Partilhar via


Orientações de salvaguarda dos controlos de auditoria

O Microsoft Entra ID atende aos requisitos de prática relacionados à identidade para implementar salvaguardas da Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 (HIPAA). Para estar em conformidade com a HIPAA, implemente as salvaguardas usando esta orientação, com outras configurações ou processos necessários.

Para os controlos de auditoria:

  • Estabelecer governança de dados para armazenamento de dados pessoais.

  • Identifique e rotule dados confidenciais.

  • Configure a coleta de auditoria e proteja os dados de log.

  • Configure a prevenção contra perda de dados.

  • Habilite a proteção de informações.

Para efeitos de salvaguarda:

  • Determine onde os dados de Informações de Saúde Protegidas (PHI) são armazenados.

  • Identifique e reduza quaisquer riscos para os dados armazenados.

Este artigo fornece uma redação de salvaguarda HIPAA relevante, seguida por uma tabela com recomendações e orientações da Microsoft para ajudar a alcançar a conformidade com a HIPAA.

Controlos de auditoria

O conteúdo a seguir é uma orientação de salvaguarda da HIPAA. Encontre recomendações da Microsoft para atender aos requisitos de implementação de salvaguarda.

Salvaguarda HIPAA - controlos de auditoria

Implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use electronic protected health information.

Recomendação Ação
Ativar o Microsoft Purview O Microsoft Purview ajuda a gerenciar e monitorar dados fornecendo governança de dados. O uso do Purview ajuda a minimizar os riscos de conformidade e a atender aos requisitos regulamentares.
O Microsoft Purview no portal de governança fornece um serviço unificado de governança de dados que ajuda você a gerenciar seus dados locais, multicloud e Software como serviço (SaaS).
O Microsoft Purview é uma estrutura, um conjunto de produtos que trabalham juntos para fornecer visualização de proteção do ciclo de vida de dados confidenciais e prevenção contra perda de dados.
Ativar o Microsoft Sentinel O Microsoft Sentinel fornece soluções de gerenciamento de eventos e informações de segurança (SIEM) e orquestração, automação e resposta de segurança (SOAR). O Microsoft Sentinel coleta logs de auditoria e usa IA integrada para ajudar a analisar grandes volumes de dados.
O SIEM permite que uma organização detete incidentes que podem passar despercebidos.
Configurar o Azure Monitor Use o Azure Monitor Logs coleta e organiza logs, expandindo para ambientes híbridos e de nuvem. Ele fornece recomendações sobre áreas-chave sobre como proteger recursos combinados com a central de confiabilidade do Azure.
Habilitar registro e monitoramento
O registro em log e o monitoramento são essenciais para proteger um ambiente. Os dados apoiam investigações e ajudam a detetar ameaças potenciais, identificando padrões incomuns. Habilite o registro e o monitoramento de serviços para reduzir o risco de acesso não autorizado.
Recomendamos que você monitore os logs de atividades do Microsoft Entra.
Ambiente de varredura para obter dados eletrônicos de informações de saúde protegidas (ePHI) O Microsoft Purview pode ser habilitado no modo de auditoria para verificar o que o ePHI está sentado na propriedade de dados e os recursos que estão sendo usados para armazenar esses dados. Esse recurso ajuda a estabelecer a classificação e rotulagem de dados com base na sensibilidade dos dados.
Criar uma política de Prevenção de Perda de Dados (DLP) As políticas de DLP ajudam a estabelecer processos para garantir que dados confidenciais não sejam perdidos, usados indevidamente ou acessados por usuários não autorizados. Evita violações de dados e exfiltração.
O Microsoft Purview DLP examina mensagens de email, navegue até o portal de conformidade do Microsoft Purview para revisar as políticas e personalizá-las para sua organização.
Habilitar o monitoramento por meio da Política do Azure A Política do Azure ajuda a impor padrões organizacionais e permite a capacidade de avaliar o estado de conformidade em um ambiente. Essa abordagem garante consistência, conformidade regulatória e monitoramento, fornecendo recomendações de segurança por meio do Microsoft Defender for Cloud
Avaliar os requisitos de gerenciamento de dispositivos O Microsoft Intune pode ser usado para fornecer gerenciamento de dispositivos móveis (MDM) e gerenciamento de aplicativos móveis (MAM). O Microsoft Intune fornece controle sobre dispositivos pessoais e da empresa. Os recursos incluem o gerenciamento de como os dispositivos podem ser usados e a aplicação de políticas que lhe dão controle direto sobre aplicativos móveis.
Proteção de aplicativos O Microsoft Intune pode ajudar a estabelecer uma estrutura de proteção de dados que abranja os aplicativos do Microsoft 365 Office e os incorpore em todos os dispositivos. As políticas de proteção de aplicativos garantem que os dados organizacionais permaneçam seguros e contidos no aplicativo em dispositivos pessoais (BYOD) e corporativos.
Configurar o gerenciamento de risco interno O Microsoft Purview Insider Risk Management correlaciona sinais para identificar potenciais riscos internos mal-intencionados ou inadvertidos, como roubo de IP, vazamento de dados e violações de segurança. O Insider Risk Management permite que você crie políticas para gerenciar a segurança e a conformidade. Esse recurso é construído com base no princípio de privacidade por design, os usuários são pseudonimizados por padrão e controles de acesso baseados em função e logs de auditoria estão em vigor para ajudar a garantir a privacidade no nível do usuário.
Configurar a conformidade de comunicação O Microsoft Purview Communication Compliance fornece as ferramentas para ajudar as organizações a detetar conformidade regulatória, como conformidade com os padrões da Securities and Exchange Commission (SEC) ou da Financial Industry Regulatory Authority (FINRA). A ferramenta monitora violações de conduta comercial, como informações confidenciais ou confidenciais, linguagem de assédio ou ameaça e compartilhamento de conteúdo adulto. Esse recurso é criado com privacidade por design, os nomes de usuário são pseudonimizados por padrão, os controles de acesso baseados em função são incorporados, os investigadores são aceitos por um administrador e os logs de auditoria estão em vigor para ajudar a garantir a privacidade no nível do usuário.

