Altre linee guida per la salvaguardia
Microsoft Entra ID soddisfa i requisiti di pratica correlati all'identità per l'implementazione delle misure di sicurezza della Legge sulla Portabilità e Responsabilità delle Assicurazioni Sanitarie del 1996 (HIPAA). Per essere conforme a HIPAA, è responsabilità delle aziende implementare le misure di sicurezza usando queste linee guida insieme ad altre configurazioni o processi necessari. Questo articolo contiene indicazioni per ottenere la conformità HIPAA per i tre controlli seguenti:
- Protezione dell'integrità
- Protezione dell'autenticazione di persona o entità
- Protezione della sicurezza della trasmissione
Linee guida per la salvaguardia dell'integrità
Microsoft Entra ID soddisfa i requisiti di pratica correlati all'identità per l'implementazione di misure di sicurezza HIPAA. Per essere conforme a HIPAA, implementare le misure di sicurezza usando queste linee guida insieme ad altre configurazioni o processi necessari.
Per la salvaguardia della modifica dei dati :
Proteggere file e messaggi di posta elettronica in tutti i dispositivi.
Individuare e classificare i dati sensibili.
Crittografare documenti e messaggi di posta elettronica che contengono dati sensibili o personali.
Il contenuto seguente fornisce le indicazioni da HIPAA, seguito da una tabella con le raccomandazioni e le linee guida di Microsoft.
Integrità di HIPAA -
Implement security measures to ensure that electronically transmitted electronic protected health information isn't improperly modified without detection until disposed of.
| Raccomandazione | Azione |
|---|---|
| Abilitare Microsoft Purview Information Protection (IP) | Individuare, classificare, proteggere e gestire i dati sensibili, coprendo l'archiviazione e i dati trasmessi. Proteggere i dati tramite IP di Microsoft Purview consente di determinare il panorama dei dati, esaminare il framework e adottare misure attive per identificare e proteggere i dati. |
| Configurare il blocco sul posto di Exchange | Exchange Online offre diverse impostazioni per supportare eDiscovery.
blocco sul posto usa parametri specifici su quali elementi devono essere mantenuti. La matrice decisionale può essere basata su parole chiave, mittenti, destinatari e date. Le soluzioni Microsoft Purview eDiscovery fanno parte del portale di conformità di Microsoft Purview |
| Configurare l'estensione Secure/Multipurpose Internet Mail in Exchange Online |
S/MIME è un protocollo usato per l'invio di messaggi con firma digitale e crittografati. Si basa sull'associazione di chiavi asimmetriche, su una chiave pubblica e privata. Exchange Online fornisce crittografia e protezione del contenuto della posta elettronica e delle firme che verificano l'identità del mittente. |
| Abilitare il monitoraggio e la registrazione. |
La Registrazione e il Monitoraggio sono essenziali per proteggere un ambiente. Le informazioni vengono usate per supportare le indagini e aiutare a rilevare potenziali minacce identificando modelli insoliti. Abilitare la registrazione e il monitoraggio dei servizi per ridurre il rischio di accesso non autorizzato. La verifica di Microsoft Purview offre visibilità sulle attività verificate nei servizi in Microsoft 365. Consente di eseguire indagini aumentando la conservazione dei log di controllo. |
Linee guida per la protezione dell'autenticazione di persona o entità
Microsoft Entra ID soddisfa i requisiti di pratica correlati all'identità per l'implementazione di misure di sicurezza HIPAA. Per essere conforme a HIPAA, implementare le misure di sicurezza usando queste linee guida insieme ad altre configurazioni o processi necessari.
Per il controllo e la protezione delle persone e delle entità:
Assicurarsi che l'attestazione dell'utente finale sia valida per l'accesso ai dati.
Identificare e attenuare eventuali rischi per i dati archiviati.
Il contenuto seguente fornisce le indicazioni da HIPAA, seguito da una tabella con le raccomandazioni e le linee guida di Microsoft.
