CSF (Estrutura de Segurança Comum) da HITRUST (Health Information Trust Alliance)
Visão geral do CSF do HITRUST
A HITRUST (Health Information Trust Alliance) é uma organização governada por representantes do setor de saúde. A HITRUST criou e mantém o CSF (Common Security Framework), uma estrutura certificadora para ajudar as organizações de saúde e seus provedores a demonstrar sua segurança e conformidade de maneira consistente e simplificada.
O CSF baseia-se no HIPAA e no HITECH Act, que são leis de saúde dos EUA que estabeleceram requisitos para o uso, divulgação e proteção de informações de integridade individualmente identificáveis e que impõem a não conformidade. A HITRUST fornece um benchmark – uma estrutura de conformidade padronizada, avaliação e processo de certificação – no qual provedores de serviços de nuvem e entidades de integridade cobertas podem medir a conformidade. O CSF também incorpora segurança, privacidade e outros requisitos regulatórios específicos da saúde de estruturas existentes, como o PCI-DSS (Padrão de Segurança de Dados do Setor de Cartões de Pagamento), padrões de gerenciamento de segurança de informações ISO/IEC 27001 e Padrões mínimos de risco aceitável para exchanges (MARS-E).
O CSF é dividido em 19 domínios diferentes, incluindo proteção de ponto de extremidade, segurança do dispositivo móvel e controle de acesso. A HITRUST certifica as ofertas de TI nesses controles. A HITRUST também adapta os requisitos de certificação aos riscos de uma organização com base em fatores organizacionais, de sistema e regulatórios.
CSF (Estrutura de Segurança Comum) da HITRUST (Health Information Trust Alliance)
A HITRUST oferece três graus de garantia ou níveis de avaliação: autoavaliação, CSF validado e certificado por CSF. Cada nível é criado com um rigor crescente no abaixo dele. Uma organização com o nível mais alto, certificado pelo CSF, atende a todos os requisitos de certificação do CSF. Microsoft Azure e Office 365 são os primeiros serviços de nuvem de hiperescala a receber certificação para o CSF HITRUST. A Coalfire, uma empresa de assessores da HITRUST, realizou as avaliações com base em como o Azure e Office 365 implementar requisitos de segurança, privacidade e regulamentação para proteger informações confidenciais. A Microsoft dá suporte ao Programa de Responsabilidade Compartilhada HITRUST.
Saiba como acelerar a implantação do HITRUST com nosso Blueprint de Conformidade e Segurança do Azure.
Baixe o blueprint v9.0d da Matriz de Responsabilidade do Cliente (CRM) do Microsoft Azure HITRUST
Plataformas e serviços em nuvem no escopo da Microsoft
- Azure e Azure Governamental
- Intune
- Área de Trabalho Gerenciada da Microsoft
- Office 365
- Windows 365 (Comercial)
Azure, Dynamics 365 e HITRUST
Para obter mais informações sobre o Azure, Dynamics 365 e outras serviços online conformidade, consulte a oferta HITRUST do Azure.
Office 365 e HITRUST
ambientes Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Esta seção aborda os seguintes ambientes de Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
| Aplicabilidade | Serviços no escopo |
|---|---|
| Comercial | Serviço de Feed de Atividades, Serviços do Bing, Delve, Proteção do Exchange Online, Exchange Online, Microsoft Teams, Portal do Cliente Office 365, Office Online, Infraestrutura de Serviço do Office, Relatórios de Uso do Office, OneDrive for Business, Pessoas Cartão, SharePoint Online, Skype for Business, Windows Ink |
Auditorias Office 365, relatórios e certificados
A certificação CSF HITRUST de Office 365 é válida por dois anos.
Perguntas frequentes
Por que alguns serviços Office 365 não estão no escopo dessa certificação?
A Microsoft fornece as ofertas mais abrangentes em comparação com outros provedores de serviços de nuvem. Para acompanhar nossas amplas ofertas de conformidade entre regiões e setores, incluímos serviços no escopo de nossos esforços de garantia com base na demanda do mercado, nos comentários dos clientes e no ciclo de vida do produto. Se um serviço não estiver incluído no escopo atual de uma oferta de conformidade específica, sua organização terá a responsabilidade de avaliar os riscos com base em suas obrigações de conformidade e determinar a maneira como você processa os dados nesse serviço. Coletamos continuamente comentários de clientes e trabalhamos com reguladores e auditores para expandir nossa cobertura de conformidade para atender às suas necessidades de segurança e conformidade.
A certificação da Microsoft significa que, se minha organização usar Office 365, ela estará em conformidade com o CSF hitrust?
Quando você armazena seus dados em um SaaS como Office 365, é uma responsabilidade compartilhada entre a Microsoft e sua organização alcançar a conformidade. A Microsoft gerencia a maioria dos controles de infraestrutura, incluindo segurança física, controles de rede, controles de nível de aplicativo etc., e sua organização tem a responsabilidade de gerenciar controles de acesso e proteger seus dados confidenciais. A certificação HITRUST Office 365 demonstra a conformidade da estrutura de controle da Microsoft. Com base nisso, sua organização precisa implementar e manter seus próprios controles de proteção de dados para atender aos requisitos do CSF HITRUST.
A Microsoft fornece diretrizes para que minha organização implemente controles apropriados ao usar Office 365?
Sim, você pode encontrar ações recomendadas do cliente no Gerenciador de Conformidade, soluções entre Microsoft Cloud que ajudam sua organização a cumprir obrigações complexas de conformidade ao usar serviços de nuvem. Especificamente, para o CSF HITRUST, recomendamos que você execute avaliações de risco usando as avaliações NIST 800-53 e NIST CSF no Gerenciador de Conformidade. Nas avaliações, fornecemos orientações passo a passo e as soluções da Microsoft que você pode usar para implementar seus controles de proteção de dados. Você pode saber mais sobre o Gerenciador de Conformidade no Microsoft Purview Compliance Manager.
Use o Microsoft Purview Compliance Manager para avaliar seu risco
O Microsoft Purview Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar e gerenciar avaliações no Gerenciador de Conformidade.
Recursos
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários