Feragatname: Ben bir avukat değilim.
İlk olarak, bazı okumalar gerekli:
Microsoft Azure Güven Merkezi
HIPAA İş Ortaklığı Sözleşmesi (BAA)
HIPAA ve HITECH Yasası, hasta bilgilerine (Korunan Sağlık Bilgileri veya PHI adı verilir) erişimi olan sağlık kuruluşları için geçerli olan ABD yasalarıdır. Pek çok durumda, kapsam dahilindeki bir sağlık şirketinin Azure gibi bir bulut hizmetini kullanması için, hizmet sağlayıcısının HIPAA ve HITECH Yasasında belirtilen belirli güvenlik ve gizlilik hükümlerine uymak için yazılı bir anlaşma yapması gerekir. Müşterilerin HIPAA ve HITECH Yasası'na uymalarına yardımcı olmak için Microsoft, müşterilere sözleşme eki olarak BAA sunmaktadır.
Microsoft şu anda kapsam kapsamındaki hizmetler için Toplu Lisans / İşletme Sözleşmesi (EA) veya yalnızca Azure yalnızca EA kaydı olan müşterilere BAA'yı sunmaktadır. Azure yalnızca EA, bir müşterinin fiyatlandırmaya gittikçe ödeme üzerinden indirim elde etmesini sağlayan Azure'a yıllık parasal taahhüdüne değil, koltuk boyutuna bağlı değildir.
BAA'yı imzalamadan önce müşteriler Azure HIPAA Uygulama Kılavuzunu okumalıdır. Bu belge, HIPAA ve HITECH Yasası ile ilgilenen müşterilere Azure'un ilgili yeteneklerini anlamalarında yardımcı olmak için geliştirilmiştir. Hedef kitle, gizlilik görevlilerini, güvenlik görevlilerini, uyum görevlilerini ve HIPAA ve HITECH Yasası'nın uygulanmasından ve uyumundan sorumlu müşteri kuruluşlarındaki diğer kişileri içerir. Belge, HIPAA uyumlu uygulamalar oluşturmak için en iyi uygulamalardan bazılarını içerir ve güvenlik ihlallerini ele almak için Azure hükümlerini ayrıntılı olarak açıklar. Azure, müşterinin gizlilik ve güvenlik uyumluluğunu sağlamaya yardımcı olacak özellikler içermekle birlikte, müşteriler Azure'un özel kullanımlarının HIPAA, HITECH Yasası ve diğer geçerli yasa ve düzenlemelere uygun olmasını sağlamaktan sorumludur.
Müşteriler, sözleşmeyi imzalamak için Microsoft hesap temsilcilerine başvurmalıdır.
Bulut sağlayıcınızla (Azure) BAA imzalamanız gerekebilir Uyumluluk temsilcinize başvurun.
İşte Azure HIPAA Uygulama Kılavuzu .
Azure'u HIPAA ve HITECH Yasası gerekliliklerine uygun şekilde kullanmak mümkündür.
Azure VM'leri ve Azure SQL ve Azure VM'lerinde çalışan SQL Server örneklerinin tümü kapsam dahilindedir ve burada desteklenmektedir.
Bitlocker, beklemedeki verilerin şifrelenmesi için yeterlidir. AES şifrelemesini, beklemedeki verilerin şifrelenmesi için HIPAA gereksinimlerini (ve diğer benzer kuruluşların gereksinimlerini) karşılayacak şekilde kullanır.
Ayrıca, SQL Server OS sürücüde şifrelenmemiş, hassas verileri saklamaz sürece SQL OS sürücü veya şey üzerinde yaşamaya TempDB yapılandırılması örneğin gibi ... bunu yapılandırın.
Hücrelerin / alanların / sütunların tek tek veritabanlarında şifrelenmesi, dinlenme halindeki verilerin şifrelenmesi için zaten TDE veya Bitlocker gibi gereksinimlerin zaten karşılandığını varsayarak kesinlikle gerekli değildir .
Bitlocker şifreleme anahtarını nasıl yöneteceğinizi seçebilirsiniz, çünkü fiziksel bir makineye erişiminiz olmadığı için bir TPM çipinde veya çıkarılabilir bir USB sürücüsünde yaşamaz. (Sunucu yeniden başlatıldığında veri sürücüsünün kilidini açmak için bir sysadmin'in el ile bir parola girmesini düşünün.) Bu, sizin için o kutsal şifreleme anahtarını yönettikleri için CloudLink gibi hizmetlere yönelik ana çekiliş türüdür.