HIPAA

Na tej stronie opisano mechanizmy kontroli zgodności HIPAA w usłudze Azure Databricks.

Omówienie ustawy HIPAA

HIPAA to amerykańskie prawo opieki zdrowotnej, które ustanawia krajowe standardy ochrony prywatności i bezpieczeństwa chronionych informacji zdrowotnych (PHI).

Kluczowe punkty:

• Dotyczy dostawców usług opieki zdrowotnej, ubezpieczycieli oraz firm, które zajmują się danymi dot. zdrowia.
• Obejmuje reguły dotyczące prywatności, zabezpieczeń i powiadomień o naruszeniu zabezpieczeń.
• Wymaga zabezpieczeń administracyjnych, technicznych i fizycznych dla DPI.
• Dotyczy dostawców usług w chmurze, którzy przechowują lub przetwarzają dane dotyczące ochrony zdrowia (PHI).

Włączanie mechanizmów kontroli zgodności HIPAA

Databricks zdecydowanie zaleca, aby klienci, którzy chcą korzystać z kontroli zgodności z HIPAA, włączyli profil zabezpieczeń zgodności, który dodaje agentów monitorujących, zapewnia usztywniony obraz obliczeniowy oraz oferuje inne funkcje. Tylko określone funkcje w wersji zapoznawczej są obsługiwane do przetwarzania danych regulowanych. Aby uzyskać szczegółowe informacje na temat profilu zabezpieczeń zgodności i obsługiwanych funkcji w wersji zapoznawczej, zobacz Profil zabezpieczeń zgodności.

Aby włączyć mechanizmy kontroli zgodności HIPAA, zobacz Konfigurowanie rozszerzonych ustawień zabezpieczeń i zgodności.

Wspólna odpowiedzialność za zgodność z przepisami HIPAA

Zgodność z HIPAA ma trzy główne obszary, z różnymi obowiązkami. Chociaż każda strona ma wiele obowiązków, poniżej wyliczamy kluczowe obowiązki usługi Databricks wraz z twoimi obowiązkami.

W tej sekcji używa się terminologii płaszczyzny sterowania i płaszczyzny obliczeniowej, które są dwoma głównymi częściami architektury usługi Azure Databricks.

• Płaszczyzna sterowania usługi Azure Databricks obejmuje usługi zaplecza zarządzane przez usługę Azure Databricks na własnym koncie platformy Azure.
• Warstwa obliczeniowa to miejsce, gdzie przetwarzane jest jezioro danych. Klasyczna płaszczyzna obliczeniowa obejmuje sieć wirtualną w koncie Azure oraz klastry zasobów obliczeniowych do przetwarzania notatników, zadań oraz pro lub klasycznych magazynów SQL.

Aby uzyskać więcej informacji, zobacz Omówienie architektury usługi Azure Databricks.

Upewnij się, że informacje poufne nigdy nie są wprowadzane w polach wejściowych zdefiniowanych przez klienta, takich jak nazwy obszarów roboczych, nazwy klastrów, tagi i nazwy zadań.

Ważne

• Użytkownik jest całkowicie odpowiedzialny za zapewnienie zgodności z wszystkimi obowiązującymi prawami i regulacjami. Informacje zawarte w dokumentacji online usługi Azure Databricks nie stanowią porady prawnej i należy skonsultować się z doradcą prawnym, aby uzyskać odpowiedzi na pytania dotyczące zgodności z przepisami.
• Usługa Azure Databricks nie obsługuje korzystania z funkcji w wersji zapoznawczej do przetwarzania chronionych informacji zdrowotnych (PHI) zgodnie z HIPAA na platformie Azure, z wyjątkiem funkcji wymienionych w sekcji Obsługiwane funkcje w wersji zapoznawczej.

Kluczowe obowiązki firmy Microsoft obejmują:

• Wykonaj swoje zobowiązania jako partner biznesowy w ramach umowy BAA z firmą Microsoft.

• Zapewnij maszyny wirtualne w ramach swojej umowy z firmą Microsoft, które wspierają zgodność ze standardem HIPAA.

• Usuń klucze szyfrowania i dane, kiedy Azure Databricks zwalnia instancje maszyn wirtualnych.

Kluczowe obowiązki usługi Azure Databricks obejmują:

• Szyfruj przesyłane dane PHI wysyłane do lub z płaszczyzny sterowania.
• Szyfruj dane PHI magazynowane na płaszczyźnie sterowania.
• Używaj tylko typów wystąpień obsługiwanych przy użyciu profilu zabezpieczeń zgodności. Usługa Azure Databricks wymusza to zarówno w obszarze roboczym, jak i interfejsie API.
• Usuwanie instancji maszyn wirtualnych po ich wskazaniu w usłudze Azure Databricks (na przykład poprzez automatyczne lub ręczne zakończenie działania), aby platforma Azure mogła je wyczyścić.

Kluczowe obowiązki:

• Skonfiguruj obszar roboczy do korzystania z kluczy zarządzanych przez klienta dla usług zarządzanych lub z funkcji Przechowuj wyniki interaktywnych notatników na koncie klienta.
• Nie używaj funkcji w wersji zapoznawczej w usłudze Azure Databricks do przetwarzania funkcji PHI, z wyjątkiem tych wymienionych w temacie Obsługiwane funkcje w wersji zapoznawczej.
• Postępuj zgodnie z najlepszymi rozwiązaniami w zakresie zabezpieczeń, takimi jak wyłączanie niepotrzebnego ruchu wychodzącego z płaszczyzny obliczeniowej i używanie wpisów tajnych usługi Azure Databricks do przechowywania kluczy dostępu dla jednostki PHI.
• Zawrzyj umowę o współpracy z partnerem biznesowym z firmą Microsoft, aby uwzględnić wszystkie dane przetwarzane w sieci wirtualnej (VNet), gdzie wdrażane są instancje maszyn wirtualnych.
• Nie wykonuj akcji na maszynie wirtualnej, które mogłyby naruszać funkcję HIPAA. Na przykład nie należy kierować usługi Azure Databricks do przesyłania niezaszyfrowanych danych PHI do punktu końcowego.
• Upewnij się, że wszystkie dane, które mogą zawierać dane PHI, są szyfrowane w spoczynku w dowolnej lokalizacji magazynu, z którą współdziała platforma usługi Azure Databricks. Obejmuje to ustawienie szyfrowania kont magazynu obszaru roboczego podczas tworzenia obszaru roboczego. Odpowiadasz za szyfrowanie i tworzenie kopii zapasowych tego magazynu oraz wszystkich innych źródeł danych.
• Upewnij się, że wszystkie dane, które mogą zawierać dane PHI, są szyfrowane podczas przesyłania między usługą Azure Databricks a wszystkimi połączonymi magazynami danych lub systemami zewnętrznymi. Na przykład interfejsy API używane w notesach muszą używać szyfrowania dla wszystkich połączeń wychodzących.