HIPAA - autenticazione di persona o entità
Implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
Assicurarsi che gli utenti e i dispositivi che accedono ai dati ePHI siano autorizzati. È necessario assicurarsi che i dispositivi siano conformi e le azioni vengano controllate per contrassegnare i rischi per i proprietari dei dati.
| Raccomandazione | Azione |
|---|---|
| Abilitare l'autenticazione a più fattori | L'autenticazione a più fattori Microsoft Entra protegge le identità aggiungendo un ulteriore livello di sicurezza. Il livello aggiuntivo offre un modo efficace per impedire l'accesso non autorizzato. L'autenticazione a più fattori abilita il requisito di una maggiore convalida delle credenziali di accesso durante il processo di autenticazione. La configurazione dell'app Authenticator fornisce la verifica con un clic oppure è possibile configurare configurazione senza password di Microsoft Entra. |
| Abilitare i criteri di accesso condizionale | Le politiche di accesso condizionale aiutano a limitare l'accesso solo alle applicazioni approvate. Microsoft Entra analizza i segnali provenienti dall'utente, dal dispositivo o dalla posizione per automatizzare le decisioni e applicare i criteri dell'organizzazione per l'accesso alle risorse e ai dati. |
| Configurare i criteri di accesso condizionale basati su dispositivo | l'accesso condizionale con Microsoft Intune per la gestione dei dispositivi e i criteri di Microsoft Entra possono usare lo stato del dispositivo per concedere l'accesso negato ai servizi e ai dati. Distribuendo i criteri di conformità dei dispositivi, viene determinato se i requisiti di sicurezza sono soddisfatti per decidere se consentire o negare l'accesso alle risorse. |
| Usare il controllo degli accessi in base al ruolo | Il RBAC in Microsoft Entra ID offre sicurezza a livello enterprise, con separazione dei compiti. Modificare ed esaminare le autorizzazioni per proteggere la riservatezza, la privacy e la gestione degli accessi alle risorse e ai dati sensibili, con i sistemi. Microsoft Entra ID fornisce supporto per ruoli predefiniti, ovvero un set fisso di autorizzazioni che non possono essere modificate. È anche possibile creare ruoli personalizzati in cui è possibile aggiungere un elenco preimpostato. |
Linee guida per la sicurezza della trasmissione
Microsoft Entra ID soddisfa i requisiti di pratica correlati all'identità per l'implementazione di misure di sicurezza HIPAA. Per essere conforme a HIPAA, implementare le misure di sicurezza usando queste linee guida insieme ad altre configurazioni o processi necessari.
Per la crittografia:
Proteggere la riservatezza dei dati.
Evitare il furto di dati.
Impedire l'accesso non autorizzato a PHI.
Verificare il livello di crittografia sui dati.
Per proteggere la trasmissione dei dati PHI:
Proteggere la condivisione dei dati PHI.
Proteggere l'accesso ai dati PHI.
Verificare che i dati trasmessi siano crittografati.
Il contenuto seguente fornisce un elenco delle linee guida Audit and Transmission Security Safeguard fornite dalle linee guida HIPAA e dalle raccomandazioni di Microsoft per consentire di soddisfare i requisiti di implementazione della protezione con Microsoft Entra ID.
HIPAA - crittografia
Implement a mechanism to encrypt and decrypt electronic protected health information.
Assicurarsi che i dati ePHI siano crittografati e decrittografati con la chiave/processo di crittografia conforme.
| Raccomandazione | Azione |
|---|---|
| Esaminare i punti di crittografia di Microsoft 365 |
La crittografia con Microsoft Purview in Microsoft 365 offre un ambiente altamente sicuro con protezione estesa su più livelli: il data center fisico, la sicurezza, la rete, l'accesso, l'applicazione e la protezione dei dati.
Esaminare l'elenco di crittografia e modificare se è necessario un maggiore controllo. |
| Esaminare la crittografia del database |
Crittografia Trasparente dei Dati aggiunge uno strato di sicurezza per aiutare a proteggere i dati a riposo dall'accesso non autorizzato o offline. Crittografa il database utilizzando la crittografia AES. Mascheramento dinamico dei dati sensibili, che limita l'esposizione dei dati sensibili. Maschera i dati agli utenti non autorizzati. Il mascheramento comprende campi specificati, che vengono definiti in un nome di schema del database, in un nome di tabella e in un nome di colonna. I nuovi database vengono crittografati per impostazione predefinita e la chiave di crittografia del database è protetta da un certificato server predefinito. È consigliabile esaminare i database per assicurarsi che la crittografia sia impostata nel patrimonio di dati. |
| Esaminare i punti di Crittografia di Azure | funzionalità di crittografia di Azure copre le aree principali dei dati inattivi, dei modelli di crittografia e della gestione delle chiavi con Azure Key Vault. Esaminare i diversi livelli di crittografia e il modo in cui corrispondono agli scenari all'interno dell'organizzazione. |
| Valutare la governance della raccolta e conservazione dei dati. |
Microsoft Purview Data Lifecycle Management consente di applicare le politiche di conservazione.
