Функции соответствия HIPAA
Databricks настоятельно рекомендует клиентам, которые хотят использовать функции соответствия HIPAA, включить профиль безопасности соответствия, который добавляет агенты мониторинга, предоставляет защищенный образ вычислений и другие функции. Технические сведения см. в разделе "Профиль безопасности соответствия".
Вы несете ответственность за подтверждение того, что каждая рабочая область имеет профиль безопасности соответствия требованиям.
Эта функция требует, чтобы ваша рабочая область была на ценовой категории "Премиум".
Убедитесь, что конфиденциальная информация никогда не вводится в полях ввода, определенных клиентом, таких как имена рабочих областей, имена кластеров и имена заданий.
Какие вычислительные ресурсы получают повышенную безопасность
Улучшения профиля безопасности соответствия требованиям для HIPAA применяются к вычислительным ресурсам в классической плоскости вычислений и бессерверной вычислительной плоскости во всех регионах. Дополнительные сведения о классических и бессерверных вычислительных плоскостях см. в обзоре архитектуры Azure Databricks.
Общие сведения о HIPAA
Закон о переносимости медицинского страхования и подотчетности 1996 года (HIPAA), технология медицинской информации для экономического и клинического здравоохранения (HITECH) и нормативные акты, выданные в соответствии с HIPAA, являются набором законов США о здравоохранении. Среди прочего, эти законы устанавливают требования к использованию, раскрытию и защите защищенной информации о работоспособности (PHI).
HIPAA применяется к охваченным сущностям и деловым партнерам, которые создают, получают, поддерживают, передают или получают доступ к PHI. Когда охваченная сущность или бизнес-партнер участвует в службах поставщика облачных служб (CSP), например Azure Databricks, CSP становится бизнес-партнером в рамках HIPAA.
Разрешает ли Azure Databricks обработку данных PHI в Azure Databricks?
Да. Databricks настоятельно рекомендует включить профиль безопасности соответствия требованиям и добавить HIPAA во время этой конфигурации.
Включение HIPAA в рабочей области
Для обработки данных, регулируемых стандартом соответствия HIPAA, Databricks рекомендует, чтобы каждая рабочая область включила профиль безопасности соответствия и добавила стандарт соответствия HIPAA.
Вы можете включить профиль безопасности соответствия и добавить стандарт соответствия в новую рабочую область или существующую рабочую область с помощью портал Azure или использовать шаблон ARM. Инструкции и шаблоны см. в разделе "Настройка параметров повышенной безопасности и соответствия".
Внимание
Добавление стандарта соответствия в рабочую область является постоянным.
Внимание
- Вы полностью несете ответственность за обеспечение собственного соответствия всем применимым законам и нормативным актам. Сведения, предоставленные в веб-документации по Azure Databricks, не являются юридическими советами, и вы должны обратиться к своему юридическому консультанту по любым вопросам о соответствии нормативным требованиям.
- Azure Databricks не поддерживает использование предварительных версий функций для обработки PHI на платформе AZURE, за исключением функций, перечисленных в предварительной версии функций, которые поддерживаются для обработки данных PHI.
Предварительные версии функций, поддерживаемые для обработки данных PHI
Для обработки PHI поддерживаются следующие функции предварительной версии:
Подготовка SCIM на уровне рабочей области
Подготовка SCIM на уровне рабочей области является устаревшей. Databricks рекомендует использовать подготовку SCIM на уровне учетной записи, которая общедоступна.
Системные таблицы, которые находятся в общедоступной предварительной версии
Хранилище метаданных Delta Live Tables Hive в клонированный API каталога Unity
Общая ответственность за соответствие HIPAA
Соблюдение HIPAA имеет три основных области, с различными обязанностями. Хотя каждая сторона имеет множество обязанностей, ниже мы перечислим ключевые обязанности наших, а также ваши обязанности.
В этой статье используется уровень управления терминологией Azure Databricks и плоскость вычислений, которые являются двумя основными частями работы Azure Databricks:
Основные обязанности Корпорации Майкрософт включают:
Выполнение своих обязательств в качестве бизнес-партнера в рамках BAA с корпорацией Майкрософт.
