Outras diretrizes de proteção
A ID do Microsoft Entra atende aos requisitos de práticas relacionadas à identidade para implementar as proteções da HIPAA (Health Insurance Portability and Accountability Act of 1996). Para ser compatível com HIPAA, é responsabilidade das empresas implementar as proteções usando essas diretrizes, juntamente com quaisquer outras configurações ou processos necessários. Este artigo contém diretrizes para obter a conformidade hipaa para os três controles a seguir:
- Garantia da Integridade
- Proteção de Autenticação de Pessoa ou Entidade
- Garantia da Segurança de Transmissão
Diretrizes de proteção de integridade
A ID do Microsoft Entra atende aos requisitos de prática relacionadas à identidade para implementar proteções HIPAA. Para ser compatível com HIPAA, implemente as proteções usando essas diretrizes juntamente com quaisquer outras configurações ou processos necessários.
Para a Garantia de Modificação de Dados:
Proteja arquivos e emails em todos os dispositivos.
Descubra e classifique dados confidenciais.
Criptografar documentos e emails que contêm dados confidenciais ou pessoais.
O conteúdo a seguir fornece as diretrizes da HIPAA seguidas por uma tabela com as recomendações e diretrizes da Microsoft.
HIPAA – integridade
Implement security measures to ensure that electronically transmitted electronic protected health information isn't improperly modified without detection until disposed of.
| Recomendação | Ação |
|---|---|
| Habilitar a Proteção de Informações do Microsoft Purview (IP) | Descubra, classifique, proteja e governe dados confidenciais, abrangendo o armazenamento e os dados transmitidos. Proteger seus dados por meio ip do Microsoft Purview ajuda a determinar o cenário de dados, examinar a estrutura e executar etapas ativas para identificar e proteger seus dados. |
| Configurar o Bloqueio In-loco do Exchange | O Exchange Online fornece várias configurações para dar suporte à Descoberta Eletrônica. O Bloqueio In-loco usa parâmetros específicos sobre quais os itens devem ser mantidos. A matriz de decisão pode ser baseada em palavras-chave, remetentes, recibos e datas. soluções de Descoberta Eletrônica do Microsoft Purview faz parte do portal de conformidade do Microsoft Purview e abrange todas as fontes de dados do Microsoft 365. |
| Configurar a extensão do Secure/Multipurpose Internet Mail no Exchange Online | S/MIME é um protocolo usado para enviar mensagens assinadas digitalmente e criptografadas. Ele é baseado no emparelhamento de chaves assimétricas, uma chave pública e privada. Exchange Online fornece criptografia e proteção do conteúdo do email e assinaturas que verificam a identidade do remetente. |
| Habilitar o monitoramento e o registro em log. | Registro de log e monitoramento são essenciais para proteger um ambiente. As informações são usadas para dar suporte a investigações e ajudar a detectar possíveis ameaças identificando padrões incomuns. Habilite o registro em log e o monitoramento de serviços para reduzir o risco de acesso não autorizado. A auditoria do Microsoft Purview fornece visibilidade das atividades auditadas nos serviços do Microsoft 365. Aumentar a retenção dos logs de auditoria ajuda nas investigações. |
Orientação para proteção de autenticação de pessoa ou entidade
A ID do Microsoft Entra atende aos requisitos de prática relacionadas à identidade para implementar proteções HIPAA. Para ser compatível com HIPAA, implemente as proteções usando essas diretrizes juntamente com quaisquer outras configurações ou processos necessários.
Para a Garantia de Auditoria e de Pessoa e Entidade:
Verifique se a declaração do usuário final é válida para acesso a dados.
Identifique e reduza os riscos para os dados armazenados.
O conteúdo a seguir fornece as diretrizes da HIPAA seguidas por uma tabela com as recomendações e diretrizes da Microsoft.
