Udostępnij za pośrednictwem

Funkcje zgodności HIPAA

  • Artykuł

Usługa Databricks zdecydowanie zaleca, aby klienci, którzy chcą korzystać z funkcjonalności zgodnych z HIPAA, włączyli profil zabezpieczeń zgodności, który dodaje agentów monitorowania, udostępnia obraz obliczeniowy ze wzmocnionymi zabezpieczeniami oraz inne funkcje. Aby uzyskać szczegółowe informacje techniczne, zobacz Profil zabezpieczeń zgodności.

Twoim zadaniem jest potwierdzenie, że każdy obszar roboczy ma włączony profil zabezpieczeń zgodności.

Ta funkcja wymaga, aby obszar roboczy był na poziomie cenowym Premium.

Upewnij się, że informacje poufne nigdy nie są wprowadzane w polach wejściowych zdefiniowanych przez klienta, takich jak nazwy obszarów roboczych, nazwy klastrów i nazwy zadań.

Które zasoby obliczeniowe uzyskują zwiększone zabezpieczenia

Ulepszenia profilu zabezpieczeń zgodności dla rozwiązania HIPAA dotyczą zasobów obliczeniowych w klasycznej płaszczyźnie obliczeniowej i bezserwerowej płaszczyźnie obliczeniowej we wszystkich regionach. Aby uzyskać więcej informacji na temat klasycznych i bezserwerowych płaszczyzn obliczeniowych, zobacz Omówienie architektury usługi Azure Databricks.

Omówienie ustawy HIPAA

Health Insurance Portability and Accountability Act of 1996 (HIPAA), Health Information Technology for Economic and Clinical Health (HITECH) i przepisy wydane zgodnie z HIPAA są zestawem amerykańskich przepisów dotyczących opieki zdrowotnej. Między innymi przepisy te ustanawiają wymagania dotyczące stosowania, ujawniania i ochrony chronionych informacji o zdrowiu (PHI).

HIPAA ma zastosowanie do podmiotów objętych ochroną i partnerów biznesowych, które tworzą, odbierają, utrzymują, przesyłają lub uzyskują dostęp do danych osobowych. Gdy objęta jednostka lub współpracownik biznesowy angażuje usługi dostawcy usług w chmurze (CSP), takich jak Azure Databricks, dostawca CSP staje się współpracownikiem biznesowym w ramach programu HIPAA.

Czy usługa Azure Databricks zezwala na przetwarzanie danych PHI w usłudze Azure Databricks?

Tak. Usługa Databricks zdecydowanie zaleca włączenie profilu zabezpieczeń zgodności i dodanie protokołu HIPAA podczas tej konfiguracji.

Włączanie funkcji HIPAA w obszarze roboczym

Aby przetwarzać dane regulowane przez standard zgodności HIPAA, usługa Databricks zaleca włączenie profilu zabezpieczeń zgodności dla każdego obszaru roboczego i dodanie standardu zgodności HIPAA.

Możesz włączyć profil zabezpieczeń zgodności i dodać standard zgodności do nowego obszaru roboczego lub istniejącego obszaru roboczego przy użyciu witryny Azure Portal lub użyć szablonu usługi ARM. Aby uzyskać instrukcje i szablony, zobacz Konfigurowanie rozszerzonych ustawień zabezpieczeń i zgodności.

Ważne

Dodawanie standardu zgodności do obszaru roboczego jest trwałe.

Ważne

  • Użytkownik jest całkowicie odpowiedzialny za zapewnienie zgodności z wszystkimi obowiązującymi prawami i regulacjami. Informacje zawarte w dokumentacji online usługi Azure Databricks nie stanowią porady prawnej i należy skonsultować się z doradcą prawnym, aby uzyskać odpowiedzi na pytania dotyczące zgodności z przepisami.
  • Usługa Azure Databricks nie obsługuje korzystania z funkcji zapoznawczych na potrzeby przetwarzania danych PHI na platformie Azure, z wyjątkiem funkcji wymienionych w funkcji w wersji zapoznawczej obsługiwanych do przetwarzania danych PHI.

Funkcje w wersji zapoznawczej obsługiwane do przetwarzania danych phi

Następujące funkcje w wersji zapoznawczej są obsługiwane w przypadku przetwarzania danych PHI:

Wspólna odpowiedzialność za zgodność z przepisami HIPAA

Zgodność z HIPAA ma trzy główne obszary, z różnymi obowiązkami. Podczas gdy każda strona ma wiele obowiązków, poniżej wyliczamy kluczowe obowiązki naszych, wraz z twoimi obowiązkami.

W tym artykule używane są terminy płaszczyzna sterowania i płaszczyzna obliczeniowa usługi Azure Databricks, które stanowią dwa główne elementy działania usługi Azure Databricks.

Kluczowe obowiązki firmy Microsoft obejmują:

  • Wykonaj swoje zobowiązania jako partner biznesowy w ramach umowy BAA z firmą Microsoft.

