conformitatea Office 365 HIPAA este o preocupare urgentă pentru un număr tot mai mare de companii din domeniul sănătății. Soluția cloud robustă Microsoft permite furnizorilor să țină înregistrări și să comunice cu ușurință — dar este prea ușor? Informațiile sensibile pot fi într-adevăr protejate dacă sunt stocate în cloud?
Cloud computing face incursiuni în industria asistenței medicale de câțiva ani. Oferă numeroase beneficii ca strategie, permițând organizațiilor și furnizorilor de servicii medicale să se extindă unde și cum pot utiliza tehnologia. Făcând mai ușor pentru furnizori să păstreze și să facă referire la înregistrările pacienților, chiar și atunci când sunt în mișcare, cloud computing îmbunătățește și simplifică experiența pacientului.
această mutare în cloud este pozitivă pentru asistența medicală în ansamblu, dar acordă o responsabilitate suplimentară specialiștilor în conformitate și securitate. Din fericire, sarcina de a găsi software cloud compatibil cu HIPAA devine din ce în ce mai ușoară, pe măsură ce mai mulți furnizori și dezvoltatori recunosc cererea pieței. Mulți furnizori de soluții și-au adaptat acum ofertele pentru a satisface nevoile HIPAA ale organizațiilor de asistență medicală.
Microsoft 365, discutabil cel mai utilizat serviciu cloud, este un exemplu remarcabil. Acesta oferă conformitate HIPAA pentru toate organizațiile de asistență medicală care au și utilizează în mod corespunzător un acord de asociere în afaceri (BAA). În acest articol, veți afla mai multe despre ce a făcut Microsoft pentru a permite suitei sale 365 să îndeplinească cerințele HIPAA și ce aspecte ale protecției datelor rămân responsabilitatea furnizorilor.
- HIPAA BAA și Microsoft 365
- ce este un BAA?
- cum funcționează BAA Microsoft?
- Microsoft 365 Security Controls and HIPAA Requirements
- Centrul de conformitate Microsoft
- Microsoft 365 Caracteristici de securitate pentru HIPAA
- modul în care Microsoft gestionează încălcările de securitate
- configurația de conformitate Office 365 HIPAA: Cele mai bune practici
- Verificați detaliile serviciului.
- configurați procedurile de control al accesului.
- oferă instruire privind excluderea PHI.
- stabiliți proceduri pentru revizuirea accesului.
- cum Netwrix ajută clienții Microsoft 365
- știți exact unde stocați ePHI
- reduceți suprafața de atac prin minimizarea permisiunilor
- identificați și răspundeți la amenințări
- Microsoft 365 și HIPAA Conformitate FAQ
HIPAA BAA și Microsoft 365
nivelul de conformitate HIPAA al oricărei soluții cloud depinde de BAA organizației utilizatorului. Una dintre cele mai convenabile caracteristici ale Microsoft 365 pentru clientul de asistență medicală este că oferă un BAA ca element standard de serviciu.
ce este un BAA?
un contract de asociat de afaceri este un contract între o entitate acoperită de HIPAA (cum ar fi un cabinet medical sau un spital) și o afacere asociată. De îndată ce orice informație de sănătate protejată (PHI) este încărcată în cloud, ambele părți sunt supuse automat reglementărilor HIPAA. Din acest motiv, trebuie să aveți un BAA în loc cu un furnizor de cloud înainte de a implementa orice soluție legată de datele pacientului.
cum funcționează BAA Microsoft?
în mod implicit, Microsoft oferă BAA ca parte a Termenilor serviciilor Online utilizatorilor care sunt entități acoperite sau asociați de afaceri, astfel cum sunt definiți de HIPAA. BAA acoperă Dynamics 365, Office 365 și alte servicii cloud.
dacă considerați Microsoft ca furnizor de soluții, consultați BAA în detaliu pentru a vă asigura că serviciile și condițiile BAA acoperite vă satisfac nevoile. Microsoft nu își modifică BAA la cererea clientului, astfel încât Termenii trebuie să fie suficienți așa cum este scris.
