Otras instrucciones de protección
Microsoft Entra ID cumple los requisitos de prácticas relacionadas con la identidad para implementar la Ley de portabilidad y responsabilidad de seguros de salud de 1996 (HIPAA). Para ser compatible con HIPAA, es responsabilidad de las empresas implementar las medidas de seguridad mediante esta guía junto con cualquier otra configuración o proceso necesario. Este artículo contiene instrucciones para lograr el cumplimiento de HIPAA para los tres controles siguientes:
- Salvaguarda de integridad
- Salvaguarda de autenticación de personas o entidades
- Protección de seguridad de transmisión
Guía de protección de integridad
Microsoft Entra ID cumple los requisitos de prácticas relacionadas con la identidad para implementar medidas de seguridad hipaa. Para ser compatible con HIPAA, implemente las medidas de seguridad con esta guía junto con cualquier otra configuración o proceso necesario.
Para la protección de modificación de datos:
Proteja archivos y correos electrónicos en todos los dispositivos.
Detectar y clasificar datos confidenciales.
Cifre documentos y correos electrónicos que contengan datos confidenciales o personales.
El siguiente contenido proporciona las instrucciones de HIPAA seguidas de una tabla con las recomendaciones e instrucciones de Microsoft.
HIPAA: integridad
Implement security measures to ensure that electronically transmitted electronic protected health information isn't improperly modified without detection until disposed of.
| Recomendación | Acción |
|---|---|
| Habilitación de Microsoft Purview Information Protection (IP) | Descubra, clasifique, proteja y controle los datos confidenciales, que abarcan el almacenamiento y los datos transmitidos. Proteger los datos a través de IP de Microsoft Purview ayuda a determinar el panorama de datos, revisar el marco y realizar pasos activos para identificar y proteger los datos. |
| Configurar la retención local de Exchange | Exchange Online proporciona varias opciones de configuración para admitir eDiscovery. Retención in situ utiliza parámetros específicos sobre qué elementos se deben retener. La matriz de decisiones se puede basar en palabras clave, remitentes, recibos y fechas. soluciones de eDiscovery de Microsoft Purview forma parte del portal de cumplimiento de Microsoft Purview y cubre todos los orígenes de datos de Microsoft 365. |
| Configurar la extensión de correo de Internet seguro/multipropósito en Exchange Online | S/MIME es un protocolo que se usa para enviar mensajes cifrados y firmados digitalmente. Se basa en el emparejamiento de claves asimétricas, una clave pública y privada. exchange Online proporciona cifrado y protección del contenido del correo electrónico y las firmas que comprueban la identidad del remitente. |
| Habilite la supervisión y el registro. | Las actividades de registro y supervisión son esenciales para proteger un entorno. La información se utiliza para apoyar investigaciones y ayudar a detectar posibles amenazas mediante la identificación de patrones inusuales. Habilite el registro y la supervisión de los servicios para reducir el riesgo de acceso no autorizado. La auditoría de Microsoft Purview proporciona visibilidad sobre las actividades auditadas en los servicios de Microsoft 365. Ayuda a las investigaciones aumentando la retención del registro de auditoría. |
Guía de protección de autenticación de personas o entidades
Microsoft Entra ID cumple los requisitos de prácticas relacionadas con la identidad para implementar medidas de seguridad hipaa. Para ser compatible con HIPAA, implemente las medidas de seguridad con esta guía junto con cualquier otra configuración o proceso necesario.
Para la auditoría y protección de personas y entidades:
Asegúrese de que la reclamación del usuario final sea válida para el acceso a datos.
Identifique y mitigue los riesgos de los datos almacenados.
El siguiente contenido proporciona las instrucciones de HIPAA seguidas de una tabla con las recomendaciones e instrucciones de Microsoft.
