Outras orientações de salvaguarda
O Microsoft Entra ID atende aos requisitos de prática relacionados à identidade para implementar salvaguardas da Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 (HIPAA). Para estar em conformidade com a HIPAA, é responsabilidade das empresas implementar as salvaguardas usando esta orientação, juntamente com quaisquer outras configurações ou processos necessários. Este artigo contém orientações para alcançar a conformidade com a HIPAA para os três controles a seguir:
- Salvaguarda da Integridade
- Salvaguarda da Autenticação de Pessoa ou Entidade
- Salvaguarda da Segurança da Transmissão
Orientações de salvaguarda da integridade
O Microsoft Entra ID atende aos requisitos de prática relacionados à identidade para implementar salvaguardas HIPAA. Para estar em conformidade com a HIPAA, implemente as salvaguardas usando esta orientação juntamente com quaisquer outras configurações ou processos necessários.
Para a Proteção contra a Modificação de Dados:
Proteja ficheiros e e-mails, em todos os dispositivos.
Descubra e classifique dados confidenciais.
Criptografe documentos e e-mails que contenham dados confidenciais ou pessoais.
O conteúdo a seguir fornece a orientação da HIPAA, seguida por uma tabela com as recomendações e orientações da Microsoft.
HIPAA - integridade
Implement security measures to ensure that electronically transmitted electronic protected health information isn't improperly modified without detection until disposed of.
| Recomendação | Ação |
|---|---|
| Habilitar a proteção de informações (IP) do Microsoft Purview | Descubra, classifique, proteja e controle dados confidenciais, abrangendo armazenamento e dados transmitidos. Protegendo seus dados por meio de IP do Microsoft Purview ajuda a determinar o cenário de dados, revisar a estrutura e tomar medidas ativas para identificar e proteger seus dados. |
| Configurar a retenção in-loco do Exchange | O Exchange online fornece várias configurações para dar suporte à Descoberta Eletrônica.
Retenção no local usa parâmetros específicos sobre quais itens devem ser retidos. A matriz de decisão pode ser baseada em palavras-chave, remetentes, recibos e datas. de soluções de eDiscovery do Microsoft Purview faz parte do portal de conformidade do Microsoft Purview e abrange todas as fontes de dados do Microsoft 365. |
| Configurar a extensão Secure/Multipurpose Internet Mail no Exchange Online |
S/MIME é um protocolo usado para enviar mensagens assinadas digitalmente e criptografadas. Baseia-se no emparelhamento assimétrico de chaves, uma chave pública e privada. Exchange Online fornece criptografia e proteção do conteúdo do email e assinaturas que verificam a identidade do remetente. |
| Habilite o monitoramento e o registro. |
O registro e o monitoramento de são essenciais para proteger um ambiente. As informações são usadas para apoiar investigações e ajudar a detetar ameaças potenciais, identificando padrões incomuns. Habilite o registo e a monitorização de serviços para reduzir o risco de acesso não autorizado. A auditoria do Microsoft Purview fornece visibilidade das atividades auditadas em todos os serviços no Microsoft 365. Ajuda nas investigações ao aumentar a retenção de logs de auditoria. |
Orientações de salvaguarda da autenticação de pessoas ou entidades
O Microsoft Entra ID atende aos requisitos de prática relacionados à identidade para implementar salvaguardas HIPAA. Para estar em conformidade com a HIPAA, implemente as salvaguardas usando esta orientação juntamente com quaisquer outras configurações ou processos necessários.
Para a Auditoria e Salvaguarda de Pessoa e Entidade:
Certifique-se de que a declaração do usuário final é válida para acesso aos dados.
Identifique e reduza quaisquer riscos para os dados armazenados.
O conteúdo a seguir fornece a orientação da HIPAA, seguida por uma tabela com as recomendações e orientações da Microsoft.
