Egészségügyi szervezetek és a Microsoft vállalati felhőszolgáltatásai

A Microsoft vállalati felhőszolgáltatásai garantálják a védett egészségügyi adatok biztonságát, megfelelőségét és adatvédelmét.

Two medical professionals in white coats talking as they look at something in front of them that doesn’t appear in the frame

A Microsoft vállalati felhőszolgáltatásai garantálják a védett egészségügyi adatok biztonságát, megfelelőségét és adatvédelmét

A Microsoft tisztában van azzal, hogy a felhőszolgáltatásait használó ügyfelei a legértékesebb és egyben pótolhatatlan értékeiket, vagyis az adataikat bízzák rá.

A bizalom alapvető fontosságú a védett egészségügyi adatokat (köztük a páciensek demográfiai és kezelési adatait) tartalmazó klinikai alkalmazások és adatkészletek nyilvános felhőbe történő áthelyezésekor. Kiemelt jelentősége van akkor is, amikor adatokat osztanak meg az egészségügyi ökoszisztémában, továbbá azokban az esetekben, amikor szélesebb körben határozzák meg, hogy miként és hol férhetnek hozzá az egészségügyi dolgozók és a páciensek a bizalmas adatokhoz.

Legyen szó a felhőre való áttérés bármely szakaszáról, létfontosságú a megbízható szolgáltató igénybevétele. Ha ilyen szolgáltatót bíz meg, nyugodt lehet afelől, hogy védettek a bizalmas adatok, a rendeleteknek és a törvényeknek megfelelően, biztonságos környezetben történik a tárolásuk és a kezelésük, valamint hogy nem kerülhetnek illetéktelen kezekbe.

A Microsoft holisztikus megközelítéssel tesz szert erre a bizalomra: mélységi védelemmel szavatolja a biztonságot és eleget tesz a vonatkozó jogszabályi követelményeknek (például HIPAA BAA szerződést kínál a vállalati felhőszolgáltatásaihoz, emellett segítséget nyújt a védett egészségügyi adatok és az egyéb adatok védelméhez).

A medical professional reviewing X-rays on a desktop monitor with another person sitting across from them.

HIPAA- és HITRUST-alapú megoldások gyorsabb üzembe helyezése az Azure-ban

Letöltheti a HIPAA- és HITRUST-alapú megoldásokhoz kínált eszközöket és útmutatást. Az Azure Security and Compliance Blueprinttel kihasználhatja a felhő egészségügyiadat-megoldásokhoz kínált előnyeit, köztük a HIPAA- és HITRUST-alapú egészségügyi adatokat és a mesterséges intelligenciát.

HITRUST CSF tanúsítványt kapott az Office 365

Megkapta az Office 365 a HITRUST tanúsítványt a HITRUST Alliance-től. A HITRUST Common Security Framework (CSF) segít az egészségügyi szervezeteknek a biztonság- és kockázatkezelésben.

Medical professional wearing scrubs and smiling.

A Microsoft mélységi védelemmel szavatolja felhőszolgáltatásai biztonságát

Az egészségügyi szervezetek sok esetben ki vannak téve az adatokkal való visszaélések és a kibertámadások kockázatának. A támadók nemcsak az egészségügyi hálózatokat célozzák, hanem az értékesítéshez használt eszközöket (például pénztárgépeket), orvosi eszközöket (köztük pacemakereket) és orvosi appokat (például a virtuális beteggondozást kínálókat), de az orvosi és a személyes mobileszközök sincsenek tőlük biztonságban. A Verizon készített egy Protected Health Information Data Breach Report for 2015 című jelentést, amely szerint 1400 egészségügyi szervezet (kicsik és nagyok egyaránt) számolt be olyan incidensről, amely során védett egészségügyi adatok szivárogtak ki, és ez több mint 157 millió orvosi feljegyzést jelent. Mindezek nemcsak bűncselekmény miatt szivárogtak ki, hanem az elégtelen adatvédelem és az egészségügyi dolgozók hanyagsága miatt is.

A Microsoft vállalati felhőszolgáltatásait és kereskedelmi támogatási szolgáltatásait azzal a céllal terveztük meg, fejlesztettük ki és üzemeltetjük, hogy ügyfeleink adatai és az azokhoz hozzáférő eszközeik minél nagyobb biztonságban legyenek. A Microsoft biztonsági stratégiájának alapelve az, hogy számolunk rendszereink feltörhetőségével, valamint hogy minél rövidebb idő teljen el a feltörés és annak észlelése között. Globális incidenskezelő csapatunk éjjel-nappal azon fáradozik, hogy a lehető legkisebb hatása legyen a Microsoft Cloud elleni támadásoknak.

