Organizaciones sanitarias y servicios de nube de Microsoft

Obtén la seguridad, el cumplimiento y la privacidad de la información sanitaria protegida en los servicios de nube empresarial de Microsoft.

Two medical professionals in white coats talking as they look at something in front of them that doesn’t appear in the frame

Seguridad, cumplimiento y privacidad de la información sanitaria protegida en los servicios de nube empresarial de Microsoft

Microsoft comprende que cuando tú, el cliente, usas nuestros servicios de nube, nos confías tu activo más valioso e irreemplazable: tus datos.

La confianza es esencial cuando mueves tus conjuntos de datos y aplicaciones clínicas que contienen información sanitaria protegida, incluidas la demografía de los pacientes y la información de tratamiento, a la nube. Es imprescindible cuando compartes datos en el ecosistema sanitario, y amplías cómo y dónde los profesionales de la salud y los pacientes pueden tener acceso a información confidencial.

Por tanto, en tu viaje de transición a la nube, es imprescindible que trabajes con un proveedor de servicios en el que puedes confiar. Debes confiar en que la información confidencial esté protegida, que se conserve y administre de forma segura y cumpliendo las normas y leyes, y que se proteja su privacidad.

El enfoque holístico de Microsoft se diseñó para crear esta confianza mediante la adopción de un enfoque defensivo a la seguridad, el cumplimiento de los requisitos normativos aplicables, incluido el ofrecimiento de un Acuerdo de sociedad comercial de HIPAA para sus servicios de nube empresarial y la ayuda para proteger la privacidad de información sanitaria protegida y otros datos.

A medical professional reviewing X-rays on a desktop monitor with another person sitting across from them.

Acelera el desarrollo de las soluciones HIPAA o HITRUST en Azure

Obtén las herramientas e instrucciones para crear soluciones HIPAA o HITRUST hoy. Aprovecha los beneficios de la nube para soluciones de datos sanitarios con el Plano técnico de seguridad y cumplimiento de Azure, datos sanitarios HIPAA o HITRUST e IA.

Office 365 obtuvo la certificación CSF de HITRUST

Office 365 obtuvo la certificación HITRUST de la Health Information Trust (HITRUST) Alliance. El marco de seguridad común de HITRUST ayuda a las organizaciones sanitarias a afrontar la seguridad y la gestión de riesgos.

Medical professional wearing scrubs and smiling.

Microsoft adopta un enfoque defensivo a la seguridad y sus servicios de nube

Las organizaciones sanitarias pueden verse afectadas por vulneraciones de datos y ciberataques. Los agentes malintencionados no solo atacan a las redes sanitarias, sino también a dispositivos de punto de venta como cajas registradoras, dispositivos médicos como marcapasos, aplicaciones médicas como las que ofrecen sanidad virtual, y además sacan provecho de dispositivos móviles, tanto médicos como personales. De acuerdo con el estudio Verizon Protected Health Information Data Breach Report for 2015 (Informe de vulneraciones de datos de información sanitaria protegida de Verizon para 2015), 1400 organizaciones sanitarias, tanto grandes como pequeñas, sufrieron vulneraciones de datos de información sanitaria protegida que expusieron más de 157 millones de registros médicos. Estas vulneraciones no solo fueron el resultado de actividad criminal, sino que también se produjeron debido a la protección de datos inadecuada y al mal uso por parte de los propios trabajadores sanitarios.

Los servicios de nube empresarial y la asistencia comercial de Microsoft se diseñan, desarrollan y administran para ayudar a garantizar que tus datos y todos los dispositivos a los que tienes acceso cuentan con la mayor protección. El principio que guía la estrategia de seguridad de Microsoft es asumir las vulneraciones del sistema y reducir el tiempo desde que se produce una y su detección. Nuestro equipo de respuesta ante incidentes global trabaja sin parar para mitigar los efectos de cualquier ataque contra Microsoft Cloud.

Nuestros sistemas y software ayudan a proteger tus datos con controles de seguridad fuertes, junto con una cartera de tecnologías para ayudarte a preparar tu organización contra ciberamenazas emergentes, administrar una plantilla móvil y cumplir las regulaciones gubernamentales.

|

Las capas de tecnología antispam, como Microsoft Antimalware, ayudan a identificar y eliminar spam, virus y otro software malintencionado, tanto conocido como desconocido. Supervisamos servidores, redes y aplicaciones para detectar intrusiones y evitar ataques, y fortalecemos constantemente estas defensas. Además, en caso de que se produzca un ataque, existen sistemas tanto para defender la red como para recuperarla rápidamente.

 

Más información

Da igual dónde se encuentren los datos, ya sea en un servidor local, en la nube pública o en dispositivos portátiles, te ayudamos a garantizar que quien obtiene acceso a la red es quien dice ser, que su acceso a los datos está controlado y que solo aquellos que tienen autorización para ver información sanitaria protegida pueden hacerlo.

 

Más información

Los datos cifrados son ilegibles para cualquiera que no tenga la clave para descifrarlos. Microsoft usa protocolos de transporte seguros estándar del sector para cifrar datos cuando viajan entre dispositivos y centros de datos de Microsoft o se mueven en los centros de datos. Para a proteger los datos en reposo, Microsoft ofrece múltiples funciones integradas de cifrado.