HIPAA - autenticação de pessoa ou entidade
Implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
Certifique-se de que os usuários e dispositivos que acessam dados ePHI estão autorizados. Você deve garantir que os dispositivos estejam em conformidade e que as ações sejam auditadas para sinalizar riscos aos proprietários dos dados.
| Recomendação | Ação |
|---|---|
| Habilitar autenticação multifator | de autenticação multifator Microsoft Entra protege identidades adicionando uma camada extra de segurança. A camada extra fornece uma maneira eficaz de impedir o acesso não autorizado. O MFA permite o requisito de mais validação de credenciais de entrada durante o processo de autenticação. A configuração do aplicativo Authenticator fornece verificação com um clique ou você pode configurar configuração sem senha do Microsoft Entra. |
| Ativar políticas de Acesso Condicional | As políticas de Acesso Condicional ajudam a restringir o acesso apenas a aplicações aprovadas. O Microsoft Entra analisa sinais do usuário, do dispositivo ou do local para automatizar decisões e aplicar políticas organizacionais de acesso a recursos e dados. |
| Configurar a Política de Acesso Condicional baseada em dispositivo | Acesso Condicional com o Microsoft Intune para gestão de dispositivos e políticas do Microsoft Entra pode usar o status do dispositivo para conceder ou negar acesso aos seus serviços e dados. Ao implantar políticas de conformidade de dispositivos, ele determina se atende aos requisitos de segurança para tomar decisões para permitir ou negar acesso aos recursos. |
| Usar controle de acesso baseado em função (RBAC) |
RBAC no Microsoft Entra ID fornece segurança em nível empresarial, com separação de tarefas. Ajustar e rever permissões para proteger a confidencialidade, privacidade e gestão de acesso a recursos e dados sensíveis, através dos sistemas. Microsoft Entra ID fornece suporte para funções integradas, que é um conjunto fixo de permissões que não é possível modificar. Você também pode criar as suas próprias funções personalizadas nas quais pode adicionar uma lista predefinida. |
Orientações de salvaguarda da segurança da transmissão
O Microsoft Entra ID atende aos requisitos de prática relacionados à identidade para implementar salvaguardas HIPAA. Para estar em conformidade com a HIPAA, implemente as salvaguardas usando esta orientação juntamente com quaisquer outras configurações ou processos necessários.
Para encriptação:
Proteja a confidencialidade dos dados.
Evite o roubo de dados.
Impeça o acesso não autorizado ao PHI.
Garanta o nível de criptografia nos dados.
Para proteger a transmissão de dados PHI:
Proteja o compartilhamento de dados PHI.
Proteja o acesso aos dados PHI.
Certifique-se de que os dados transmitidos estão encriptados.
O conteúdo a seguir fornece uma lista das diretrizes de Salvaguarda de Segurança de Auditoria e Transmissão das diretrizes da HIPAA e das recomendações da Microsoft para permitir que você atenda aos requisitos de implementação de proteção com o Microsoft Entra ID.
HIPAA - encriptação
Implement a mechanism to encrypt and decrypt electronic protected health information.
Certifique-se de que os dados ePHI são criptografados e descriptografados com a chave/processo de criptografia compatível.
| Recomendação | Ação |
|---|---|
| Revise os pontos de criptografia do Microsoft 365 |
Criptografia com Microsoft Purview no Microsoft 365 é um ambiente altamente seguro que oferece ampla proteção em várias camadas: o data center físico, segurança, rede, acesso, aplicativo e segurança de dados.
Revise a lista de criptografia e altere se for necessário mais controle. |
| Revisar a criptografia do banco de dados |
de criptografia de dados transparente adiciona uma camada de segurança para ajudar a proteger os dados em repouso contra acesso não autorizado ou off-line. Ele criptografa o banco de dados usando criptografia AES. Mascaramento de dados dinâmicos para dados confidenciais, o que limita a exposição de dados confidenciais. Ele mascara os dados para usuários não autorizados. O mascaramento inclui campos designados, que você define em um nome de esquema de banco de dados, nome da tabela e nome da coluna. Novos bancos de dados são criptografados por padrão e a chave de criptografia do banco de dados é protegida por um certificado de servidor interno. Recomendamos que você revise os bancos de dados para garantir que a criptografia esteja definida na propriedade de dados. |
| Revise os pontos de criptografia do Azure | de recursos de criptografia do Azure abrange as principais áreas de dados em repouso, modelos de criptografia e gerenciamento de chaves usando o Cofre de Chaves do Azure. Analise os diferentes níveis de criptografia e como eles correspondem aos cenários dentro da sua organização. |
| Avaliar a coleta de dados e a governança de retenção |
Microsoft Purview Data Lifecycle Management permite aplicar políticas de retenção.