Gestione dei record di Microsoft Purview consente di applicare etichette di conservazione. Questa strategia consente di ottenere visibilità sugli asset nell'intero patrimonio di dati. Questa strategia consente anche di proteggere e gestire i dati sensibili tra cloud, app ed endpoint. Importante: come indicato in 45 CFR 164.316: Limite di tempo (obbligatorio). Conservare la documentazione richiesta da paragrafo (b)(1) di questa sezione per sei anni dalla data di creazione o dalla data in cui è stata applicata l'ultima volta. |
HIPAA - Proteggere la trasmissione di dati PHI
Implement technical security measures to guard against unauthorized access to electronic protected health information that is being transmitted over an electronic communications network.
Stabilire criteri e procedure per proteggere lo scambio di dati che contiene dati PHI.
| Raccomandazione | Azione |
|---|---|
| Valutare lo stato delle applicazioni locali |
L'implementazione del proxy dell'applicazione Microsoft Entra consente di pubblicare esternamente in modo sicuro le applicazioni Web locali. Il proxy dell'applicazione Microsoft Entra permette di pubblicare in modo sicuro un endpoint URL esterno in Azure. |
| Abilitare l'autenticazione a più fattori | L'autenticazione a più fattori Microsoft Entra protegge le identità aggiungendo un livello di sicurezza. L'aggiunta di altri livelli di sicurezza è un modo efficace per impedire l'accesso non autorizzato. L'autenticazione a più fattori abilita il requisito di una maggiore convalida delle credenziali di accesso durante il processo di autenticazione. È possibile configurare l'app Authenticator per fornire la verifica con un clic o l'autenticazione senza password. |
| Abilitare i criteri di accesso condizionale per l'accesso alle applicazioni | politiche di accesso condizionale consentono di limitare l'accesso alle applicazioni approvate. Microsoft Entra analizza i segnali provenienti dall'utente, dal dispositivo o dalla posizione per automatizzare le decisioni e applicare i criteri dell'organizzazione per l'accesso alle risorse e ai dati. |
| Esaminare i criteri di Exchange Online Protection (EOP) |
La protezione da spam e malware di Exchange Online fornisce un filtro integrato per malware e posta indesiderata. EOP protegge i messaggi in ingresso e in uscita ed è abilitato per impostazione predefinita. I servizi EOP offrono anche protezione anti-spoofing, quarantena dei messaggi e la possibilità di segnalare i messaggi in Outlook.
I criteri possono essere personalizzati in base alle impostazioni a livello aziendale, che hanno la precedenza sui criteri predefiniti. |
| Configurare le etichette di riservatezza |
Etichette di riservatezza di Microsoft Purview consentono di classificare e proteggere i dati della tua organizzazione. Le etichette forniscono le impostazioni di protezione nella documentazione per i contenitori. Ad esempio, lo strumento protegge i documenti archiviati nei siti di Microsoft Teams e SharePoint per impostare e applicare le impostazioni di privacy. Estendere le etichette ai file e agli asset di dati, come Azure SQL, Azure Synapse, Azure Cosmos DB e AWS RDS.
Oltre ai 200 tipi di informazioni sensibili predefiniti, esistono classificatori avanzati, come le entità nominate, i classificatori addestrabili, e EDM per proteggere i tipi sensibili personalizzati. |
| Valutare se è necessaria una connessione privata per connettersi ai servizi |
azure ExpressRoute crea connessioni private tra data center di Azure basati sul cloud e l'infrastruttura che si trovano in locale. I dati non vengono trasferiti tramite Internet pubblico.
Il servizio usa la connettività di livello 3, connette il router perimetrale e offre scalabilità dinamica. |
| Valutare i requisiti della VPN |
documentazione del gateway VPN connette una rete locale ad Azure tramite connessione VPN da sito a sito, da punto a sito, da rete virtuale a rete virtuale e vpn multisito. Il servizio supporta ambienti di lavoro ibridi fornendo un transito sicuro dei dati. |