HIPAA – autenticação de entidade ou pessoa
Implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
Verifique se os usuários e dispositivos que acessam dados ePHI estão autorizados. Você deve garantir que os dispositivos estejam em conformidade e as ações sejam auditadas para sinalizar riscos aos proprietários de dados.
| Recomendação | Ação |
|---|---|
| Habilitar a autenticação multifator | A Autenticação Multifator do Microsoft Entra protege identidades adicionando uma camada extra de segurança. A camada extra fornece uma maneira eficaz de impedir o acesso não autorizado. A MFA habilita o requisito de mais validação de credenciais de entrada durante o processo de autenticação. A configuração do aplicativo Authenticator fornece verificação com um clique ou você pode configurar aconfiguração sem senha do Microsoft Entra. |
| Habilitar políticas de Acesso Condicional | as políticas de Acesso Condicional ajudam a restringir o acesso somente a aplicativos aprovados. O Microsoft Entra analisa sinais do usuário, do dispositivo ou do local para automatizar decisões e impor políticas organizacionais para acesso a recursos e dados. |
| Configurar a Política de Acesso Condicional baseada em dispositivo | Acesso condicional com o Microsoft Intune para gerenciamento de dispositivos e as políticas do Microsoft Entra podem usar o status do dispositivo para conceder ou negar acesso aos seus serviços e dados. Ao implantar políticas de conformidade do dispositivo, ele determina se ele atende aos requisitos de segurança para tomar decisões para permitir o acesso aos recursos ou negá-los. |
| Usar o RBAC (controle de acesso baseado em função) | RBAC no Microsoft Entra ID fornece segurança em um nível empresarial, com separação de funções. Ajuste e revise as permissões para proteger a confidencialidade, a privacidade e o gerenciamento de acesso a recursos e dados confidenciais com os sistemas. Microsoft Entra ID fornece suporte para funções incorporadas, que é um conjunto fixo de permissões que não podem ser modificadas. Você também pode criar suas próprias funções personalizadas nas quais pode adicionar uma lista predefinida. |
Orientações para a segurança na transmissão
A ID do Microsoft Entra atende aos requisitos de prática relacionadas à identidade para implementar proteções HIPAA. Para ser compatível com HIPAA, implemente as proteções usando essas diretrizes juntamente com quaisquer outras configurações ou processos necessários.
Para criptografia:
Proteja a confidencialidade dos dados.
Impedir o roubo de dados.
Impedir o acesso não autorizado ao PHI.
Verifique o nível de criptografia nos dados.
Para proteger a transmissão de dados PHI:
Proteger o compartilhamento de dados PHI.
Proteger o acesso aos dados PHI.
Verifique se os dados transmitidos são criptografados.
O conteúdo a seguir fornece uma lista das diretrizes de salvaguardas de Segurança de Auditoria e Transmissão da orientação HIPAA e recomendações da Microsoft para permitir que você atenda aos requisitos de implementação dessas salvaguardas com o Microsoft Entra ID.
HIPAA – criptografia
Implement a mechanism to encrypt and decrypt electronic protected health information.
Verifique se os dados ePHI são criptografados e descriptografados com a chave/processo de criptografia em conformidade.
| Recomendação | Ação |
|---|---|
| Examinar os pontos de criptografia do Microsoft 365 | Encryption com o Microsoft Purview no Microsoft 365 é um ambiente altamente seguro que oferece ampla proteção em várias camadas: data center físico, segurança, rede, acesso, aplicativo e segurança de dados. Examinar a lista de criptografia e alterar se for necessário mais controle. |
| Examinar a criptografia do banco de dados | Criptografia Transparente de Dados adiciona uma camada de segurança para ajudar a proteger os dados em repouso contra acesso não autorizado ou offline. Ele criptografa o banco de dados usando a criptografia AES. Máscara dinâmica de dados para dados confidenciais (), limitando a exposição de dados confidenciais. Ele mascara os dados para usuários não autenticados. O mascaramento inclui campos designados, que você define em um nome de esquema de banco de dados, nome da tabela e nome da coluna. Novos bancos de dados são criptografados por padrão e a chave de criptografia do banco de dados é protegida por um certificado de servidor interno. Recomendamos que você examine bancos de dados para garantir que a criptografia esteja definida no conjunto de dados. |
| Examinar os pontos de Criptografia do Azure | funcionalidade de criptografia do Azure abrange as principais áreas de dados em repouso, modelos de criptografia e gerenciamento de chaves usando o Azure Key Vault. Examine os diferentes níveis de criptografia e como eles correspondem a cenários em sua organização. |
| Avaliar a governança da coleta e retenção de dados | o Gerenciamento do Ciclo de Vida de Dados do Microsoft Purview permite aplicar políticas de retenção. O Gerenciamento de Registros do Microsoft Purview permite que você aplique rótulos de retenção. Essa estratégia ajuda você a obter visibilidade dos ativos em todo o conjunto de dados. Essa estratégia também ajuda você a proteger e gerenciar dados confidenciais entre nuvens, aplicativos e terminais. Importante: conforme observado em 45 CFR 164.316: limite de tempo (obrigatório). Mantenha a documentação exigida por parágrafo (b)(1) desta seção por seis anos a partir da data de criação ou a data em que ela esteve em vigor pela última vez, o que for posterior. |
HIPAA – proteger a transmissão de dados PHI
Implement technical security measures to guard against unauthorized access to electronic protected health information that is being transmitted over an electronic communications network.
