Marco de seguridad común (CSF) de Health Information Trust Alliance (HITRUST)
Introducción a HITRUST CSF
Health Information Trust Alliance (HITRUST) es una organización gobernada por representantes del sector sanitario. HITRUST creó y mantiene Common Security Framework (CSF), un marco certifiable para ayudar a las organizaciones sanitarias y sus proveedores a demostrar su seguridad y cumplimiento de forma coherente y simplificada.
El CSF se basa en hipaa y la ley HITECH, que son leyes sanitarias de EE. UU. que han establecido requisitos para el uso, divulgación y protección de la información de salud de identificación individual, y que aplican el incumplimiento. HITRUST proporciona un punto de referencia (un marco de cumplimiento estandarizado, una evaluación y un proceso de certificación) con el que los proveedores de servicios en la nube y las entidades de mantenimiento cubiertas pueden medir el cumplimiento. El CSF también incorpora seguridad, privacidad y otros requisitos normativos específicos de la salud de marcos existentes como el Estándar de seguridad de datos del sector de tarjetas de pago (PCI-DSS), estándares de administración de seguridad de la información ISO/IEC 27001 y estándares mínimos de riesgo aceptable para intercambios (MARS-E).
El CSF se divide en 19 dominios diferentes, incluida la protección de puntos de conexión, la seguridad de dispositivos móviles y el control de acceso. HITRUST certifica las ofertas de TI contra estos controles. HITRUST también adapta los requisitos de certificación a los riesgos de una organización en función de los factores organizativos, del sistema y normativos.
Marco de seguridad común (CSF) de Health Information Trust Alliance (HITRUST)
HITRUST ofrece tres grados de garantía o niveles de evaluación: autoevaluación, validación de CSF y certificación CSF. Cada nivel se compila con mayor rigor en el que está debajo. Una organización con el nivel más alto, certificado por CSF, cumple todos los requisitos de certificación del CSF. Microsoft Azure y Office 365 son los primeros servicios en la nube de hiperescala que reciben la certificación del CSF HITRUST. Coalfire, una empresa evaluador de HITRUST, realizó las evaluaciones en función de cómo Azure y Office 365 implementar los requisitos de seguridad, privacidad y normativa para proteger la información confidencial. Microsoft admite el programa de responsabilidad compartida HITRUST.
Obtenga información sobre cómo acelerar la implementación de HITRUST con nuestro plano técnico de seguridad y cumplimiento de Azure.
Servicios y plataformas en la nube dentro de Microsoft
- Azure y Azure Government
- Intune
- Escritorio administrado por Microsoft
- Office 365
- Windows 365 (comercial)
Azure, Dynamics 365 e HITRUST
Para obtener más información sobre Azure, Dynamics 365 y otros servicios en línea cumplimiento, consulte la oferta hitrust de Azure.
Office 365 y HITRUST
entornos de Office 365
Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.
En esta sección se tratan los siguientes entornos de Office 365:
- Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
- Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
- Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
- Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
- Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.
Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.
Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.
Aplicabilidad y servicios dentro Office 365
Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:
| Aplicabilidad | Servicios incluidos |
|---|---|
| Comercial | Servicio de fuente de actividad, Bing Services, Delve, Exchange Online Protection, Exchange Online, Microsoft Teams, Office 365 Customer Portal, Office Online, Office Service Infrastructure, Office Usage Reports, OneDrive para la Empresa, Personas Tarjeta, SharePoint Online, Skype Empresarial, Windows Ink |
Auditorías, informes y certificados de Office 365
La certificación HITRUST CSF de Office 365 es válida durante dos años.
Preguntas más frecuentes
¿Por qué algunos servicios de Office 365 no están en el ámbito de esta certificación?
Microsoft proporciona las ofertas más completas en comparación con otros proveedores de servicios en la nube. Para mantenerse al día con nuestras amplias ofertas de cumplimiento entre regiones e industrias, se incluyen servicios en el ámbito de nuestros esfuerzos de garantía en función de la demanda del mercado, los comentarios de los clientes y el ciclo de vida del producto. Si un servicio no está incluido en el ámbito actual de una oferta de cumplimiento específica, su organización tiene la responsabilidad de evaluar los riesgos en función de sus obligaciones de cumplimiento y determinar la forma en que procesa los datos en ese servicio. Recopilamos continuamente comentarios de los clientes y trabajamos con reguladores y auditores para ampliar nuestra cobertura de cumplimiento para satisfacer sus necesidades de seguridad y cumplimiento.
¿Significa la certificación de Microsoft que si mi organización usa Office 365, es compatible con HITRUST CSF?
Cuando almacena los datos en un SaaS como Office 365, es una responsabilidad compartida entre Microsoft y su organización lograr el cumplimiento. Microsoft administra la mayoría de los controles de infraestructura, incluida la seguridad física, los controles de red, los controles de nivel de aplicación, etc., y su organización tiene la responsabilidad de administrar los controles de acceso y proteger sus datos confidenciales. La certificación HITRUST Office 365 demuestra el cumplimiento del marco de control de Microsoft. Basándose en eso, su organización debe implementar y mantener sus propios controles de protección de datos para satisfacer los requisitos de HITRUST CSF.
¿Proporciona Microsoft instrucciones para que mi organización implemente los controles adecuados al usar Office 365?
Sí, puede encontrar las acciones recomendadas de los clientes en el Administrador de cumplimiento, soluciones entre Microsoft Cloud que ayudan a su organización a cumplir obligaciones de cumplimiento complejas al usar servicios en la nube. En concreto, para HITRUST CSF, se recomienda realizar evaluaciones de riesgos mediante las evaluaciones de NIST 800-53 y NIST CSF en el Administrador de cumplimiento. En las evaluaciones, le proporcionamos instrucciones paso a paso y las soluciones de Microsoft que puede usar para implementar los controles de protección de datos. Puede obtener más información sobre el Administrador de cumplimiento en Microsoft Purview Compliance Manager.
Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo
El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear y administrar evaluaciones en el Administrador de cumplimiento.
Recursos
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de