Conformidade no Microsoft Cloud for Healthcare
Os serviços do Microsoft Azure, Microsoft Dynamics 365, Microsoft 365 e do Microsoft Power Platform e sua infraestrutura subjacente empregam uma estrutura de segurança que engloba as práticas recomendadas do setor e se estende para vários padrões, incluindo a família de padrões ISO 27000, NIST 800 e outros. Como parte de nossa oferta de conformidade abrangente, a Microsoft passa regularmente por auditorias independentes realizadas por avaliadores credenciados qualificados e independentes.
A HITRUST (Health Information Trust Alliance) é uma organização administrada por representantes do setor de serviços de saúde. A HITRUST criou e mantém a Estrutura de Segurança Comum (CSF), uma estrutura de certificação para ajudar as organizações de saúde e seus prestadores de serviço a demonstrar sua segurança e conformidade de forma consistente e simplificada. O CSF se baseia na HIPAA e na Lei HITECH, e incorpora requisitos regulatórios de segurança, privacidade e outros requisitos específicos da saúde de estruturas existentes, como o PCI DSS, o ISO 27001, o RGPD da UE, o NIST e o MARS-E.
A HITRUST fornece parâmetros de comparação — uma estrutura de conformidade padronizada, avaliação e processo de certificação — em relação a quais provedores de serviços de nuvem e entidades de saúde cobertas podem medir a conformidade. A HITRUST oferece 3 graus de garantia ou níveis de avaliação: autoavaliação, validada pela CSF e certificada pela CSF. Cada nível é construído com rigor crescente no que está abaixo dele. Uma organização com o nível mais alto, certificada pela, atende a todos os requisitos de certificação da CSF.
A Microsoft é um dos primeiros provedores de serviços de nuvem em hiperescala a receber a certificação CSF da HITRUST. Contrato de associação comercial da HIPAA (BAA) esclarece e limita como o parceiro comercial (Microsoft) pode lidar com informações de saúde protegidas (PHI) e estabelece termos adicionais para cada parte relacionados às disposições de segurança e privacidade descritas na HIPAA e na Lei HITECH. O BAA é automaticamente incluído como parte dos Termos de serviços online e se aplica a clientes que são entidades cobertas ou parceiros comerciais e estão armazenando PHI. Os padrões regulatórios de conformidade que se aplicam a certos recursos oferecidos por meio do Complemento do Microsoft Healthcare podem ser encontrados no documento de conformidade (PDF).
Os Termos Específicos do serviço Complemento do Microsoft Healthcare explicam seus direitos e obrigações e os da Microsoft com relação aos padrões regulatórios de conformidade para dados do cliente e dados de produtos que não sejam da Microsoft unicamente em conexão com seu uso do Complemento do Microsoft Healthcare.
Os termos de qualificação de licença para o Microsoft 365/Office 365, Dynamics 365, Microsoft Power Platform, Azure e o serviço Microsoft Health Bot são encontrados nos Termos do serviço online e na Política de Privacidade da Microsoft, e são um pré-requisito para o uso do SKU Complemento do Microsoft Healthcare.
O Complemento do Microsoft Cloud for Healthcare e os serviços online (Office 365, Dynamics 365, Power Platform, Azure e o serviço Health Bot) (juntos, "Microsoft Cloud for Healthcare) (1) não são destinados ou disponibilizados como dispositivos médicos, (2) não são projetados ou destinados a serem usados no diagnóstico, cura, mitigação, monitoramento, tratamento ou prevenção de uma doença, condição ou enfermidade, e nenhuma licença ou nenhum direito é concedido pela Microsoft para usar o Complemento de serviço de saúde ou os serviços online para tais fins, e (3) não são projetados ou destinados a serem um substituto para orientação médica profissional, diagnóstico, tratamento ou julgamento e não devem ser usados para substituir ou como um substituto para orientação médica profissional, diagnóstico, tratamento, ou julgamento. O cliente não deve usar o Microsoft Cloud for Healthcare como um dispositivo médico. Na medida em que o cliente disponibilizar o Microsoft Cloud for Healthcare como um dispositivo médico, ou o coloca em serviço para tal uso, o cliente é o único responsável por tal uso e reconhece que seria o fabricante legal em relação a tal uso. O cliente é o único responsável por exibir e/ou obter consentimentos, avisos, isenções de responsabilidade e reconhecimento apropriados aos usuários finais da implementação do cliente do Microsoft Cloud for Healthcare. O cliente é o único responsável por qualquer uso do Microsoft Cloud for Healthcare para coletar, armazenar, transmitir, processar ou apresentar quaisquer dados ou informações de quaisquer produtos de terceiros (incluindo dispositivos médicos).
Os padrões regulatórios de conformidade que se aplicam a certos recursos oferecidos por meio do Complemento do Microsoft Healthcare podem ser encontrados no documento de conformidade (PDF). Você pode saber mais sobre o compromisso da Microsoft com a proteção e a privacidade dos dados e sobre o Complemento do Microsoft Healthcare acessando nossa Central de Confiabilidade.
Serviços em escopo da HIPAA e HITECH
- Serviços de Dados de Saúde do Azure
- Hub IoT do Azure
- Dynamics 365 Customer Insights
- Dynamics 365 Customer Service
- Bem-vindo ao Suplemento de Mensagens Digitais para o Dynamics 365 Customer Service
- Suplemento de Chat para o Dynamics 365 Customer Service/Omnichannel for Customer Service
- Dynamics 365 Field Service
- Dynamics 365 Marketing
- Dynamics 365 Resource Scheduling Optimization
- Dynamics 365 Universal Resource Scheduling
- Microsoft Dataverse
- Microsoft Teams
- Power Apps
- Power Automate
- Power BI
Recursos adicionais
- Central de Confiabilidade
- A última carta de certificação HITRUST está disponível para clientes na Plataforma de Confiabilidade de Serviços (STP) e na versão do CSF da HITRUST
- Residência de dados ePrivacidade do Microsoft 365
- Residência de dados e Privacidade do Azure
- Residência de dados e Privacidade do Dynamics 365 e do Power Platform
- Conformidade