Outras diretrizes de proteção
O Microsoft Entra ID atende aos requisitos de prática relacionados à identidade para implementar as salvaguardas da Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 (HIPAA). Para ser compatível com HIPAA, é responsabilidade das empresas implementar as proteções usando essas diretrizes, juntamente com quaisquer outras configurações ou processos necessários. Este artigo contém diretrizes para obter a conformidade HIPAA para os três controles a seguir:
- Proteção de integridade
- Proteção de Autenticação de Pessoa ou Entidade
- Proteção de Segurança de Transmissão
Diretrizes de proteção de integridade
O Microsoft Entra ID atende aos requisitos de prática relacionados à identidade para implementar proteções HIPAA. Para ser compatível com HIPAA, implemente as proteções usando essas diretrizes juntamente com quaisquer outras configurações ou processos necessários.
Para a Proteção de Modificação de Dados:
Proteja arquivos e emails em vários dispositivos.
Descobrir e classificar dados confidenciais.
Criptografar documentos e emails que contêm dados confidenciais ou pessoais.
O conteúdo a seguir fornece as diretrizes da HIPAA seguidas por uma tabela com as recomendações e diretrizes da Microsoft.
HIPAA - integridade
Implement security measures to ensure that electronically transmitted electronic protected health information isn't improperly modified without detection until disposed of.
Recomendação | Ação |
---|---|
Habilitar Proteção de Informações do Microsoft Purview (IP) | Descubra, classifique, proteja e governe dados confidenciais, abrangendo o armazenamento e os dados transmitidos. Proteger seus dados por meio do IP do Microsoft Purview ajuda a determinar o cenário de dados, examinar a estrutura e executar etapas ativas para identificar e proteger seus dados. |
Configurar a retenção in-loco do Exchange | O Exchange online fornece várias configurações para dar suporte à Descoberta Eletrônica. A retenção in-loco usa parâmetros específicos sobre quais itens devem ser mantidos. A matriz de decisão pode ser baseada em palavras-chave, remetentes, recibos e datas. As Soluções de Descoberta Eletrônica do Microsoft Purviewfazem parte do portal de conformidade do Microsoft Purview e abrange todas as fontes de dados do Microsoft 365. |
Configurar a extensão Secure/Multipurpose/Multipurpose do Internet Mail no Exchange Online | O S/MIME é um protocolo usado para enviar mensagens assinadas digitalmente e criptografadas. Ele é baseado no emparelhamento de chaves assimétricas, uma chave pública e privada. O Exchange Online fornece criptografia e proteção do conteúdo do email e assinaturas que verificam a identidade do remetente. |
Habilitar o monitoramento e o registro em log. | Oregistro em log e o monitoramento são essenciais para proteger um ambiente. As informações são usadas para dar suporte a investigações e ajudar a detectar possíveis ameaças identificando padrões incomuns. Habilite o registro em log e o monitoramento de serviços para reduzir o risco de acesso não autorizado. A auditoria do Microsoft Purview fornece visibilidade das atividades auditadas entre os serviços no Microsoft 365. Ela ajuda as investigações aumentando a retenção de log de auditoria. |
Diretrizes de proteção de autenticação de pessoa ou entidade
O Microsoft Entra ID atende aos requisitos de prática relacionados à identidade para implementar proteções HIPAA. Para ser compatível com HIPAA, implemente as proteções usando essas diretrizes juntamente com quaisquer outras configurações ou processos necessários.
Para Auditoria e Proteção de Pessoa e Entidade:
Verifique se a declaração do usuário final é válida para o acesso a dados.
Identifique e reduza os riscos dos dados armazenados.
O conteúdo a seguir fornece as diretrizes da HIPAA seguidas por uma tabela com as recomendações e diretrizes da Microsoft.
HIPAA: proteção de autenticação de pessoa ou entidade
Implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
Verifique se os usuários e dispositivos que acessam dados ePHI estão autorizados. Você deve garantir que os dispositivos estejam em conformidade e que as ações sejam auditadas para sinalizar riscos aos proprietários de dados.
