Orientações de salvaguarda dos controlos de auditoria
O Microsoft Entra ID atende aos requisitos de prática relacionados à identidade para implementar salvaguardas da Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 (HIPAA). Para estar em conformidade com a HIPAA, implemente as salvaguardas usando esta orientação, com outras configurações ou processos necessários.
Para os controlos de auditoria:
Estabelecer governança de dados para armazenamento de dados pessoais.
Identifique e rotule dados confidenciais.
Configure a coleta de auditoria e proteja os dados de log.
Configure a prevenção contra perda de dados.
Habilite a proteção de informações.
Para efeitos de salvaguarda:
Determine onde os dados de Informações de Saúde Protegidas (PHI) são armazenados.
Identifique e reduza quaisquer riscos para os dados armazenados.
Este artigo fornece uma redação de salvaguarda HIPAA relevante, seguida por uma tabela com recomendações e orientações da Microsoft para ajudar a alcançar a conformidade com a HIPAA.
Controlos de auditoria
O conteúdo a seguir é uma orientação de salvaguarda da HIPAA. Encontre recomendações da Microsoft para atender aos requisitos de implementação de salvaguarda.
Salvaguarda HIPAA - controlos de auditoria
Implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use electronic protected health information.
Recomendação | Ação |
---|---|
Ativar o Microsoft Purview | O Microsoft Purview ajuda a gerenciar e monitorar dados fornecendo governança de dados. O uso do Purview ajuda a minimizar os riscos de conformidade e a atender aos requisitos regulamentares. O Microsoft Purview no portal de governança fornece um serviço unificado de governança de dados que ajuda você a gerenciar seus dados locais, multicloud e Software como serviço (SaaS). O Microsoft Purview é uma estrutura, um conjunto de produtos que trabalham juntos para fornecer visualização de proteção do ciclo de vida de dados confidenciais e prevenção contra perda de dados. |
Ativar o Microsoft Sentinel | O Microsoft Sentinel fornece soluções de gerenciamento de eventos e informações de segurança (SIEM) e orquestração, automação e resposta de segurança (SOAR). O Microsoft Sentinel coleta logs de auditoria e usa IA integrada para ajudar a analisar grandes volumes de dados. O SIEM permite que uma organização detete incidentes que podem passar despercebidos. |
Configurar o Azure Monitor | Use o Azure Monitor Logs coleta e organiza logs, expandindo para ambientes híbridos e de nuvem. Ele fornece recomendações sobre áreas-chave sobre como proteger recursos combinados com a central de confiabilidade do Azure. |
Habilitar registro e monitoramento | O registro em log e o monitoramento são essenciais para proteger um ambiente. Os dados apoiam investigações e ajudam a detetar ameaças potenciais, identificando padrões incomuns. Habilite o registro e o monitoramento de serviços para reduzir o risco de acesso não autorizado. Recomendamos que você monitore os logs de atividades do Microsoft Entra. |
Ambiente de varredura para obter dados eletrônicos de informações de saúde protegidas (ePHI) | O Microsoft Purview pode ser habilitado no modo de auditoria para verificar o que o ePHI está sentado na propriedade de dados e os recursos que estão sendo usados para armazenar esses dados. Esse recurso ajuda a estabelecer a classificação e rotulagem de dados com base na sensibilidade dos dados. |
Criar uma política de Prevenção de Perda de Dados (DLP) | As políticas de DLP ajudam a estabelecer processos para garantir que dados confidenciais não sejam perdidos, usados indevidamente ou acessados por usuários não autorizados. Evita violações de dados e exfiltração. O Microsoft Purview DLP examina mensagens de email, navegue até o portal de conformidade do Microsoft Purview para revisar as políticas e personalizá-las para sua organização. |
Habilitar o monitoramento por meio da Política do Azure | A Política do Azure ajuda a impor padrões organizacionais e permite a capacidade de avaliar o estado de conformidade em um ambiente. Essa abordagem garante consistência, conformidade regulatória e monitoramento, fornecendo recomendações de segurança por meio do Microsoft Defender for Cloud |
