ข้อจำกัดความรับผิดชอบ: ฉันไม่ใช่ทนายความ
ก่อนอื่นต้องมีการอ่าน:
Microsoft Azure Trust Center
ข้อตกลงร่วมธุรกิจ HIPAA (BAA)
HIPAA และพระราชบัญญัติ HITECH เป็นกฎหมายของสหรัฐอเมริกาที่ใช้กับหน่วยงานด้านการดูแลสุขภาพที่สามารถเข้าถึงข้อมูลผู้ป่วย (เรียกว่า Protected Health Information หรือ PHI) ในหลาย ๆ กรณีเพื่อให้ บริษัท ด้านการดูแลสุขภาพในการใช้บริการคลาวด์อย่าง Azure ผู้ให้บริการจะต้องเห็นด้วยในข้อตกลงเป็นลายลักษณ์อักษรเพื่อปฏิบัติตามข้อกำหนดด้านความปลอดภัยและความเป็นส่วนตัวที่กำหนดไว้ใน HIPAA และพระราชบัญญัติ HITECH เพื่อช่วยให้ลูกค้าปฏิบัติตาม HIPAA และพระราชบัญญัติ HITECH Microsoft ได้เสนอ BAA ให้กับลูกค้าเพื่อเป็นส่วนเสริมของสัญญา
ปัจจุบัน Microsoft เสนอ BAA ให้กับลูกค้าที่มีข้อตกลง Volume Licensing / Enterprise Agreement (EA) หรือ Azure เท่านั้นที่ EA ทำการลงทะเบียนกับ Microsoft สำหรับบริการที่อยู่ในขอบเขต Azure เท่านั้น EA ไม่ได้ขึ้นอยู่กับขนาดที่นั่ง แต่จะขึ้นอยู่กับข้อผูกพันทางการเงินประจำปีของ Azure ที่อนุญาตให้ลูกค้าได้รับส่วนลดมากกว่าการชำระเงินตามที่คุณกำหนดราคา
ก่อนที่จะลงนาม BAA ลูกค้าควรอ่านคำแนะนำการใช้งาน Azure HIPAA เอกสารนี้ได้รับการพัฒนาขึ้นเพื่อช่วยให้ลูกค้าที่สนใจใน HIPAA และพระราชบัญญัติ HITECH เข้าใจความสามารถที่เกี่ยวข้องของ Azure ผู้ชมที่ตั้งใจรวมถึงเจ้าหน้าที่ความเป็นส่วนตัวเจ้าหน้าที่รักษาความปลอดภัยเจ้าหน้าที่กำกับการปฏิบัติตามกฎระเบียบและอื่น ๆ ในองค์กรลูกค้าที่รับผิดชอบการดำเนินงานและการปฏิบัติตามกฎหมาย HIPAA และ HITECH เอกสารครอบคลุมแนวทางปฏิบัติที่ดีที่สุดบางประการสำหรับการสร้างแอปพลิเคชันที่สอดคล้องกับมาตรฐาน HIPAA และรายละเอียดข้อกำหนด Azure สำหรับการจัดการการละเมิดความปลอดภัย ในขณะที่ Azure มีคุณสมบัติที่จะช่วยให้การปฏิบัติตามนโยบายความเป็นส่วนตัวและความปลอดภัยของลูกค้าลูกค้ามีความรับผิดชอบในการตรวจสอบให้แน่ใจว่าการใช้ Azure ของพวกเขาเป็นไปตาม HIPAA, พระราชบัญญัติ HITECH และกฎหมายและข้อบังคับอื่น ๆ
ลูกค้าควรติดต่อตัวแทนบัญชี Microsoft ของพวกเขาเพื่อลงนามข้อตกลง
คุณอาจต้องลงชื่อ BAA กับผู้ให้บริการคลาวด์ของคุณ (Azure) สอบถามตัวแทนการปฏิบัติตามกฎระเบียบของคุณ
นี่คือการดำเนินการแนะแนว Azure HIPAA
เป็นไปได้ที่จะใช้ Azure ในลักษณะที่สอดคล้องกับข้อกำหนด HIPAA และ HITECH Act
Azure VMs และ Azure SQL และอินสแตนซ์ของ SQL Server ที่ทำงานภายใน Azure VM ทั้งหมดอยู่ในขอบเขตและได้รับการสนับสนุนที่นี่
Bitlocker เพียงพอสำหรับการเข้ารหัสข้อมูลที่เหลือ มันใช้การเข้ารหัส AES ในลักษณะที่เป็นไปตามข้อกำหนดของ HIPAA (เช่นเดียวกับข้อกำหนดขององค์กรอื่นที่คล้ายคลึงกัน) สำหรับการเข้ารหัสข้อมูลที่เหลือ
นอกจากนี้ SQL Server จะไม่เก็บข้อมูลที่ไม่ได้เข้ารหัสและมีความละเอียดอ่อนบนไดรฟ์ระบบปฏิบัติการเว้นแต่คุณจะกำหนดค่า SQL ให้ทำเช่น ... เช่นการกำหนดค่า TempDB ให้ใช้งานได้จริงบนไดรฟ์ OS หรืออะไรก็ตาม
การเข้ารหัสของเซลล์ / ฟิลด์ / คอลัมน์ภายในฐานข้อมูลแต่ละรายการนั้นไม่จำเป็นอย่างเคร่งครัดหากคุณได้ปฏิบัติตามข้อกำหนดสำหรับการเข้ารหัสข้อมูลที่เหลือในรูปแบบอื่นเช่น TDE หรือ Bitlocker
วิธีที่คุณเลือกในการจัดการคีย์การเข้ารหัสของ Bitlocker อาจเกิดขึ้นเนื่องจากมันจะไม่อยู่ในชิป TPM หรือบนไดรฟ์ USB แบบถอดได้เนื่องจากคุณไม่สามารถเข้าถึงเครื่องทางกายภาพได้ (พิจารณาว่ามี sysadmin ด้วยตนเองป้อนรหัสผ่านเพื่อปลดล็อกไดรฟ์ข้อมูลทุกครั้งที่เซิร์ฟเวอร์รีบูต) นี่เป็นการดึงข้อมูลหลักของบริการเช่น CloudLink เนื่องจากพวกเขาจัดการคีย์การเข้ารหัสที่ศักดิ์สิทธิ์สำหรับคุณ