Microsoft 365 Security Controls and HIPAA Requirements
pentru a confirma că practicile sale de securitate se aliniază recomandărilor editorului oficial al HIPAA, Departamentul de sănătate și Servicii Umane din SUA (HHS), Microsoft a fost supus auditurilor de securitate a informațiilor în conformitate cu standardul ISO 27001 . Acest standard evaluează mai multe aspecte ale securității IT a unei organizații, inclusiv dacă respectă recomandările HHS.
rezultatele confirmă faptul că Office 365 include toate controalele de securitate și confidențialitate HIPAA necesare pentru conformitate. Puteți accesa aceste controale prin Centrul de conformitate Microsoft 365.
Centrul de conformitate Microsoft
Centrul de conformitate Microsoft oferă clienților acces la instrumentele și informațiile de care au nevoie pentru a gestiona conformitatea. Acesta include caracteristici cum ar fi:
- scorul dvs. de conformitate, o valoare bazată pe risc care măsoară progresul către reducerea riscului
- un card de alerte active, care listează notificările de securitate și vă indică informații mai detaliate
- o secțiune de clasificare a datelor pentru a vă ajuta să organizați în mod corespunzător date importante
- o secțiune de rapoarte cu informații despre aplicații terțe, fișiere partajate și multe altele
- o secțiune care vă permite să gestionați accesul în cadrul organizației
- o secțiune de soluții cu informații detaliate despre conformitatea organizației strategii
- un instrument de protecție împotriva pierderilor de date pentru a vă permite să urmăriți informații sensibile
Centrul de conformitate este o resursă robustă. Este disponibil pentru toți clienții Microsoft business, dar este posibil ca unele caracteristici, cum ar fi gestionarea avansată a amenințărilor, etichetele de sensibilitate pentru clasificarea datelor, unele funcționalități DLP, să nu fie disponibile decât dacă aveți o licență de nivel superior.
Microsoft 365 Caracteristici de securitate pentru HIPAA
Microsoft oferă multe caracteristici de securitate pentru a ajuta întreprinderile să mențină conformitatea cu reglementările specifice. Cele deosebit de relevante pentru HIPAA sunt:
- acces cu cel mai mic privilegiu: această caracteristică limitează riscul și impactul încălcărilor de date prin acordarea unui acces ridicat numai celor care au nevoie de acesta.
- Cititoare de confidențialitate: Microsoft recomandă clienților cu BAA să desemneze reprezentanți ca cititoare de confidențialitate HIPAA, ceea ce le oferă acces la notificările Centrului de mesaje despre posibile încălcări care implică informații electronice protejate de asistență medicală (ePHI).
- criptare End-to-end: Microsoft criptează toate datele atunci când sunt încărcate sau stocate pe serverele companiei. De asemenea, este criptat atunci când este transferat în afara facilităților Microsoft (criptare în tranzit); cu toate acestea, unele informații, inclusiv datele din liniile de subiect de e-mail și câmpurile de adresă, nu pot fi criptate din cauza protocoalelor internet standard. Prin urmare, Microsoft recomandă ca toți utilizatorii să instruiască personalul să nu includă niciodată ePHI în liniile către, de la sau subiect ale unui e-mail.
- prevenirea pierderilor de date: ePHI este protejat împotriva partajării către spectatori neautorizați.
- Autentificare Multi-Factor: Utilizatorii trebuie să furnizeze informații trimise către un alt dispozitiv sau cont înainte de a li se permite să se conecteze.
- jurnale de Audit: administratorii pot vizualiza cine a văzut, deschis, partajat sau distrus documente.
- backup de date: această caracteristică este necesară în HIPAA, astfel încât copiile exacte ale ePHI pot fi restaurate atunci când este necesar.