Avaliar os requisitos de gerenciamento de dispositivos | O Microsoft Intune pode ser usado para fornecer gerenciamento de dispositivos móveis (MDM) e gerenciamento de aplicativos móveis (MAM). O Microsoft Intune fornece controle sobre dispositivos pessoais e da empresa. Os recursos incluem o gerenciamento de como os dispositivos podem ser usados e a aplicação de políticas que lhe dão controle direto sobre aplicativos móveis. |
Proteção de aplicativos | O Microsoft Intune pode ajudar a estabelecer uma estrutura de proteção de dados que abranja os aplicativos do Microsoft 365 Office e os incorpore em todos os dispositivos. As políticas de proteção de aplicativos garantem que os dados organizacionais permaneçam seguros e contidos no aplicativo em dispositivos pessoais (BYOD) e corporativos. |
Configurar o gerenciamento de risco interno | O Microsoft Purview Insider Risk Management correlaciona sinais para identificar potenciais riscos internos mal-intencionados ou inadvertidos, como roubo de IP, vazamento de dados e violações de segurança. O Insider Risk Management permite que você crie políticas para gerenciar a segurança e a conformidade. Esse recurso é construído com base no princípio de privacidade por design, os usuários são pseudonimizados por padrão e controles de acesso baseados em função e logs de auditoria estão em vigor para ajudar a garantir a privacidade no nível do usuário. |
Configurar a conformidade de comunicação | O Microsoft Purview Communication Compliance fornece as ferramentas para ajudar as organizações a detetar conformidade regulatória, como conformidade com os padrões da Securities and Exchange Commission (SEC) ou da Financial Industry Regulatory Authority (FINRA). A ferramenta monitora violações de conduta comercial, como informações confidenciais ou confidenciais, linguagem de assédio ou ameaça e compartilhamento de conteúdo adulto. Esse recurso é criado com privacidade por design, os nomes de usuário são pseudonimizados por padrão, os controles de acesso baseados em função são incorporados, os investigadores são aceitos por um administrador e os logs de auditoria estão em vigor para ajudar a garantir a privacidade no nível do usuário. |
Controlos de salvaguarda
O conteúdo a seguir fornece as diretrizes de controles de salvaguarda da HIPAA. Encontre recomendações da Microsoft para atender à conformidade com a HIPAA.
HIPAA - salvaguarda
Conduct an accurate and thorough safeguard of the potential risks and vulnerabilities to the confidentiality, integrity, and availability of electronic protected health information held by the covered entity.
Recomendação | Ação |
---|---|
Ambiente de varredura para dados ePHI | O Microsoft Purview pode ser habilitado no modo de auditoria para verificar o que o ePHI está sentado na propriedade de dados e os recursos que estão sendo usados para armazenar esses dados. Essas informações ajudam a estabelecer a classificação dos dados e rotular a sensibilidade dos dados. Além disso, o uso do Content Explorer fornece visibilidade sobre onde os dados confidenciais estão localizados. Essas informações ajudam a iniciar a jornada de rotulagem, desde a aplicação manual de recomendações de rotulagem ou rotulagem no lado do cliente até a rotulagem automática do lado do serviço. |
Habilitar o Priva para proteger dados do Microsoft 365 | O Microsoft Priva avalia os dados ePHI armazenados no Microsoft 365, verificando e avaliando informações confidenciais. |
Habilitar o benchmark de Segurança do Azure | O benchmark de segurança na nuvem da Microsoft fornece controle para proteção de dados em todos os serviços do Azure e fornece uma linha de base para implementação de serviços que armazenam ePHI. O modo de auditoria fornece essas recomendações e etapas de correção para proteger o ambiente. |
Ativar o Gerenciamento de Vulnerabilidades do Defender | O gerenciamento de vulnerabilidades do Microsoft Defender é um módulo interno no Microsoft Defender for Endpoint. O módulo ajuda a identificar e descobrir vulnerabilidades e configurações incorretas em tempo real. O módulo também ajuda você a priorizar a apresentação das descobertas em um painel e relatórios entre dispositivos, VMs e bancos de dados. |
Mais informações
Pilar Zero Trust: Dispositivos, Dados, Aplicação, Visibilidade, Automação e Orquestração
Pilar Zero Trust: Dados, Visibilidade, Automação e Orquestração