Configurazione dell'ID Microsoft Entra per la conformità HIPAA

servizi Microsoft come Microsoft Entra ID consente di soddisfare i requisiti correlati all'identità per il Health Insurance Portability and Accountability Act del 1996 (HIPAA).

La regola di sicurezza HIPAA (HSR) stabilisce gli standard per proteggere le informazioni sanitarie personali elettroniche degli utenti che vengono create, ricevute, usate o gestite da un'entità coperta. L'HSR è gestito dal Dipartimento della Salute e dei Servizi Umani (HHS) degli Stati Uniti e richiede misure di sicurezza amministrative, fisiche e tecniche appropriate per garantire la riservatezza, l'integrità e la sicurezza delle informazioni sanitarie protette elettroniche.

I requisiti e gli obiettivi delle garanzie tecniche sono definiti nel titolo 45 del codice delle normative federali (CFR). La parte 160 del titolo 45 fornisce i requisiti amministrativi generali e le parti secondarie della parte 164 A e C descrivono i requisiti di sicurezza e privacy.

Sottopart § 164.304 definisce misure di sicurezza tecniche come la tecnologia e le politiche e le procedure per il suo utilizzo che proteggono le informazioni sanitarie protette elettroniche e controllano l'accesso ad esso. Il modulo HHS descrive anche le aree chiave da considerare per le organizzazioni sanitarie quando si implementano misure di sicurezza tecniche HIPAA. Da § 164.312 Misure di sicurezza tecniche:

• Controlli di accesso - Implementare criteri tecnici e procedure per sistemi informativi elettronici che mantengono informazioni sanitarie protette elettroniche per consentire l'accesso solo a tali persone o programmi software a cui sono stati concessi diritti di accesso come specificato nel paragrafo 164.308(a)(4).

• Controlli di controllo: implementare meccanismi hardware, software e/o procedurali che registrano ed esaminano l'attività nei sistemi informativi che contengono o usano informazioni sanitarie protette elettroniche.

• Controlli di integrità: implementare criteri e procedure per proteggere le informazioni sanitarie protette elettroniche da modifiche o distruzione non corrette.

• Autenticazione di persona o entità: implementare procedure per verificare che una persona o un'entità che cerca l'accesso alle informazioni sanitarie protette elettroniche sia quella richiesta.

• Sicurezza della trasmissione: implementare misure di sicurezza tecniche per evitare l'accesso non autorizzato alle informazioni sanitarie protette elettroniche trasmesse tramite una rete di comunicazioni elettroniche.

HSR definisce le sottoparti come standard, insieme alle specifiche di implementazione richieste e indirizzabili. Tutto deve essere implementato. La designazione "indirizzabile" indica che una specifica è ragionevole e appropriata. Indirizzabile non significa che una specifica di implementazione è facoltativa. Pertanto, sono necessarie anche le sottoparti definite come indirizzabili.

Gli articoli rimanenti di questa serie forniscono indicazioni e collegamenti alle risorse, organizzate in base alle aree chiave e alle misure di sicurezza tecniche. Per ogni area chiave, è presente una tabella con le misure di sicurezza pertinenti elencate e collegamenti alle linee guida di Microsoft Entra per ottenere la protezione.

Altre informazioni

• HHS Zero Trust in healthcare pdf

• Testo combinato della regolamentazione di tutte le normative HIPAA Amministrazione istrative di semplificazione rilevate in 45 CFR 160, 162 e 164

• Codice dei regolamenti federali (CFR) Titolo 45 che descrive la parte relativa al benessere pubblico del regolamento

• Parte 160 che descrive i requisiti amministrativi generali del titolo 45

• Parte 164 Sottoparti A e C che descrivono i requisiti di sicurezza e privacy del titolo 45

• Hipaa Security Risk Cassaforte guard Tool

• NIST HSR Toolkit

Passaggi successivi

• Linee guida Controllo di accesso Cassaforte guard

• Linee guida per i controlli di controllo Cassaforte guard

• Altre linee guida Cassaforte guard

• Configurare i controlli HITRUST