- configurație de securitate: Microsoft permite clienților să își modifice setările de securitate pentru multe servicii acoperite de BAA. Pentru respectarea HIPAA, cea mai sigură strategie poate fi stabilirea celor mai stricți parametri posibili. Instrucțiuni detaliate de configurare sunt disponibile în ghidul de implementare HIPAA Microsoft.
modul în care Microsoft gestionează încălcările de securitate
BAA Microsoft afirmă că, în cazul în care apare o încălcare a securității, compania va notifica toți administratorii globali ai contului dvs. și toți utilizatorii care au denumirea de cititor de confidențialitate în termen de 30 de zile.
Microsoft nu notifică Clienții dvs. despre o încălcare. Această responsabilitate revine dvs. sub HIPAA, care impune tuturor entităților acoperite să notifice persoanele afectate dacă o încălcare implică ephi negarantat. De asemenea, Microsoft nu trimite nicio notificare necesară secretarului HHS sau mass-media.
în cazul unei încălcări a unui potențial depozit ePHI, Microsoft nu este responsabil pentru scanarea datelor stocate pentru a determina dacă vreun ePHI a fost efectiv compromis. Veți primi o notificare că a avut loc o încălcare. Apoi, trebuie să evaluați dacă vreun ePHI a fost compromis și care este gradul impactului, dacă există.
configurația de conformitate Office 365 HIPAA: Cele mai bune practici
Microsoft este foarte clar că, în cele din urmă, responsabilitatea pentru conformitatea HIPAA revine clientului. Vânzătorul recomandă ca toate companiile să stabilească un set de proceduri și politici pentru a-și ajuta personalul să utilizeze Office 365 într-un mod care să sprijine conformitatea. Iată câțiva dintre cei mai importanți pași de urmat în timpul procesului de configurare.
Verificați detaliile serviciului.
- asigurați-vă că produsele pe care intenționați să le utilizați se încadrează în domeniul de aplicare al serviciilor de conformitate HIPAA Microsoft.
- examinați BAA pentru a vă asigura că practicile de securitate și confidențialitate incluse satisfac nevoile dvs.
configurați procedurile de control al accesului.
- în Centrul de mesaje Microsoft 365, specificați cititoarele de Confidențialitate.
- activați urmărirea accesului pentru administratorii dvs., astfel încât să puteți vedea când accesează conturile de utilizator.
oferă instruire privind excluderea PHI.
- personalul administrativ nu trebuie să introducă ePHI în directoare, agende sau liste globale de adrese.
- Niciun personal nu ar trebui să partajeze ePHI în depanarea sau să susțină conversațiile cu Microsoft.
- utilizatorii nu trebuie să facă referire la ePHI în niciun nume de fișiere, anteturi de e-mail sau locații SharePoint accesibile publicului.
- utilizatorii nu trebuie să trimită ePHI prin e-mail decât utilizatorilor autorizați în mod explicit.
stabiliți proceduri pentru revizuirea accesului.
- revizuiți în mod regulat accesul utilizatorilor la toate depozitele de stocare ePHI.
- examinați în mod regulat permisiunile de acces ale utilizatorilor, modificările parolei și completările la resursele partajate.
- creați un protocol pentru actualizarea drepturilor de acces în cazul schimbărilor de personal.
cum Netwrix ajută clienții Microsoft 365
respectarea HIPAA nu este o sarcină mică, iar adăugarea conformității legate de serviciile cloud poate impozita resursele chiar și celei mai robuste organizații. Netwrix poate lua o mare parte din această sarcină de pe umeri cu soluția sa pentru respectarea HIPAA.
