Partilhar via


Configurando a ID do Microsoft Entra para conformidade com HIPAA

Serviços da Microsoft, como o Microsoft Entra ID, podem ajudá-lo a atender aos requisitos relacionados à identidade para a Lei de Portabilidade e Responsabilidade de Seguro de Saúde de 1996 (HIPAA).

A Regra de Segurança da HIPAA (HSR) estabelece padrões para proteger as informações eletrônicas de saúde pessoal dos indivíduos que são criadas, recebidas, usadas ou mantidas por uma entidade coberta. O HSR é gerenciado pelo Departamento de Saúde e Serviços Humanos dos EUA (HHS) e requer salvaguardas administrativas, físicas e técnicas apropriadas para garantir a confidencialidade, integridade e segurança das informações de saúde eletrônicas protegidas.

Os requisitos e objetivos de salvaguardas técnicas são definidos no Título 45 do Código de Regulamentos Federais (CFRs). A parte 160 do título 45 estabelece os requisitos administrativos gerais e as subpartes A e C da parte 164 descrevem os requisitos de segurança e privacidade.

A subparte § 164.304 define salvaguardas técnicas como a tecnologia e as políticas e procedimentos para seu uso que protegem as informações eletrônicas protegidas de saúde e controlam o acesso a elas. O HHS também descreve áreas-chave a serem consideradas pelas organizações de saúde ao implementar salvaguardas técnicas da HIPAA. Do § 164.312 Salvaguardas técnicas:

  • Controles de acesso - Implementar políticas e procedimentos técnicos para sistemas de informação eletrônica que mantêm informações de saúde protegidas eletronicamente para permitir o acesso apenas às pessoas ou programas de software aos quais foram concedidos direitos de acesso, conforme especificado no § 164.308(a)(4).

  • Controlos de auditoria - Implementar hardware, software e/ou mecanismos processuais que registem e examinem a atividade em sistemas de informação que contenham ou utilizem informação de saúde eletrónica protegida.

  • Controles de integridade - Implementar políticas e procedimentos para proteger as informações eletrônicas protegidas de saúde contra alterações ou destruição indevidas.

  • Autenticação de pessoa ou entidade - Implementar procedimentos para verificar se uma pessoa ou entidade que procura acesso a informações de saúde protegidas eletronicamente é a reivindicada.

  • Segurança da transmissão - Implementar medidas técnicas de segurança para proteger contra o acesso não autorizado a informações de saúde protegidas eletrónicas que estão a ser transmitidas através de uma rede de comunicações eletrónicas.

O HSR define subpartes como padrão, juntamente com as especificações de implementação necessárias e endereçáveis. Tudo tem de ser implementado. A designação "endereçável" indica que uma especificação é razoável e adequada. Endereçável não significa que uma especificação de implementação seja opcional. Portanto, as subpartes definidas como endereçáveis também são necessárias.

Os restantes artigos desta série fornecem orientações e ligações para recursos, organizados por áreas-chave e salvaguardas técnicas. Para cada área-chave, há uma tabela com as salvaguardas relevantes listadas e links para as diretrizes do Microsoft Entra para realizar a proteção.

Mais informações

Próximos passos