 

Más información

Auditores externos independientes auditan los servicios de nube y productos empresariales de Microsoft bajo estándares del sector como ISO/IEC 27001 y ISO/IEC 27018. Además, cumplimos las leyes HIPAA y HITECH Act, así como los Estándares mínimos aceptables de riesgo para los cambios del marco (MARS-E).

Las leyes HIPAA y HITECH Act son leyes sanitarias estadounidenses que establecen requisitos para usar, difundir y proteger información sanitaria que se puede identificar de forma individual. Estas leyes requieren que las organizaciones sanitarias establezcan contratos con los proveedores de servicios como Microsoft que tienen acceso a la información sanitaria protegida de los pacientes y la procesan. Estos contratos, o Acuerdos de sociedad comercial, aclaran y limitan cómo administra el servicio de nube la información sanitaria protegida y establece el cumplimiento de las disposiciones de seguridad y privacidad de estas leyes por cada parte.

 

Microsoft implementó protecciones físicas, técnicas y administrativas que requiere HIPAA para cumplir nuestro rol como socio empresarial y cumple con la HITECH Act, que requiere notificar a los individuos y a la administración cuando se produce una vulneración de información sanitaria protegida. Aunque actualmente no hay certificación oficial para el cumplimiento de estas leyes, los servicios Microsoft cubiertos en los Acuerdos de sociedad comercial se someten a auditorías realizadas por terceros independientes acreditados. Por ejemplo, el ámbito de la auditoría para ISO/IEC 27001 incluye controles que responden a las prácticas de seguridad de HIPAA.

 

Bajo los Acuerdos de sociedad comercial de HIPAA de Microsoft, ofrecemos más servicios cubiertos que cualquier otro proveedor de nube. Mediante Microsoft Azure, Microsoft Dynamics 365, Microsoft Intune, Microsoft Office 365 y Microsoft Power BI ofrecemos soluciones integradas y completas que abarcan la productividad y la colaboración, la administración de relaciones de pacientes, las analíticas, el hospedaje de aplicaciones, el almacenamiento de datos y la administración de dispositivos y aplicaciones.

 

Al ofrecer los Acuerdos de sociedad comercial, Microsoft ayuda a cumplir con la HIPAA, aunque tu organización es responsable de garantizar que tu uso concreto de los servicios Microsoft está en consonancia con las leyes HIPAA y HITECH Act. Para lograr ese fin, ofrecemos recursos como la Guía de implementación de las leyes HIPAA y HITECH Act para Azure y para Dynamics 365 y Office 365, y Una guía práctica para diseñar soluciones sanitarias seguras usando Microsoft Azure.

El Center for Medicare and Medicaid Services (CMS) publicó los Estándares mínimos aceptables de riesgo para los cambios del marco (MARS-E), que incluyen un marco para afrontar la confidencialidad, integridad y disponibilidad en los intercambios dentro del sector sanitario de datos protegidos. El marco MARS-E 2.0 proporciona información dirigida a proteger dichos datos y se aplica a todas las entidades administradoras de la ley US Affordable Care Act, incluidos los intercambios y los mercados.

 

Aunque en estos momentos no existe un proceso de acreditación u autorización para MARS-E, los servicios de la plataforma de Azure pasaron auditorías independientes de FedRAMP y se autorizaron de acuerdo con sus estándares. Aunque dichos estándares no se centran específicamente en MARS-E, los objetivos y requisitos de control de MARS-E están muy relacionados y proporcionan la garantía de que Azure ayuda a proteger de forma adecuada la confidencialidad, la integridad y la disponibilidad de los datos.

Nuestro enfoque probado con el tiempo se basa en los Estándares de privacidad de Microsoft y el Ciclo de vida de desarrollo de seguridad de Microsoft. Las auditorías de terceros y nuestras certificaciones validan nuestros estándares de desarrollo técnico rigurosos y nos ayudan a garantizar que las protecciones de datos y privacidad se implementan de forma sistemática. Por ejemplo, Microsoft fue el primer gran proveedor de nube que incorporó el primer código de conducta internacional para la privacidad en la nube, ISO/EIC 27018. También respaldamos esas protecciones con compromisos contractuales fuertes.

 

En última instancia, te damos el control sobre la recopilación, uso y distribución de tus datos:

  • Usamos tus datos de cliente solo para proporcionar los servicios para los que establecimos un acuerdo. No los analizamos con propósitos de marketing ni los tratamos como un producto que vender a otros.
  • Sabes dónde se almacenan tus datos de cliente en nuestros centros de datos en todo el mundo. Sabes quién tiene acceso a ellos y bajo qué circunstancias, y cómo se protegen, transfieren y eliminan de forma responsable.
  • Cuando los datos de muchos clientes se almacenan en una ubicación física compartida, usamos aislamiento lógico para segregar los datos de servicios de nube de cada cliente con respecto a los de otros.

Recursos adicionales

Soluciones sanitarias empresariales de Microsoft

Proteger tus datos y tu privacidad en la nube

Estándares mínimos aceptables de riesgo para los cambios del marco (MARS-E)

ISO/IEC 27001

Federal Risk and Authorization Management Program (FedRAMP)


Recursos de HIPAA y HITECH

Leyes HIPAA y HITECH Act

Una guía práctica para diseñar soluciones sanitarias seguras con Azure


Guía de implementación de las leyes HIPAA y HITECH Act

Guía de implementación de las leyes HIPAA y HITECH para Azure

Guía de implementación de HIPAA y HITECH para Dynamics 365 y Office 365