Estabeleça políticas e procedimentos para proteger a troca de dados que contém dados PHI.
| Recomendação | Ação |
|---|---|
| Avaliar o estado dos aplicativos locais | A implementação do Proxy de aplicativo do Microsoft Entra publica aplicativos Web locais externamente e de maneira segura. O Proxy de aplicativo do Microsoft Entra permite que você publique um ponto de extremidade de URL externo no Azure com segurança. |
| Habilitar a autenticação multifator | A autenticação multifator do Microsoft Entra protege identidades adicionando uma camada extra de segurança. Adicionar mais camadas de segurança é uma maneira eficaz de impedir o acesso não autorizado. A MFA habilita o requisito de mais validação de credenciais de entrada durante o processo de autenticação. Você pode configurar o aplicativo Authenticator para fornecer verificação com um clique ou autenticação sem senha. |
| Habilitar políticas de Acesso Condicional para acesso ao aplicativo | As políticas de Acesso Condicional ajudam as organizações a restringir o acesso a aplicativos aprovados. O Microsoft Entra analisa sinais do usuário, do dispositivo ou do local para automatizar decisões e impor políticas organizacionais para acesso a recursos e dados. |
| Examinar as políticas de Proteção do Exchange Online (EOP) | A proteção contra spam e malware do Exchange Online fornece filtragem integrada de malware e spam. O EOP protege mensagens de entrada e saída e está habilitado por padrão. Os serviços de EOP também fornecem recursos antifalsificação, quarentena de mensagens e a capacidade de denunciar mensagens no Outlook. As políticas podem ser personalizadas para atender às configurações de toda a empresa, elas têm precedência sobre as políticas padrão. |
| Configurar rótulos de confidencialidade | Os rótulos de sensibilidade do Microsoft Purview permitem que você classifique e proteja os dados da sua organização. Os rótulos fornecem configurações de proteção na documentação para contêineres. Por exemplo, a ferramenta protege documentos armazenados em sites do Microsoft Teams e do SharePoint para definir e impor configurações de privacidade. Aplique rótulos a arquivos e ativos de dados, como bancos de dados SQL, Azure SQL, Azure Synapse, Azure Cosmos DB e AWS RDS. Além dos 200 tipos de informações confidenciais prontos para uso, há classificadores avançados, como entidades de nomes, classificadores treináveis e EDM para proteger tipos confidenciais personalizados. |
| Avaliar se uma conexão privada é necessária para se conectar aos serviços | do Azure ExpressRoute cria conexões privadas entre datacenters do Azure baseados em nuvem e infraestrutura que reside no local. Os dados não são transferidos pela Internet pública. O serviço usa conectividade de camada 3, conecta o roteador de borda e fornece escalabilidade dinâmica. |
| Avaliar os requisitos de VPN | A documentação do Gateway de VPN conecta uma rede local ao Azure por meio de conexões VPN site a site, ponto a site, VNet a VNet e entre sites. O serviço dá suporte a ambientes de trabalho híbridos fornecendo trânsito de dados seguro. |