Предоставьте виртуальные машины в соответствии с вашим контрактом с корпорацией Майкрософт, которая поддерживает соответствие HIPAA.
Удалите ключи шифрования и данные, когда Azure Databricks освобождает экземпляры виртуальной машины.
Основные обязанности Azure Databricks:
- Шифруйте передаваемые данные PHI, передаваемые в плоскость управления или из нее.
- Шифрование неактивных данных PHI в плоскости управления
- Ограничить набор типов экземпляров поддерживаемыми типами экземпляров для профиля безопасности соответствия. Azure Databricks ограничивает типы экземпляров как в консоли учетной записи, так и через API.
- Отмена подготовки экземпляров виртуальных машин при указании в Azure Databricks, которые необходимо отменить, например автоматическое завершение или ручное завершение, чтобы Azure могли их очистить.
Основные обязанности ваших:
- Настройте рабочую область, чтобы использовать ключи, управляемые клиентом для управляемых служб , или интерактивная записная книжка Store приводит к использованию функции учетной записи клиента.
- Не используйте предварительные версии функций в Azure Databricks для обработки PHI, отличных от функций, перечисленных в предварительных версиях функций, которые поддерживаются для обработки данных PHI
- Следуйте рекомендациям по безопасности, таким как отключение ненужных исходящих данных из вычислительной плоскости и использование функции секретов Azure Databricks (или других аналогичных функций) для хранения ключей доступа, которые предоставляют доступ к PHI.
- Введите соглашение о бизнес-связывании с Корпорацией Майкрософт, чтобы покрыть все данные, обработанные в виртуальной сети, где развертываются экземпляры виртуальных машин.
- Не делайте что-то в виртуальной машине, которая будет нарушением HIPAA. Например, направляйте Azure Databricks для отправки незашифрованного PHI в конечную точку.
- Убедитесь, что все данные, которые могут содержать PHI, шифруются неактивных при хранении в местах, с которыми может взаимодействовать платформа Azure Databricks. Это включает настройку параметров шифрования в корневом хранилище каждой рабочей области (ADLSgen2 для новых рабочих областей, хранилище BLOB-объектов для старых рабочих областей), которое входит в состав создания рабочей области. Вы несете ответственность за обеспечение шифрования (а также выполнение резервных копий) для этого хранилища и всех других источников данных.
- Убедитесь, что все данные, которые могут содержать PHI, шифруются при передаче между Azure Databricks и любым из расположений хранилища данных или внешних расположений, к которым вы обращаетесь с компьютера вычислительной плоскости. Например, любые API, используемые в записной книжке, которые могут подключаться к внешнему источнику данных, должны использовать соответствующее шифрование для любых исходящих подключений.
- Убедитесь, что все данные, которые могут содержать PHI, шифруются неактивных при хранении в местах, с которыми может взаимодействовать платформа Azure Databricks. Это включает настройку параметров шифрования в корневом хранилище каждой рабочей области, которое входит в состав создания рабочей области.
- Убедитесь, что шифрование (а также выполнение резервных копий) для корневого хранилища (ADLSgen2 для новых рабочих областей, хранилища BLOB-объектов для старых рабочих областей) и всех других источников данных.
- Убедитесь, что все данные, которые могут содержать PHI, шифруются при передаче между Azure Databricks и любым из расположений хранилища данных или внешних расположений, к которым вы обращаетесь с компьютера вычислительной плоскости. Например, любые API, используемые в записной книжке, которые могут подключаться к внешнему источнику данных, должны использовать соответствующее шифрование для любых исходящих подключений.
Сведения о ключах, управляемых клиентом:
- Вы можете добавить ключи, управляемые клиентом, для корневого хранилища рабочей области, используя ключи, управляемые клиентом для функции DBFS , но Azure Databricks не требует этого.
- Ключи, управляемые клиентом, можно добавить для томов управляемых дисков, но это не обязательно для соответствия HIPAA.