Controlos de salvaguarda

O conteúdo a seguir fornece as diretrizes de controles de salvaguarda da HIPAA. Encontre recomendações da Microsoft para atender à conformidade com a HIPAA.

HIPAA - salvaguarda

Conduct an accurate and thorough safeguard of the potential risks and vulnerabilities to the confidentiality, integrity, and availability of electronic protected health information held by the covered entity.

Recomendação Ação
Ambiente de varredura para dados ePHI O Microsoft Purview pode ser habilitado no modo de auditoria para verificar o que o ePHI está sentado na propriedade de dados e os recursos que estão sendo usados para armazenar esses dados. Essas informações ajudam a estabelecer a classificação dos dados e rotular a sensibilidade dos dados.
Além disso, o uso do Content Explorer fornece visibilidade sobre onde os dados confidenciais estão localizados. Essas informações ajudam a iniciar a jornada de rotulagem, desde a aplicação manual de recomendações de rotulagem ou rotulagem no lado do cliente até a rotulagem automática do lado do serviço.
Habilitar o Priva para proteger dados do Microsoft 365 O Microsoft Priva avalia os dados ePHI armazenados no Microsoft 365, verificando e avaliando informações confidenciais.
Habilitar o benchmark de Segurança do Azure O benchmark de segurança na nuvem da Microsoft fornece controle para proteção de dados em todos os serviços do Azure e fornece uma linha de base para implementação de serviços que armazenam ePHI. O modo de auditoria fornece essas recomendações e etapas de correção para proteger o ambiente.
Ativar o Gerenciamento de Vulnerabilidades do Defender O gerenciamento de vulnerabilidades do Microsoft Defender é um módulo interno no Microsoft Defender for Endpoint. O módulo ajuda a identificar e descobrir vulnerabilidades e configurações incorretas em tempo real. O módulo também ajuda você a priorizar a apresentação das descobertas em um painel e relatórios entre dispositivos, VMs e bancos de dados.

Mais informações

Próximos passos