Microsoft Purview Records Management permite que você aplique rótulos de retenção. Essa estratégia ajuda você a obter visibilidade dos ativos em todo o conjunto de dados. Essa estratégia também ajuda você a proteger e gerenciar dados confidenciais em nuvens, aplicativos e endpoints. Importante: Conforme observado no 45 CFR 164.316: Prazo (Obrigatório). Conservar a documentação exigida nos termos alínea b), ponto 1, da presente secção durante seis anos a contar da data da sua criação ou da data da sua última entrada em vigor, se esta data for posterior. |
HIPAA - proteger a transmissão de dados PHI
Implement technical security measures to guard against unauthorized access to electronic protected health information that is being transmitted over an electronic communications network.
Estabeleça políticas e procedimentos para proteger a troca de dados que contenha dados PHI.
| Recomendação | Ação |
|---|---|
| Avaliar o estado dos aplicativos locais |
implementação do de proxy de aplicativo Microsoft Entra publica aplicativos Web locais externamente e de forma segura. proxy de aplicativo Microsoft Entra permite que você publique com segurança um ponto de extremidade de URL externo no Azure. |
| Habilitar autenticação multifator | A autenticação multifator do Microsoft Entra protege identidades adicionando uma camada de segurança. Adicionar mais camadas de segurança é uma maneira eficaz de impedir o acesso não autorizado. O MFA permite o requisito de mais validação de credenciais de entrada durante o processo de autenticação. Você pode configurar o Authenticator aplicativo para fornecer verificação com um clique ou autenticação sem senha. |
| Habilitar políticas de Acesso Condicional para acesso ao aplicativo | Políticas de Acesso Condicional ajudam a restringir o acesso a aplicativos aprovados. O Microsoft Entra analisa sinais do usuário, do dispositivo ou do local para automatizar decisões e aplicar políticas organizacionais de acesso a recursos e dados. |
| Revisar as políticas do Exchange Online Protection (EOP) |
A proteção contra spam e malware do Exchange Online proporciona filtragem interna de malware e spam. O EOP protege as mensagens de entrada e saída e está habilitado por padrão. Os serviços EOP também fornecem funcionalidades de anti-spoofing, colocação de mensagens em quarentena e a capacidade de denunciar mensagens no Outlook.
As políticas podem ser personalizadas para se adequarem às configurações de toda a empresa, elas têm precedência sobre as políticas padrão. |
| Configurar rótulos de sensibilidade |
rótulos de sensibilidade do Microsoft Purview permitem classificar e proteger os dados de suas organizações. As etiquetas fornecem configurações de proteção na documentação para contêineres. Por exemplo, a ferramenta protege documentos armazenados em sites do Microsoft Teams e do SharePoint, para definir e impor configurações de privacidade. Estenda rótulos para arquivos e ativos de dados, como SQL, Azure SQL, Azure Synapse, Azure Cosmos DB e AWS RDS.
Além dos 200 tipos de informações confidenciais prontos para uso, há classificadores avançados, como entidades de nomes, classificadores treináveis e EDM para proteger tipos confidenciais personalizados. |
| Avaliar se uma conexão privada é necessária para se conectar aos serviços |
Azure ExpressRoute cria conexões privadas entre datacenters do Azure baseados em nuvem e infraestrutura que reside localmente. Os dados não são transferidos através da Internet pública.
O serviço usa conectividade de camada 3, conecta o roteador de borda e fornece escalabilidade dinâmica. |
| Avalie os requisitos de VPN |
documentação do Gateway VPN conecta uma rede local ao Azure por meio de conexão VPN site a site, ponto a site, VNet-to-VNet e VPN multissite. O serviço suporta ambientes de trabalho híbridos, fornecendo trânsito de dados seguro. |