Sdílet prostřednictvím


Konfigurace ID Microsoft Entra pro dodržování předpisů HIPAA

služby Microsoft, jako je Microsoft Entra ID, vám může pomoct splnit požadavky související s identitou pro zákon o přenositelnosti a odpovědnosti za zdravotní pojištění z roku 1996 (HIPAA).

Pravidlo zabezpečení HIPAA (HSR) stanoví standardy pro ochranu elektronických osobních údajů jednotlivců, které jsou vytvořeny, přijímány, používány nebo udržovány pokrytou entitou. HSR spravuje ministerstvo zdravotnictví a lidských služeb (HHS) USA a vyžaduje odpovídající administrativní, fyzické a technické záruky k zajištění důvěrnosti, integrity a zabezpečení elektronických informací o zdraví.

Požadavky a cíle technické ochrany jsou definovány v hlavě 45 federálního řádu (CFR). Část 160 hlavy 45 obsahuje obecné administrativní požadavky a dílčí části A a C popisují požadavky na zabezpečení a ochranu osobních údajů.

V části § 164.304 jsou definovány technické záruky jako technologie a zásady a postupy pro jeho použití, které chrání elektronické chráněné zdravotní údaje a řídí přístup k ní. HHS také popisuje klíčové oblasti pro zdravotnické organizace, které je třeba zvážit při implementaci technických bezpečnostních opatření HIPAA. Od § 164.312 Technické záruky:

  • Řízení přístupu – implementují technické zásady a postupy pro elektronické informační systémy, které udržují elektronické chráněné zdravotní údaje, aby umožňovaly přístup pouze těmto osobám nebo softwarovým programům, kterým byla udělena přístupová práva uvedená v § 164.308(a)(4).

  • Kontrolní mechanismy auditu – Implementace hardwarových, softwarových a/nebo procedurálních mechanismů, které zaznamenávají a kontrolují činnost v informačních systémech, které obsahují nebo používají elektronické chráněné informace o stavu.

  • Kontroly integrity – Implementujte zásady a postupy pro ochranu elektronických informací o stavu před nesprávnou změnou nebo zničením.

  • Ověřování osob nebo entit – Implementujte postupy pro ověření, že osoba nebo entita, která hledá přístup k elektronickým chráněným zdravotním informacím, je ta, o kterou se jedná.

  • Zabezpečení přenosu – Implementujte technická bezpečnostní opatření, která chrání před neoprávněným přístupem k elektronickým chráněným zdravotním informacím přenášeným přes síť elektronických komunikací.

HSR definuje dílčí části jako standardní spolu s požadovanými a adresovatelnými specifikacemi implementace. Všechny musí být implementovány. Označení "adresovatelné" označuje, že specifikace je rozumná a vhodná. Adresovatelné neznamená, že specifikace implementace je volitelná. Proto se vyžadují i dílčí části, které jsou definovány jako adresovatelné.

Zbývající články v této sérii poskytují pokyny a odkazy na zdroje uspořádané podle klíčových oblastí a technických bezpečnostních opatření. Pro každou klíčovou oblast je tabulka s příslušnými ochrannými opatřeními uvedenými a odkazuje na pokyny Microsoft Entra k zajištění ochrany.

Další informace

Další kroky