știți exact unde stocați ePHI
soluția Netwrix poate identifica depozitele specifice OneDrive pentru Business, cutiile poștale Exchange Online și site-urile SharePoint Online din contul dvs. care conțin ePHI. Acesta este primul pas spre protejarea acelui ePHI de amenințările din interior și din exterior.
reduceți suprafața de atac prin minimizarea permisiunilor
soluția Netwrix vă poate ajuta, de asemenea, să vă asigurați că aveți privilegiile corecte. Poate identifica și elimina automat permisiunile excesive pentru datele sensibile. De asemenea, simplifică procesul de examinare a accesului și de atestare a privilegiilor, îmbunătățind astfel șansele dvs. de a trece auditurile de Conformitate pentru prima dată.
identificați și răspundeți la amenințări
datorită vizibilității detaliate între sisteme, soluția Netwrix poate detecta semnale roșii care ar putea indica amenințări din interior, cum ar fi încercări de acces eșuate, escaladarea privilegiilor și un număr neobișnuit de mare de citiri și poate detecta semne de ransomware în curs. Vă permite să găuriți cu ușurință adânc în activități suspecte, astfel încât să puteți bloca amenințările înainte ca acestea să provoace daune grave.
dacă există o încălcare, indiferent de sursa acesteia, Netwrix vă poate ajuta să determinați gravitatea incidentului, permițându-vă să îndepliniți toate cerințele pentru notificarea autorităților și a utilizatorilor afectați.
Microsoft 365 și HIPAA Conformitate FAQ
există probleme HIPAA cu utilizarea Office 365?
atâta timp cât examinați cu atenție BAA Microsoft și înțelegeți domeniul de aplicare al protecției sale de securitate și conformitate, confirmați că aceste protecții satisfac nevoile dvs. de conformitate HIPAA și aveți toate controalele de securitate necesare la sfârșitul dvs., ar trebui să aveți puține îngrijorări cu privire la conformitatea HIPAA.
protecțiile HIPAA ale Office 365 sunt robuste, dar, în cele din urmă, conformitatea este responsabilitatea dvs. ca entitate acoperită de HIPAA.
ce plan Microsoft Office 365 este compatibil HIPAA?
Microsoft oferă BAA de conformitate HIPAA utilizatorilor de Office 365 Business, Office 365 Guvernul SUA, și Office 365 Guvernul SUA apărare. Cu toate acestea, este posibil ca licențele de nivel inferior ale acestor servicii (Business Basic, Business Standard și Business Premium, de exemplu) să nu aibă toate caracteristicile de securitate avansate pe care doriți să le utilizați pentru a vă menține conformitatea.
Microsoft recomandă ca utilizatorii care caută conformitatea HIPAA să permită Protecții de securitate de nivel superior. Unele dintre aceste protecții, inclusiv exploratorii de amenințări anti-phishing și prevenirea pierderilor de date, sunt disponibile numai pentru deținătorii de licențe de întreprindere de nivel superior.
având un BAA cu Microsoft garantează conformitatea cu HIPAA și Legea HITECH?
nu, un BAA nu garantează conformitatea. Scopul BAA este de a clarifica ce cerințe de Conformitate sunt responsabilitatea asociatului de afaceri HIPAA. De exemplu, dacă există o încălcare în contul Microsoft Office 365, Microsoft vă va notifica că a avut loc.
Sub chiar și cea mai robustă BAA, dvs., în calitate de client al Serviciului cloud, aveți în continuare responsabilități pentru menținerea conformității. Trebuie să stabiliți și să mențineți un program de conformitate internă care să abordeze tot ceea ce vi se cere ca organizație acoperită de HIPAA. De exemplu, trebuie să aveți politici, proceduri și procese interne pentru a vă asigura că personalul dvs. acționează într-un mod care nu încalcă reglementările HIPAA.
BAA Microsoft vă ajută să respectați principiile HIPAA atunci când utilizați serviciile companiei, dar nu va face totul pentru dvs. Trebuie totuși să vă asigurați că echipa dvs. utilizează Office 365 într-un mod care se aliniază cu fiecare regulă a HIPAA și Legea HITECH.