HIPAA - autenticación de personas o entidades
Implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
Asegúrese de que los usuarios y dispositivos que acceden a los datos de ePHI estén autorizados. Debe asegurarse de que los dispositivos son compatibles y las acciones se auditan para marcar los riesgos para los propietarios de los datos.
| Recomendación | Acción |
|---|---|
| Habilitación de la autenticación multifactor | la autenticación multifactor de Microsoft Entra protege las identidades agregando una capa adicional de seguridad. La capa adicional proporciona una manera eficaz de evitar el acceso no autorizado. MFA requiere una validación adicional de las credenciales durante el proceso de autenticación. La configuración de la aplicación Authenticator proporciona verificación con un solo clic o puede configurar la configuración sin contraseña de Microsoft Entra. |
| Habilitar directivas de acceso condicional | Directivas de Acceso Condicional ayudan a restringir el acceso solo a las aplicaciones aprobadas. Microsoft Entra analiza las señales del usuario, el dispositivo o la ubicación para automatizar las decisiones y aplicar directivas organizativas para el acceso a los recursos y los datos. |
| Configurar una directiva de acceso condicional basada en dispositivos | El acceso condicional con Microsoft Intune para la administración de dispositivos y las directivas de Microsoft Entra puede usar el estado del dispositivo para conceder acceso denegado a los servicios y datos. Al implementar directivas de cumplimiento de dispositivos, determina si cumple los requisitos de seguridad para tomar decisiones para permitir el acceso a los recursos o denegarlos. |
| Uso del control de acceso basado en rol (RBAC) | RBAC de Microsoft Entra ID proporciona seguridad en un nivel empresarial, con separación de tareas. Ajuste y revise los permisos para proteger la confidencialidad, privacidad y administración de acceso a recursos y datos confidenciales, con los sistemas. Microsoft Entra ID proporciona compatibilidad con roles integrados, que es un conjunto fijo de permisos que no se pueden modificar. También puede crear sus propios roles personalizados donde puede agregar una lista preestablecida. |
Guía de seguridad de transmisión
Microsoft Entra ID cumple los requisitos de prácticas relacionadas con la identidad para implementar medidas de seguridad hipaa. Para ser compatible con HIPAA, implemente las medidas de seguridad con esta guía junto con cualquier otra configuración o proceso necesario.
Para el cifrado:
Proteger la confidencialidad de los datos.
Evitar el robo de datos.
Evitar el acceso no autorizado a PHI.
Asegúrese de que el nivel de cifrado de los datos sea el adecuado.
Para proteger la transmisión de datos PHI:
Proteger el uso compartido de datos PHI.
Proteger el acceso a los datos PHI.
Asegúrese de que los datos transmitidos están cifrados.
En el siguiente contenido se proporciona una lista de la orientación sobre las salvaguardas de seguridad de auditoría y de transmisión de la guía de HIPAA y las recomendaciones de Microsoft para permitirle cumplir con los requisitos de implementación de las salvaguardas con Microsoft Entra ID.
HIPAA - encriptación
Implement a mechanism to encrypt and decrypt electronic protected health information.
Asegúrese de que los datos de ePHI están cifrados y descifrados con la clave o proceso de cifrado compatibles.
| Recomendación | Acción |
|---|---|
| Revisión de los puntos de cifrado de Microsoft 365 | Cifrado con Microsoft Purview en Microsoft 365 es un entorno muy seguro que ofrece una amplia protección en varias capas: el centro de datos físico, la seguridad, la red, el acceso, la aplicación y la seguridad de los datos. Revise la lista de cifrado y modifique si se requiere más control. |
| Revisión del cifrado de la base de datos | cifrado de datos transparente agrega una capa de seguridad para ayudar a proteger los datos en reposo frente al acceso no autorizado o sin conexión. Cifra la base de datos mediante el cifrado AES. Enmascaramiento dinámico de datos para datos confidenciales, que limita la exposición de datos confidenciales. Enmascara los datos a los usuarios nonauthorizados. El enmascaramiento incluye campos designados, que se definen en un nombre de esquema de base de datos, nombre de tabla y nombre de columna. Las nuevas bases de datos se cifran de forma predeterminada y la clave de cifrado de la base de datos está protegida por un certificado de servidor integrado. Se recomienda revisar las bases de datos para asegurarse de que el cifrado está establecido en el patrimonio de datos. |
| Revisión de los puntos de cifrado de Azure | funcionalidad de cifrado de Azure abarca las áreas principales de los datos en reposo, los modelos de cifrado y la administración de claves mediante Azure Key Vault. Revise los distintos niveles de cifrado y cómo coinciden con escenarios de su organización. |
| Evaluación de la recopilación de datos y la gobernanza de retención | Administración del Ciclo de Vida de los Datos de Microsoft Purview le permite aplicar políticas de retención. Microsoft Purview Records Management le permite aplicar etiquetas de retención. Esta estrategia le ayuda a obtener visibilidad de los recursos en todo el patrimonio de datos. Esta estrategia también le ayuda a proteger y administrar datos confidenciales en nubes, aplicaciones y puntos de conexión. Importante: Como se indica en 45 CFR 164.316: límite de tiempo (obligatorio). Conserve la documentación requerida por párrafo b)(1) de esta sección durante seis años a partir de la fecha de creación o la fecha en que se haya producido por última vez, lo que sea posterior. |
HIPAA: protección de la transmisión de datos PHI
Implement technical security measures to guard against unauthorized access to electronic protected health information that is being transmitted over an electronic communications network.