Recomendação | Ação |
---|---|
Exigir autenticação multifator | A Autenticação Multifator do Microsoft Entra protege identidades adicionando uma camada extra de segurança. A camada extra fornece uma maneira eficaz de impedir o acesso não autorizado. A MFA permite o requisito de mais validação de credenciais de entrada durante o processo de autenticação. A configuração do aplicativo Authenticator fornece verificação com um clique ou você pode configurar aconfiguração sem senha do Microsoft Entra. |
Habilitar políticas de acesso condicional | As políticas de Acesso Condicional ajudam as organizações a restringir o acesso a aplicativos aprovados. O Microsoft Entra analisa sinais do usuário, do dispositivo ou do local para automatizar decisões e impor políticas organizacionais para acesso a recursos e dados. |
Configurar a Política de Acesso Condicional baseada em dispositivo | O Acesso Condicional com Microsoft Intune para gerenciamento de dispositivos e políticas do Microsoft Entra pode usar o dispositivo status para conceder ou negar acesso aos seus serviços e dados. Ao implantar políticas de conformidade do dispositivo, elas determinam se ele atende aos requisitos de segurança para tomar decisões para permitir o acesso aos recursos ou negá-los. |
Usar o RBAC (controle de acesso baseado em função) | O RBAC no Microsoft Entra fornece segurança em nível empresarial com o conceito de separação de tarefas. Ajuste e revise permissões para proteger a confidencialidade, a privacidade e o gerenciamento de acesso a recursos e dados confidenciais, juntamente com os sistemas. O Microsoft Entra ID fornece suporte para funções internas, que são um conjunto fixo de permissões que não podem ser modificadas. Você também pode criar suas próprias funções personalizadas em que pode adicionar uma lista predefinida. |
Diretrizes de proteção de segurança de transmissão
O Microsoft Entra ID atende aos requisitos de prática relacionados à identidade para implementar proteções HIPAA. Para ser compatível com HIPAA, implemente as proteções usando essas diretrizes juntamente com quaisquer outras configurações ou processos necessários.
Para criptografia:
Proteger a confidencialidade dos dados.
Impedir o roubo de dados.
Impedir o acesso não autorizado ao PHI.
Verificar o nível de criptografia nos dados.
Para proteger a transmissão de dados PHI:
Proteger o compartilhamento de dados PHI.
Proteger o acesso aos dados PHI.
Verificar se os dados transmitidos são criptografados.
O conteúdo a seguir fornece uma lista das diretrizes de Proteção de Segurança de Auditoria e Transmissão das diretrizes HIPAA e recomendações da Microsoft para permitir que você atenda aos requisitos de implementação de proteção com o Microsoft Entra ID.
HIPAA: criptografia
Implement a mechanism to encrypt and decrypt electronic protected health information.
Verifique se os dados ePHI são criptografados e descriptografados com a chave ou processo de criptografia em conformidade.
Recomendação | Ação |
---|---|
Examinar pontos de criptografia do Microsoft 365 | A criptografia com o Microsoft Purview no Microsoft 365 é um ambiente altamente seguro que oferece ampla proteção em várias camadas: o data center físico, a segurança, a rede, o acesso, o aplicativo e a segurança de dados. Examine a lista de criptografia e altere se for necessário mais controle. |
Examinar a criptografia de banco de dados | A Criptografia de dados transparente adiciona uma camada de segurança para ajudar a proteger os dados inativos contra acesso não autorizado ou offline. Ela criptografa o banco de dados usando a criptografia AES. Mascaramento dinâmico de dados para dados confidenciais, o que limita a exposição de dados confidenciais. Ele mascara os dados para usuários não autorizados. A máscara inclui campos designados, que você define em um nome de esquema de banco de dados, nome da tabela e nome da coluna. Bancos de dados recém-criados são criptografados por padrão e a chave de criptografia de banco de dados é protegida por um certificado do servidor interno. Recomendamos que você examine os bancos de dados para garantir que a criptografia seja definida no patrimônio de dados. |
Examinar pontos da Criptografia do Azure | A funcionalidade de criptografia do Azure abrange as principais áreas de dados inativos, modelos de criptografia e gerenciamento de chaves usando o Azure Key Vault. Examine os diferentes níveis de criptografia e como eles correspondem aos cenários em sua organização. |
Avaliar a governança de retenção e coleta de dados | O Gerenciamento do Ciclo de Vida dos Dados do Microsoft Purview permite aplicar políticas de retenção. O Gerenciamento de Registros do Microsoft Purview permite aplicar rótulos de retenção. Essa estratégia ajuda você a obter visibilidade dos ativos em todo o patrimônio de dados. Essa estratégia também ajuda você a proteger e gerenciar dados confidenciais entre nuvens, aplicativos e pontos de extremidade. Importante: Conforme observado em 45 CFR 164.316: limite de tempo (obrigatório). Mantenha a documentação exigida pelo parágrafo (b)(1) desta seção por seis anos a partir da data de criação ou da data em que ela esteva em vigor pela última vez, o que for mais tarde. |
HIPAA: proteger a transmissão de dados PHI
Implement technical security measures to guard against unauthorized access to electronic protected health information that is being transmitted over an electronic communications network.
