CSF (Estrutura de Segurança Comum) da HITRUST (Health Information Trust Alliance)
Descrição geral do CSF HITRUST
A Health Information Trust Alliance (HITRUST) é uma organização governada por representantes da indústria dos cuidados de saúde. A HITRUST criou e mantém o Common Security Framework (CSF), uma arquitetura certificável para ajudar as organizações de cuidados de saúde e os respetivos fornecedores a demonstrar a sua segurança e conformidade de forma consistente e simplificada.
O CSF baseia-se na HIPAA e na Lei HITECH, que são leis de saúde dos EUA que estabeleceram requisitos para a utilização, divulgação e salvaguarda de informações de saúde individualmente identificáveis, e que impõem a não conformidade. A HITRUST fornece uma referência ( um processo de conformidade padronizada, avaliação e certificação ) em relação ao qual os fornecedores de serviços cloud e as entidades de estado de funcionamento abrangidas podem medir a conformidade. O CSF também incorpora requisitos de segurança, privacidade e outros requisitos regulamentares específicos dos cuidados de saúde a partir de estruturas existentes, como a Norma de Segurança de Dados da Indústria de Cartões de Pagamento (PCI-DSS), normas de gestão de segurança de informações ISO/IEC 27001 e Normas De Risco Mínimo Aceitável para Trocas (MARS-E).
O CSF está dividido em 19 domínios diferentes, incluindo proteção de pontos finais, segurança de dispositivos móveis e controlo de acesso. A HITRUST certifica as ofertas de TI relativamente a estes controlos. A HITRUST também adapta os requisitos de certificação aos riscos de uma organização com base em fatores organizacionais, de sistema e regulamentares.
CSF (Estrutura de Segurança Comum) da HITRUST (Health Information Trust Alliance)
A HITRUST oferece três graus de garantia ou níveis de avaliação: autoavalizada, validada por CSF e certificada para CSF. Cada nível aumenta com um maior rigor no nível abaixo. Uma organização com o nível mais alto, certificado por CSF, cumpre todos os requisitos de certificação do CSF. O Microsoft Azure e o Office 365 são os primeiros serviços cloud de hiperescala a receber certificação para o HITRUST CSF. A Coalfire, uma empresa de avaliação hiTRUST, realizou as avaliações com base na forma como o Azure e Office 365 implementar requisitos de segurança, privacidade e regulamentação para proteger informações confidenciais. A Microsoft suporta o Programa de Responsabilidade Partilhada HITRUST.
Saiba como acelerar a sua implementação HITRUST com o nosso Esquema de Conformidade e Segurança do Azure.
Transferir o esquema v9.0d da Matriz de Responsabilidade do Cliente (CRM) hiTRUST do Microsoft Azure
Plataformas e serviços em nuvem no escopo da Microsoft
- Azure e Azure Governamental
- Intune
- Área de Trabalho Gerenciada da Microsoft
- Office 365
- Windows 365 (Comercial)
Azure, Dynamics 365 e HITRUST
Para obter mais informações sobre o Azure, Dynamics 365 e outras serviços online conformidade, veja a oferta Azure HITRUST.
Office 365 e HITRUST
Ambientes do Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Essa seção aborda os seguintes ambientes do Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
| Aplicabilidade | Serviços no escopo |
|---|---|
| Comercial | Serviço de Feed de Atividades, Serviços Bing, Delve, Proteção do Exchange Online, Exchange Online, Microsoft Teams Office 365 Portal do Cliente, Office Online, Infraestrutura de Serviço do Office, Relatórios de Utilização do Office, OneDrive for Business, Pessoas Cartão, SharePoint Online, Skype for Business, Windows Ink |
Auditorias Office 365, relatórios e certificados
A certificação HITRUST CSF de Office 365 é válida durante dois anos.
Perguntas frequentes
Por que motivo alguns serviços Office 365 não estão no âmbito desta certificação?
A Microsoft fornece as ofertas mais abrangentes em comparação com outros fornecedores de serviços cloud. Para acompanhar as nossas amplas ofertas de conformidade entre regiões e indústrias, incluímos serviços no âmbito dos nossos esforços de garantia com base na procura do mercado, nos comentários dos clientes e no ciclo de vida dos produtos. Se um serviço não estiver incluído no âmbito atual de uma oferta de conformidade específica, a sua organização tem a responsabilidade de avaliar os riscos com base nas suas obrigações de conformidade e determinar a forma como processa os dados nesse serviço. Recolhemos continuamente feedback dos clientes e trabalhamos com reguladores e auditores para expandir a nossa cobertura de conformidade para satisfazer as suas necessidades de segurança e conformidade.
A certificação da Microsoft significa que, se a minha organização utilizar Office 365, está em conformidade com o CSF HITRUST?
Quando armazena os seus dados num SaaS como Office 365, é uma responsabilidade partilhada entre a Microsoft e a sua organização alcançar a conformidade. A Microsoft gere a maioria dos controlos de infraestrutura, incluindo segurança física, controlos de rede, controlos ao nível da aplicação, etc., e a sua organização tem a responsabilidade de gerir controlos de acesso e proteger os seus dados confidenciais. O Office 365 certificação HITRUST demonstra a conformidade da estrutura de controlo da Microsoft. Com base nisso, a sua organização precisa de implementar e manter os seus próprios controlos de proteção de dados para cumprir os requisitos do CSF HITRUST.
A Microsoft fornece orientações para que a minha organização implemente controlos adequados ao utilizar Office 365?
Sim, pode encontrar as ações recomendadas do cliente no Gestor de Conformidade, soluções transversais à Microsoft Cloud que ajudam a sua organização a cumprir obrigações de conformidade complexas ao utilizar serviços cloud. Especificamente, para hitrust CSF, recomendamos que realize avaliações de risco com as avaliações NIST 800-53 e NIST CSF no Gestor de Conformidade. Nas avaliações, fornecemos-lhe orientações passo a passo e as soluções da Microsoft que pode utilizar para implementar os seus controlos de proteção de dados. Pode saber mais sobre o Gestor de Conformidade no Gestor de Conformidade do Microsoft Purview.
Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco
O Gestor de Conformidade do Microsoft Purview é uma funcionalidade do portal de conformidade do Microsoft Purview para o ajudar a compreender a postura de conformidade da sua organização e a tomar medidas para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como Criar e gerir avaliações no Gestor de Conformidade.