Configurando a ID do Microsoft Entra para conformidade com HIPAA
Serviços da Microsoft, como o Microsoft Entra ID, podem ajudá-lo a atender aos requisitos relacionados à identidade para a Lei de Portabilidade e Responsabilidade de Seguro de Saúde de 1996 (HIPAA).
A Regra de Segurança da HIPAA (HSR) estabelece padrões para proteger as informações eletrônicas de saúde pessoal dos indivíduos que são criadas, recebidas, usadas ou mantidas por uma entidade coberta. O HSR é gerenciado pelo Departamento de Saúde e Serviços Humanos dos EUA (HHS) e requer salvaguardas administrativas, físicas e técnicas apropriadas para garantir a confidencialidade, integridade e segurança das informações de saúde eletrônicas protegidas.
Os requisitos e objetivos de salvaguardas técnicas são definidos no Título 45 do Código de Regulamentos Federais (CFRs). A parte 160 do título 45 estabelece os requisitos administrativos gerais e as subpartes A e C da parte 164 descrevem os requisitos de segurança e privacidade.
A subparte § 164.304 define salvaguardas técnicas como a tecnologia e as políticas e procedimentos para seu uso que protegem as informações eletrônicas protegidas de saúde e controlam o acesso a elas. O HHS também descreve áreas-chave a serem consideradas pelas organizações de saúde ao implementar salvaguardas técnicas da HIPAA. Do § 164.312 Salvaguardas técnicas:
Controles de acesso - Implementar políticas e procedimentos técnicos para sistemas de informação eletrônica que mantêm informações de saúde protegidas eletronicamente para permitir o acesso apenas às pessoas ou programas de software aos quais foram concedidos direitos de acesso, conforme especificado no § 164.308(a)(4).
Controlos de auditoria - Implementar hardware, software e/ou mecanismos processuais que registem e examinem a atividade em sistemas de informação que contenham ou utilizem informação de saúde eletrónica protegida.
Controles de integridade - Implementar políticas e procedimentos para proteger as informações eletrônicas protegidas de saúde contra alterações ou destruição indevidas.
Autenticação de pessoa ou entidade - Implementar procedimentos para verificar se uma pessoa ou entidade que procura acesso a informações de saúde protegidas eletronicamente é a reivindicada.
Segurança da transmissão - Implementar medidas técnicas de segurança para proteger contra o acesso não autorizado a informações de saúde protegidas eletrónicas que estão a ser transmitidas através de uma rede de comunicações eletrónicas.
O HSR define subpartes como padrão, juntamente com as especificações de implementação necessárias e endereçáveis. Tudo tem de ser implementado. A designação "endereçável" indica que uma especificação é razoável e adequada. Endereçável não significa que uma especificação de implementação seja opcional. Portanto, as subpartes definidas como endereçáveis também são necessárias.
Os restantes artigos desta série fornecem orientações e ligações para recursos, organizados por áreas-chave e salvaguardas técnicas. Para cada área-chave, há uma tabela com as salvaguardas relevantes listadas e links para as diretrizes do Microsoft Entra para realizar a proteção.
Mais informações
Texto do regulamento combinado de todos os Regulamentos de Simplificação Administrativa da HIPAA encontrados em 45 CFR 160, 162 e 164
Código de Regulamentos Federais (CFR) Título 45 que descreve a parte de bem-estar público do regulamento
Parte 160 , que descreve os requisitos administrativos gerais do título 45
Parte 164 , subpartes A e C, que descreve os requisitos de segurança e privacidade do título 45