  • Zapewnij maszyny wirtualne w ramach swojej umowy z firmą Microsoft, które wspierają zgodność ze standardem HIPAA.

  • Usuń klucze szyfrowania i dane, kiedy Azure Databricks zwalnia instancje maszyn wirtualnych.

Kluczowe obowiązki usługi Azure Databricks obejmują:

  • Szyfruj dane PHI podczas ich przesyłania do lub z płaszczyzny kontrolnej.
  • Zaszyfruj dane PHI przechowywane na płaszczyźnie kontrolnej
  • Ogranicz zestaw typów wystąpień do obsługiwanych typów wystąpień dla profilu zabezpieczeń zgodności. Usługa Azure Databricks ogranicza typy wystąpień zarówno w konsoli konta, jak i za pośrednictwem interfejsu API.
  • Anulowanie aprowizacji wystąpień maszyn wirtualnych następuje, gdy wskażesz w Azure Databricks, że mają zostać usunięte, na przykład w przypadku automatycznego lub ręcznego zakończenia, aby platforma Azure mogła je wyczyścić.

Kluczowe obowiązki:

  • Skonfiguruj obszar roboczy do korzystania z kluczy zarządzanych przez klienta dla usług zarządzanych lub z funkcji Przechowuj wyniki interaktywnych notatników na koncie klienta.
  • Nie używaj funkcji w wersji zapoznawczej w usłudze Azure Databricks do przetwarzania funkcji PHI innych niż funkcje wymienione w wersji zapoznawczej, które są obsługiwane do przetwarzania danych PHI
  • Postępuj zgodnie z najlepszymi praktykami bezpieczeństwa, takimi jak blokowanie niepotrzebnego ruchu wychodzącego z płaszczyzny obliczeniowej i używanie funkcji sekretów usługi Azure Databricks (lub innych podobnych funkcji) do przechowywania kluczy dostępu zapewniających dostęp do PHI.
  • Wprowadź umowę dotyczącą skojarzenia biznesowego z firmą Microsoft, aby uwzględnić wszystkie dane przetwarzane w sieci wirtualnej, w której są wdrażane wystąpienia maszyn wirtualnych.
  • Nie należy wykonywać czegoś w ramach maszyny wirtualnej, która byłaby naruszeniem zasad HIPAA. Możesz na przykład zlecić usługom Azure Databricks wysłanie niezaszyfrowanych danych PHI do punktu końcowego.
  • Upewnij się, że wszystkie dane, które mogą zawierać informacje zdrowotne, są szyfrowane w spoczynku podczas przechowywania ich w lokalizacjach, z którymi może się integrować platforma Azure Databricks. Obejmuje to ustawienie ustawień szyfrowania w magazynie głównym każdego obszaru roboczego (ADLSgen2 dla nowszych obszarów roboczych, magazynu obiektów blob dla starszych obszarów roboczych), który jest częścią tworzenia obszaru roboczego. Odpowiadasz za zapewnienie szyfrowania (a także wykonywania kopii zapasowych) dla tego magazynu i wszystkich innych źródeł danych.
  • Upewnij się, że wszystkie dane osobowe, które mogą zawierać informacje chronione, są szyfrowane podczas przesyłania między usługą Azure Databricks a dowolną lokalizacją przechowywania danych lub lokalizacjami zewnętrznymi, do których uzyskujesz dostęp z maszyny warstwy obliczeniowej. Na przykład wszystkie interfejsy API używane w notesie, które mogą łączyć się z zewnętrznym źródłem danych, muszą używać odpowiedniego szyfrowania na wszystkich połączeniach wychodzących.
  • Upewnij się, że wszystkie dane, które mogą zawierać chronione informacje zdrowotne (PHI), są szyfrowane w spoczynku podczas przechowywania ich w lokalizacjach, z którymi może współpracować platforma Azure Databricks. Obejmuje to ustawienie ustawień szyfrowania w głównym magazynie każdego obszaru roboczego, który jest częścią tworzenia obszaru roboczego.
  • Upewnij się, że szyfrowanie jest włączone (a także wykonywanie kopii zapasowych) dla głównej przestrzeni magazynowej (ADLSgen2 dla nowszych obszarów roboczych, blob storage dla starszych obszarów roboczych) oraz wszystkich innych źródeł danych.
  • Upewnij się, że wszystkie dane, które mogą zawierać dane PHI, są szyfrowane podczas przesyłania między usługą Azure Databricks a dowolną lokalizacją magazynu danych lub lokalizacjami zewnętrznymi, do których uzyskujesz dostęp z maszyny płaszczyzny obliczeniowej. Na przykład wszystkie interfejsy API używane w notesie, które mogą łączyć się z zewnętrznym źródłem danych, muszą używać odpowiedniego szyfrowania na wszystkich połączeniach wychodzących.

Informacje o kluczach zarządzanych przez klienta: