Bagikan melalui

Fitur kepatuhan HIPAA

  • Artikel

Penting

Kemampuan admin untuk menambahkan fitur Keamanan dan Kepatuhan yang Ditingkatkan adalah fitur di Pratinjau Umum. Profil keamanan kepatuhan dan dukungan untuk standar kepatuhan umumnya tersedia (GA).

Databricks sangat menyarankan agar pelanggan yang ingin menggunakan fitur kepatuhan HIPAA memungkinkan profil keamanan kepatuhan, yang menambahkan agen pemantauan, menyediakan gambar komputasi yang diperkeras, dan fitur lainnya. Untuk detail teknis, lihat Profil keamanan kepatuhan.

Anda bertanggung jawab untuk mengonfirmasi bahwa setiap ruang kerja mengaktifkan profil keamanan kepatuhan.

Fitur ini mengharuskan ruang kerja Anda berada di tingkat harga Premium.

Pastikan bahwa informasi sensitif tidak pernah dimasukkan di bidang input yang ditentukan pelanggan, seperti nama ruang kerja, nama kluster, dan nama pekerjaan.

Sumber daya komputasi mana yang mendapatkan keamanan yang ditingkatkan

Peningkatan profil keamanan kepatuhan untuk HIPAA berlaku untuk sumber daya komputasi di bidang komputasi klasik dan bidang komputasi tanpa server di semua wilayah. Untuk informasi selengkapnya tentang bidang komputasi klasik dan tanpa server, lihat Gambaran umum arsitektur Azure Databricks.

Gambaran HIPAA

Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan 1996 (HIPAA), Teknologi Informasi Kesehatan untuk Kesehatan Ekonomi dan Klinis (HITECH), dan peraturan yang dikeluarkan berdasarkan HIPAA adalah seperangkat undang-undang kesehatan AS. Di antara ketentuan lain, undang-undang ini menetapkan persyaratan untuk penggunaan, pengungkapan, dan perlindungan informasi kesehatan yang dilindungi (PHI).

HIPAA berlaku untuk entitas dan rekan bisnis tercakup yang membuat, menerima, memelihara, mengirimkan, atau mengakses PHI. Ketika entitas atau rekan bisnis yang tercakup melibatkan layanan penyedia layanan cloud (CSP), seperti Azure Databricks, CSP menjadi rekan bisnis di bawah HIPAA.

Apakah Azure Databricks mengizinkan pemrosesan data PHI di Azure Databricks?

Ya. Databricks sangat menyarankan untuk mengaktifkan profil keamanan kepatuhan dan menambahkan HIPAA selama konfigurasi tersebut.

Mengaktifkan HIPAA di ruang kerja

Untuk memproses data yang diatur oleh standar kepatuhan HIPAA, Databricks merekomendasikan agar setiap ruang kerja mengaktifkan profil keamanan kepatuhan dan menambahkan standar kepatuhan HIPAA.

Anda dapat mengaktifkan profil keamanan kepatuhan dan menambahkan standar kepatuhan ke ruang kerja baru atau ruang kerja yang sudah ada menggunakan portal Azure, atau menggunakan templat ARM. Untuk instruksi dan templat, lihat Mengonfigurasi pengaturan keamanan dan kepatuhan yang ditingkatkan.

Penting

Menambahkan standar kepatuhan ke ruang kerja bersifat permanen.

Penting

  • Anda bertanggung jawab sepenuhnya untuk memastikan kepatuhan Anda sendiri dengan semua hukum dan peraturan yang berlaku. Informasi yang diberikan dalam dokumentasi online Azure Databricks bukan merupakan saran hukum, dan Anda harus berkonsultasi dengan penasihat hukum Anda untuk pertanyaan apa pun mengenai kepatuhan terhadap peraturan.
  • Azure Databricks tidak mendukung penggunaan fitur pratinjau untuk pemrosesan PHI pada HIPAA di platform Azure, dengan pengecualian fitur yang tercantum dalam fitur Pratinjau yang didukung untuk pemrosesan data PHI.

Fitur pratinjau yang didukung untuk pemrosesan data PHI

Fitur pratinjau berikut ini didukung untuk pemrosesan PHI:

Tanggung jawab bersama kepatuhan HIPAA

Mematuhi HIPAA memiliki tiga area utama, dengan tanggung jawab yang berbeda. Meskipun setiap pihak memiliki banyak tanggung jawab, di bawah ini kami menghitung tanggung jawab utama kami, bersama dengan tanggung jawab Anda.

Artikel ini menggunakan sarana kontrol terminologi Azure Databricks dan bidang komputasi, yang merupakan dua bagian utama dari cara kerja Azure Databricks:

Tanggung jawab utama Microsoft meliputi:

  • Lakukan kewajibannya sebagai rekan bisnis di bawah BAA Anda dengan Microsoft.

  • Berikan VM di bawah kontrak Anda dengan Microsoft yang mendukung kepatuhan HIPAA.

  • Hapus kunci dan data enkripsi saat Azure Databricks merilis instans VM.

Tanggung jawab utama Azure Databricks meliputi:

  • Mengenkripsi data PHI dalam transit yang ditransmisikan ke atau dari sarana kontrol.
  • Mengenkripsi data PHI tidak aktif di sarana kontrol
  • Batasi kumpulan jenis instans ke jenis instans yang didukung untuk profil keamanan kepatuhan. Azure Databricks membatasi jenis instans baik di konsol akun maupun melalui API.
  • Deprovisi instans VM saat Anda menunjukkan di Azure Databricks bahwa instans tersebut akan dideprovisi, misalnya penghentian otomatis atau penghentian manual, sehingga Azure dapat menghapusnya.

Tanggung jawab utama Anda:

  • Konfigurasikan ruang kerja Anda untuk menggunakan kunci yang dikelola pelanggan untuk layanan terkelola atau simpan buku catatan interaktif menghasilkan fitur akun pelanggan.
  • Jangan gunakan fitur pratinjau dalam Azure Databricks untuk memproses PHI selain fitur yang tercantum dalam Fitur pratinjau yang didukung untuk pemrosesan data PHI
  • Ikuti praktik terbaik keamanan, seperti menonaktifkan keluar yang tidak perlu dari bidang komputasi dan menggunakan fitur rahasia Azure Databricks (atau fungsionalitas serupa lainnya) untuk menyimpan kunci akses yang menyediakan akses ke PHI.
  • Masukkan perjanjian terkait bisnis dengan Microsoft untuk mencakup semua data yang diproses dalam VNet tempat instans VM disebarkan.
  • Jangan melakukan sesuatu dalam komputer virtual yang akan menjadi pelanggaran HIPAA. Misalnya, arahkan Azure Databricks untuk mengirim PHI yang tidak terenkripsi ke titik akhir.
  • Pastikan bahwa semua data yang mungkin berisi PHI dienkripsi saat Anda menyimpannya di lokasi yang dapat berinteraksi dengan platform Azure Databricks. Ini termasuk mengatur pengaturan enkripsi pada penyimpanan akar setiap ruang kerja (ADLSgen2 untuk ruang kerja yang lebih baru, penyimpanan Blob untuk ruang kerja yang lebih lama) yang merupakan bagian dari pembuatan ruang kerja. Anda bertanggung jawab untuk memastikan enkripsi (serta melakukan pencadangan) untuk penyimpanan ini dan semua sumber data lainnya.
  • Pastikan bahwa semua data yang mungkin berisi PHI dienkripsi saat transit antara Azure Databricks dan lokasi penyimpanan data atau lokasi eksternal yang Anda akses dari mesin sarana komputasi. Misalnya, API apa pun yang Anda gunakan di notebook yang mungkin tersambung ke sumber data eksternal harus menggunakan enkripsi yang sesuai pada koneksi keluar apa pun.
  • Pastikan bahwa semua data yang mungkin berisi PHI dienkripsi saat Anda menyimpannya di lokasi yang dapat berinteraksi dengan platform Azure Databricks. Ini termasuk mengatur pengaturan enkripsi pada penyimpanan akar setiap ruang kerja yang merupakan bagian dari pembuatan ruang kerja.
  • Pastikan enkripsi (serta melakukan pencadangan) untuk penyimpanan akar Anda (ADLSgen2 untuk ruang kerja yang lebih baru, penyimpanan Blob untuk ruang kerja yang lebih lama) dan semua sumber data lainnya.
  • Pastikan bahwa semua data yang mungkin berisi PHI dienkripsi saat transit antara Azure Databricks dan lokasi penyimpanan data atau lokasi eksternal yang Anda akses dari mesin sarana komputasi. Misalnya, API apa pun yang Anda gunakan di notebook yang mungkin tersambung ke sumber data eksternal harus menggunakan enkripsi yang sesuai pada koneksi keluar apa pun.

Tentang kunci yang dikelola pelanggan: