Conformità in Microsoft Cloud for Healthcare
I servizi Microsoft Azure, Microsoft Dynamics 365, Microsoft 365 e Microsoft Power Platform e la relativa infrastruttura sottostante utilizzano un framework di sicurezza che comprende le migliori pratiche del settore e abbraccia più standard, tra cui la famiglia di standard ISO 27000, NIST 800 e altri. Come parte della nostra offerta di conformità completa, Microsoft è regolarmente sottoposta a audit indipendenti eseguiti da valutatori qualificati di terze parti accreditati.
L'Health Information Trust Alliance (HITRUST) è un'organizzazione governata da rappresentanti del settore sanitario. HITRUST ha creato e mantiene il Common Security Framework (CSF), un framework certificabile per aiutare le organizzazioni sanitarie e i loro fornitori a dimostrare la loro sicurezza e conformità in modo coerente e snello. Il CSF si basa sull'HIPAA e sull'HITECH Act e incorpora la sicurezza, la privacy e altri requisiti normativi specifici dell'assistenza sanitaria da framework esistenti come PCI DSS, ISO 27001, Leggi e regolamenti sulla privacy dell'UE, NIST e MARS-E. HITRUST fornisce un benchmark, ovvero un framework di conformità standardizzato e un processo di valutazione e certificazione, rispetto al quale i provider di servizi cloud e gli enti sanitari coperti possono misurare la conformità.
Microsoft è uno dei primi provider di servizi cloud hyperscale a ricevere la certificazione per il HITRUST CSF. HIPAA Business Associate Agreement (BAA) chiarisce e limita il modo in cui il socio in affari (Microsoft) può gestire le informazioni sanitarie protette (PHI) e stabilisce termini aggiuntivi per ciascuna parte in relazione alle disposizioni sulla sicurezza e sulla privacy delineate nell'HIPAA e nell'HITECH Act. Il BAA è automaticamente incluso come parte dei Termini dei servizi online e si applica ai clienti che sono entità coperte o soci in affari e stanno archiviando PHI.
I termini della licenza qualificante per Microsoft 365/Office 365, Dynamics 365, Microsoft Power Platform, Azure e il servizio Health Bot di Microsoft si trovano in Condizioni del servizio online e Informativa sulla privacy di Microsoft.
Microsoft Cloud for Healthcare e Servizi online (come Office 365, Dynamics 365, Power Platform, Azure e il servizio Healthcare Bot) (insieme “Microsoft Cloud for Healthcare”)
non sono intesi o resi disponibili come dispotivi medici
non sono concepiti o destinati alla diagnosi, alla cura, all'attenuazione, al monitoraggio, al trattamento o alla prevenzione di una malattia, condizione o infermità e Microsoft non concede alcuna licenza o diritto per l'utilizzo dei servizi online per tali scopi
non sono concepiti o intesi come sostituto di consulenza, diagnosi, trattamento o giudizio medico professionale e non devono essere utilizzati per sostituire o in sostituzione di consulenza, diagnosi, trattamento o giudizio medico professionale. Il cliente non deve utilizzare Microsoft Cloud for Healthcare come dispositivo medico. Nella misura in cui il cliente rende Microsoft Cloud for Healthcare disponibile come dispositivo medico, o lo mette in servizio per tale uso, il cliente è l'unico responsabile di tale uso e riconosce che sarebbe il produttore legale in relazione a tale uso. Il Cliente è l'unico responsabile della visualizzazione e/o dell'ottenimento di consensi, avvertenze, esclusioni di responsabilità e riconoscimenti appropriati agli utenti finali dell'implementazione da parte del cliente di Microsoft Cloud for Healthcare. Il Cliente è l'unico responsabile per qualsiasi utilizzo di Microsoft Cloud for Healthcare per raccogliere, archiviare, trasmettere, elaborare o presentare dati o informazioni provenienti da prodotti di terze parti (inclusi dispositivi medici).
Puoi saperne di più sugli impegni di Microsoft in materia di protezione dei dati e privacy visitando il nostro Centro protezione.
Regolamenti in ambito per servizi Microsoft
| Servizioo | HITRUST | Leggi e regolamenti sulla privacy dell'UE | SOC 1 | SOC 2 | ISO 27017 | ISO 27001 |
|---|---|---|---|---|---|---|
| Azure Data Lake Storage Gen2 | Sì | Sì | Sì | Sì | Sì | Sì |
| Azure Health Bot | Sì | Sì | Sì | Sì | Sì | Sì |
| Servizi per i dati sanitari di Azure | Sì | Sì | Sì | Sì | Sì | Sì |
| API di Azure per il settore sanitario | Sì | Sì | Sì | Sì | Sì | Sì |
| Hub IoT di Azure | Sì | Sì | Sì | Sì | Sì | Sì |
| Azure Synapse Analytics | Sì | Sì | Sì | Sì | Sì | Sì |
| Componente aggiuntivo Chat per Dynamics 365 Customer Service (Omnichannel for Customer Service) | Sì | Sì | Sì | Sì | Sì | Sì |
| Componente aggiuntivo Customer Service Insights per Microsoft Dynamics 365 Customer Service | Sì | Sì | Sì | Sì | Sì | Sì |
| Dataverse | Sì | Sì | Sì | Sì | Sì | Sì |
| Dynamics 365 Customer Insights | Sì | Sì | Sì | Sì | Sì | Sì |
| Dynamics 365 Customer Service | Sì | Sì | Sì | Sì | Sì | Sì |
| Dynamics 365 Customer Voice | Sì | Sì | Sì | Sì | Sì | Sì |
| Dynamics 365 Field Service | Sì | Sì | Sì | Sì | Sì | Sì |
| Dynamics 365 Marketing | Sì | Sì | Sì | Sì | Sì | Sì |
| Dynamics 365 Sales | Sì | Sì | Sì | Sì | Sì | Sì |
| Microsoft Purview | Sì | Sì | Sì | Sì | Sì | Sì |
| Microsoft Teams | Sì | Sì | Sì | Sì | Sì | Sì |
| Power Apps | Sì | Sì | Sì | Sì | Sì | Sì |
| Power Automate | Sì | Sì | Sì | Sì | Sì | Sì |
| Power BI | Sì | Sì | Sì | Sì | Sì | Sì |
Risorse aggiuntive
- Centro protezione
- L'ultima lettera di certificazione HITRUST è disponibile per i clienti nel Service Trust Platform (STP) e Versione HITRUST CSF
- Residenza dei dati e Privacy di Microsoft 365
- Residenza dei dati e privacy di Azure
- Residenza dei dati e Privacy di Dynamics 365 e Power Platform
- Conformità