Estabeleça políticas e procedimentos para proteger a troca de dados que contém dados PHI.
Recomendação | Ação |
---|---|
Avaliar o estado dos aplicativos locais | Microsoft Entra Proxy de Aplicativo implementação publica aplicativos Web locais externamente e de maneira segura. O proxy de aplicativo do Microsoft Entra permite que você publique um ponto de extremidade de URL externo no Azure com segurança. |
Exigir autenticação multifator | A autenticação multifator do Microsoft Entra protege identidades adicionando uma camada extra de segurança. Adicionar mais camadas de segurança é uma maneira eficaz de impedir o acesso não autorizado. A MFA permite o requisito de mais validação de credenciais de entrada durante o processo de autenticação. Você pode configurar o aplicativo Authenticator para fornecer verificação com um clique ou autenticação sem senha. |
Habilitar as Políticas de Acesso Condicional para acesso a aplicativos | As políticas de Acesso Condicional ajudam as organizações a restringir o acesso a aplicativos aprovados. O Microsoft Entra analisa sinais do usuário, do dispositivo ou do local para automatizar decisões e impor políticas organizacionais para acesso a recursos e dados. |
Examinar políticas de Proteção do Exchange Online (EOP) | A proteção contra spam e malware do Exchange Online fornece filtragem interna de malware e spam. A EOP protege mensagens de entrada e saída e está habilitado por padrão. Os serviços EOP também fornecem mensagens antifalsificação, quarentena e a capacidade de relatar mensagens no Outlook. As políticas podem ser personalizadas para se ajustarem às configurações de toda a empresa. Elas têm precedência sobre as políticas padrão. |
Configurar rótulos de confidencialidade | Os rótulos de confidencialidade do Microsoft Purview permitem classificar e proteger os dados de suas organizações. Os rótulos fornecem configurações de proteção na documentação para contêineres. Por exemplo, a ferramenta protege documentos armazenados em sites do Microsoft Teams e do SharePoint para definir e impor configurações de privacidade. Estenda os rótulos para arquivos e ativos de dados, como SQL, SQL do Azure, Azure Synapse, Azure Cosmos DB e AWS RDS. Além dos 200 tipos de informações confidenciais prontos para uso, há classificadores avançados, como entidades de nomes, classificadores treináveis e EDM para proteger tipos confidenciais personalizados. |
Avalie se uma conexão privada é necessária para se conectar aos serviços | O Azure ExpressRoute cria conexões privadas entre os datacenters do Azure e a infraestrutura que está no local ou em um ambiente de colocação. Os dados não são transferidos pela Internet pública. O serviço usa conectividade de camada 3, conecta o roteador de borda e fornece escalabilidade dinâmica. |
Avaliar os requisitos de VPN | O Gateway de VPN documentação conecta uma rede local ao Azure por meio de conexão VPN site a site, ponto a site, VNet para VNet e em vários sites. O serviço dá suporte a ambientes de trabalho híbridos fornecendo trânsito de dados seguro. |