Establecer directivas y procedimientos para proteger el intercambio de datos que contiene datos PHI.
| Recomendación | Acción |
|---|---|
| Evaluación del estado de las aplicaciones locales | El proxy de aplicación de Microsoft Entra permite la implementación de aplicaciones web alojadas localmente de forma accesible externamente y segura. El proxy de aplicación de Microsoft Entra le permite publicar de forma segura un punto de conexión URL externo en Azure. |
| Habilitación de la autenticación multifactor | la autenticación multifactor de Microsoft Entra protege las identidades agregando una capa de seguridad. Agregar más capas de seguridad es una manera eficaz de evitar el acceso no autorizado. MFA permite una validación adicional de las credenciales de inicio de sesión durante el proceso de autenticación. Puede configurar la aplicación autenticador para proporcionar verificación con un solo clic o autenticación sin contraseña. |
| Habilitación de directivas de acceso condicional para el acceso a aplicaciones | Las directivas de acceso condicional ayudan a restringir el acceso a las aplicaciones aprobadas. Microsoft Entra analiza las señales del usuario, el dispositivo o la ubicación para automatizar las decisiones y aplicar directivas organizativas para el acceso a los recursos y los datos. |
| Revisar las directivas de Exchange Online Protection (EOP) | La protección contra correo no deseado y malware de Exchange Online ofrece filtrado integrado de malware y spam. EOP protege los mensajes entrantes y salientes y está habilitado de forma predeterminada. Los servicios EOP también proporcionan protección contra la suplantación de identidad, los mensajes en cuarentena y la capacidad de notificar mensajes en Outlook. Las directivas se pueden personalizar para ajustarse a la configuración de toda la empresa, estas tienen prioridad sobre las directivas predeterminadas. |
| Configurar etiquetas de sensibilidad | Las etiquetas de confidencialidad de Microsoft Purview permiten clasificar y proteger los datos de las organizaciones. Las etiquetas proporcionan la configuración de protección en la documentación de los contenedores. Por ejemplo, la herramienta protege los documentos almacenados en sitios de Microsoft Teams y SharePoint, para establecer y aplicar la configuración de privacidad. Extienda etiquetas a archivos y recursos de datos como SQL, Azure SQL, Azure Synapse, Azure Cosmos DB y AWS RDS. Más allá de los 200 tipos de información confidencial de fábrica, hay clasificadores avanzados, como entidades de nombres, clasificadores entrenables y EDM para proteger tipos confidenciales personalizados. |
| Evaluar si se requiere una conexión privada para conectarse a los servicios | azure ExpressRoute crea conexiones privadas entre centros de datos de Azure basados en la nube e infraestructura que residen en el entorno local. Los datos no se transfieren a través de la red pública de Internet. El servicio usa conectividad de nivel 3, conecta el enrutador perimetral y proporciona escalabilidad dinámica. |
| Evaluación de los requisitos de VPN | Documentación de VPN Gateway conecta una red local a Azure a través de una conexión VPN de sitio a sitio, de punto a sitio, de VNet a VNet y de varios sitios. El servicio admite entornos de trabajo híbridos al proporcionar un tránsito de datos seguro. |