Disclaimer: non sono un avvocato.
Innanzitutto, alcune letture richieste:
Centro protezione Microsoft Azure
HIPAA Business Associate Agreement (BAA)
HIPAA e HITECH Act sono leggi degli Stati Uniti che si applicano alle entità sanitarie con accesso alle informazioni sui pazienti (chiamate informazioni sanitarie protette o PHI). In molte circostanze, affinché un'azienda di assistenza sanitaria coperta utilizzi un servizio cloud come Azure, il fornitore di servizi deve concordare un accordo scritto per aderire a determinate disposizioni di sicurezza e privacy stabilite in HIPAA e dalla legge HITECH. Per aiutare i clienti a conformarsi a HIPAA e alla legge HITECH, Microsoft offre un BAA ai clienti come aggiunta al contratto.
Microsoft attualmente offre il BAA ai clienti che hanno stipulato un contratto multilicenza / accordo aziendale (EA) o una registrazione EA solo Azure con Microsoft per i servizi nell'ambito. L'EA solo per Azure non dipende dalla dimensione del posto, piuttosto da un impegno monetario annuale per Azure che consente a un cliente di ottenere uno sconto sulla retribuzione man mano che procedi con i prezzi.
Prima di firmare il BAA, i clienti devono leggere le Linee guida per l'implementazione di HIPAA di Azure. Questo documento è stato sviluppato per aiutare i clienti interessati a HIPAA e alla legge HITECH a comprendere le funzionalità pertinenti di Azure. Il pubblico previsto comprende responsabili della privacy, responsabili della sicurezza, responsabili della conformità e altri nelle organizzazioni dei clienti responsabili dell'implementazione e della conformità di HIPAA e HITECH Act. Il documento tratta alcune delle migliori pratiche per la creazione di applicazioni conformi a HIPAA e descrive in dettaglio le disposizioni di Azure per la gestione delle violazioni della sicurezza. Mentre Azure include funzionalità che aiutano a garantire la privacy e la conformità della sicurezza dei clienti, i clienti sono responsabili di garantire che il loro particolare utilizzo di Azure sia conforme a HIPAA, HITECH Act e altre leggi e normative applicabili,
I clienti devono contattare il proprio rappresentante account Microsoft per firmare l'accordo.
Potrebbe essere necessario firmare un BAA con il proprio provider cloud (Azure). Chiedere al proprio rappresentante (i) di conformità.
Ecco le istruzioni per l'implementazione di Azure HIPAA .
È possibile usare Azure in modo conforme ai requisiti HIPAA e HITECH Act.
Le macchine virtuali di Azure e le istanze di Azure SQL e SQL Server in esecuzione nelle macchine virtuali di Azure sono tutte nell'ambito e supportate qui.
Bitlocker è sufficiente per la crittografia dei dati a riposo. Utilizza la crittografia AES in un modo che soddisfa i requisiti HIPAA (nonché i requisiti di altre organizzazioni simili) per la crittografia dei dati a riposo.
Inoltre, SQL Server non memorizzerà i dati sensibili non crittografati sull'unità del sistema operativo a meno che non si configuri SQL per farlo ... come ad esempio la configurazione di TempDB per vivere sull'unità del sistema operativo o qualcosa del genere.
La crittografia di celle / campi / colonne all'interno di singoli database non è strettamente necessaria supponendo che abbiate già soddisfatto i requisiti per la crittografia dei dati inattivi in altri modi, ad esempio TDE o Bitlocker.
Il modo in cui scegli di gestire la chiave di crittografia Bitlocker potrebbe venire fuori, dal momento che non vivrà all'interno di un chip TPM o su un'unità USB rimovibile poiché non hai accesso al computer fisico. (Considera di avere un amministratore di sistema che inserisca manualmente una password per sbloccare l'unità dati ogni volta che il server si riavvia.) Questa è una sorta di attrazione principale per servizi come CloudLink, poiché gestiscono la chiave di crittografia sacra per te.