Tuyên bố miễn trừ trách nhiệm: Tôi không phải là luật sư.
Đầu tiên, một số yêu cầu đọc:
Trung tâm tin cậy Microsoft Azure
Thỏa thuận liên kết kinh doanh của HIPAA (BAA)
HIPAA và Đạo luật HITECH là luật của Hoa Kỳ áp dụng cho các cơ quan chăm sóc sức khỏe có quyền truy cập vào thông tin bệnh nhân (được gọi là Thông tin sức khỏe được bảo vệ hoặc PHI). Trong nhiều trường hợp, để một công ty chăm sóc sức khỏe được bảo hiểm sử dụng dịch vụ đám mây như Azure, nhà cung cấp dịch vụ phải đồng ý trong một thỏa thuận bằng văn bản để tuân thủ một số quy định về bảo mật và quyền riêng tư được quy định trong HIPAA và Đạo luật HITECH. Để giúp khách hàng tuân thủ HIPAA và Đạo luật HITECH, Microsoft cung cấp BAA cho khách hàng dưới dạng phụ lục hợp đồng.
Microsoft hiện cung cấp BAA cho các khách hàng có Thỏa thuận cấp phép doanh nghiệp / cấp phép doanh nghiệp (EA) hoặc đăng ký EA chỉ có Azure với Microsoft cho các dịch vụ trong phạm vi. EA chỉ Azure không phụ thuộc vào kích thước chỗ ngồi, thay vào đó là cam kết tiền tệ hàng năm đối với Azure, cho phép khách hàng được giảm giá so với thanh toán khi bạn định giá.
Trước khi ký BAA, khách hàng nên đọc Hướng dẫn triển khai Azure HIPAA. Tài liệu này được phát triển để hỗ trợ khách hàng quan tâm đến HIPAA và Đạo luật HITECH để hiểu các khả năng có liên quan của Azure. Đối tượng dự kiến bao gồm các nhân viên bảo mật, nhân viên an ninh, nhân viên tuân thủ và những người khác trong các tổ chức khách hàng chịu trách nhiệm thực hiện và tuân thủ Đạo luật HIPAA và HITECH. Tài liệu này bao gồm một số thực tiễn tốt nhất để xây dựng các ứng dụng tuân thủ HIPAA và chi tiết các quy định Azure để xử lý các vi phạm bảo mật. Mặc dù Azure bao gồm các tính năng giúp cho phép tuân thủ quyền riêng tư và bảo mật của khách hàng, khách hàng có trách nhiệm đảm bảo việc sử dụng Azure cụ thể của họ tuân thủ HIPAA, Đạo luật HITECH và các luật và quy định hiện hành khác,
Khách hàng nên liên hệ với đại diện tài khoản Microsoft của mình để ký thỏa thuận.
Bạn có thể được yêu cầu ký BAA với nhà cung cấp đám mây của mình (Azure.) Hỏi (các) đại diện tuân thủ của bạn.
Dưới đây là Hướng dẫn triển khai Azure HIPAA .
Có thể sử dụng Azure theo cách tuân thủ các yêu cầu của Đạo luật HIPAA và HITECH.
Các máy ảo Azure và Azure SQL và các phiên bản SQL Server chạy trong máy ảo Azure, đều có phạm vi và được hỗ trợ tại đây.
Bitlocker là đủ để mã hóa dữ liệu ở phần còn lại. Nó sử dụng mã hóa AES theo cách thỏa mãn các yêu cầu của HIPAA (cũng như các yêu cầu của các tổ chức tương tự khác) để mã hóa dữ liệu khi nghỉ ngơi.
Hơn nữa, SQL Server sẽ không lưu trữ dữ liệu nhạy cảm, không được mã hóa trên ổ đĩa OS trừ khi bạn định cấu hình SQL để làm như vậy ... ví dụ như cấu hình TempDB để sống trên ổ đĩa OS hoặc một cái gì đó.
Mã hóa các ô / trường / cột trong cơ sở dữ liệu riêng lẻ không được yêu cầu nghiêm ngặt giả sử bạn đã thỏa mãn các yêu cầu mã hóa dữ liệu ở phần còn lại theo các cách khác, ví dụ TDE hoặc Bitlocker.
Cách bạn chọn quản lý khóa mã hóa Bitlocker có thể xuất hiện, vì nó sẽ không tồn tại bên trong chip TPM hoặc trên ổ USB di động do bạn không có quyền truy cập vào máy vật lý. (Cân nhắc việc có một sysadmin nhập thủ công mật khẩu để mở khóa ổ dữ liệu mỗi khi máy chủ khởi động lại.) Đây là loại rút ra chính cho các dịch vụ như CloudLink, vì chúng quản lý khóa mã hóa thiêng liêng đó cho bạn.