ataku, minimalizując uprawnienia
rozwiązanie Netwrix może również pomóc w upewnieniu się, że masz odpowiednie uprawnienia. Może automatycznie identyfikować i usuwać nadmierne uprawnienia do poufnych danych. Upraszcza również proces weryfikacji dostępu i poświadczania uprawnień, zwiększając w ten sposób szanse na przejście audytów zgodności za pierwszym razem.
identyfikowanie zagrożeń i reagowanie na nie
dzięki szczegółowej widoczności między systemami rozwiązanie Netwrix może wykrywać czerwone flagi, które mogą wskazywać na zagrożenia wewnętrzne, takie jak nieudane próby dostępu, eskalacja uprawnień i niezwykle wysoka liczba odczytów, a także wykrywać oznaki postępującego oprogramowania ransomware. Umożliwia łatwe wwiercenie się głęboko w podejrzane działania, dzięki czemu można blokować zagrożenia, zanim spowodują poważne szkody.
w przypadku wystąpienia naruszenia, niezależnie od jego źródła, Netwrix może pomóc w określeniu wagi incydentu, umożliwiając spełnienie wszystkich wymagań dla organów powiadamiających i użytkowników, których dotyczy naruszenie.
Microsoft 365 i HIPAA Compliance FAQ
czy są jakieś obawy HIPAA dotyczące korzystania z Office 365?
tak długo, jak uważnie przeglądasz BAA firmy Microsoft i rozumiesz zakres jej zabezpieczeń i zabezpieczeń zgodności, potwierdzasz, że zabezpieczenia te spełniają Twoje potrzeby w zakresie zgodności z HIPAA i posiadasz wszystkie wymagane kontrole bezpieczeństwa, powinieneś mieć niewiele wątpliwości dotyczących zgodności z HIPAA.
zabezpieczenia HIPAA w usłudze Office 365 są solidne, ale ostatecznie zgodność z przepisami należy do Ciebie jako podmiotu objętego HIPAA.
który plan Microsoft Office 365 jest zgodny z HIPAA?
Microsoft oferuje zgodność z HIPAA dla użytkowników Office 365 Business, Office 365 US Government i Office 365 US Government Defense. Jednak licencje niższego poziomu tych usług (na przykład Business Basic, Business Standard i Business Premium) mogą nie mieć wszystkich zaawansowanych funkcji zabezpieczeń, których chcesz używać w celu zachowania zgodności.
firma Microsoft zaleca, aby użytkownicy poszukujący zgodności z ustawą HIPAA włączali zabezpieczenia najwyższego poziomu. Niektóre z tych zabezpieczeń, w tym narzędzia anty-phishing threat Explorer i data loss prevention, są dostępne tylko dla posiadaczy wyższych poziomów licencji Enterprise.
czy posiadanie BAA z Microsoft gwarantuje zgodność z HIPAA i Ustawą HITECH?
Nie, BAA nie gwarantuje zgodności. Celem BAA jest wyjaśnienie, za jakie wymogi zgodności odpowiada partner biznesowy HIPAA. Na przykład, jeśli na twoim koncie Microsoft Office 365 wystąpi naruszenie, Microsoft powiadomi Cię o tym.
nawet najbardziej niezawodny dostawca usług w chmurze ma obowiązek zachowania zgodności z przepisami. Musisz ustanowić i utrzymywać wewnętrzny program zgodności, który będzie odpowiadał wszystkim wymaganiom organizacji objętej HIPAA. Na przykład musisz mieć wewnętrzne zasady, procedury i procesy, aby upewnić się, że twój personel działa w sposób, który nie narusza przepisów HIPAA.
Microsoft BAA pomaga przestrzegać zasad HIPAA podczas korzystania z usług firmy, ale nie zrobi wszystkiego za Ciebie. Nadal musisz upewnić się, że twój zespół korzysta z usługi Office 365 w sposób zgodny z każdą regułą HIPAA i Ustawą HITECH.