Rendszereink és szoftvereink szigorú biztonsági előírások alapján védik ügyfeleink adatait, emellett különféle technológiákkal segítenek nekik abban, hogy védhessék szervezeteiket az újonnan felbukkant kiberbiztonsági veszélyforrásoktól, felügyelhessék a mobileszközöket használó dolgozókat, valamint hogy eleget tehessenek a kormányzati előírásoknak.

|

A levélszemét elleni naprakész technológiák rétegei (például a Microsoft Antimalware) segítenek azonosítani és eltávolítani az ismert és a még nem ismert levélszemetet, vírusokat és egyéb kártékony szoftvereket. A kiszolgálók, a hálózatok és az alkalmazások figyelésével észleljük a behatolásokat és megakadályozzuk a támadásokat, ezzel együtt pedig folyamatosan megerősítjük védelmi vonalainkat. Ha támadás történne, rendszereink megvédik a hálózatot, és a gyors helyreállításban is segítenek.

 

További információ

Függetlenül attól, hogy hol vannak a szervezet adatai (helyi kiszolgálón, a nyilvános felhőben vagy hordozható eszközökön), segítünk megbizonyosodni arról, hogy a hálózatához hozzáférők valóban azok, akiknek mondják magukat, valamint hogy csak szabályozott módon férhessenek hozzá az adatokhoz, és hogy csak azok férhessenek hozzá a védett egészségügyi adatokhoz, akiknek van erre engedélye.

 

További információ

A titkosított adatokat csak azok tudják olvasni, akik rendelkeznek a visszafejtési kulccsal. A Microsoft az iparági szabványoknak megfelelő biztonságos átviteli protokollokkal titkosítja az adatokat az eszközök és a microsoftos adatközpontok közötti továbbításkor, valamint az adatközpontokon belüli áthelyezés alkalmával. A Microsoft számos beépített titkosítási funkciót biztosít az inaktív adatok védelméhez.

 

További információ

A Microsoft vállalati termékeit és felhőszolgáltatásait független külső auditorok auditálják az iparági szabványoknak (például: ISO/IEC 27001 és ISO/IEC 27018) megfelelően. Ezenfelül betartjuk a HIPAA és a HITECH törvény rendelkezéseit, valamint támogatást biztosítunk a MARS-E keretrendszerhez.

A HIPAA és a HITECH törvény az Egyesült Államok két olyan egészségügyi törvénye, amely keretbe foglalja a személyazonosításra alkalmas egészségügyi adatok használatára, közzétételére és védelmére vonatkozó követelményeket. E két törvény értelmében minden egészségügyi szervezetnek szerződést kell kötnie olyan szolgáltatókkal (például a Microsofttal), amelyek hozzáférhetnek a páciensek védett egészségügyi adataihoz, és feldolgozhatják őket. Ezek a szerződések (rövidítve: BAA) pontosítják és korlátozzák azt, hogy miként kezeli a felhőszolgáltatás az ilyen védett adatokat, ezenkívül előírják, hogy minden félnek eleget kell tennie az említett törvényekben rögzített biztonsági és adatvédelmi rendelkezéseknek.

 

A Microsoft bevezette a HIPAA törvény által megkövetelt fizikai, technikai és adminisztratív óvintézkedéseket, hogy így lehessen üzlettársa a szerződőknek. Emellett eleget tesz a HITECH törvény előírásainak, amelyek értelmében kötelező értesíteni az érintett személyeket és a megfelelő kormányzati szervet abban az esetben, ha netán védett egészségügyi adatok szivárognak ki. Noha az említett törvényeknek való megfelelőség hivatalos tanúsítása egyelőre nem megoldott, a Microsoft BAA szerződések hatálya alá tartozó szolgáltatásait már auditálták akkreditált, független külső felek. Az ISO/IEC 27001-es auditálásunk például magában foglalja a HIPAA törvényben rögzített biztonsági előírásokra vonatkozó intézkedéseket.

 

A Microsoft HIPAA BAA szerződés keretében bármely más felhőszolgáltatónál több lefedett szolgáltatást kínálunk. A Microsoft Azure, a Microsoft Dynamics 365, a Microsoft Intune, a Microsoft Office 365 és a Microsoft Power BI szolgáltatáson keresztül olyan átfogó és integrált megoldásokat ajánlunk, amelyek hatékonyságnövelési és együttműködési lehetőségeket, pácienskapcsolat-kezelést, statisztikákat, alkalmazásüzemeltetést, adattárolást, valamint alkalmazás- és eszközkezelést tartalmaznak.

 

A BAA szerződés keretében a Microsoft segít ugyan eleget tenni a HIPAA törvényben foglaltaknak, de az Ön szervezete felel azért, hogy a Microsoft-szolgáltatások használata a HIPAA és a HITECH törvény rendelkezéseivel összhangban történjen. Ezt elősegítendő érdemes tanulmányozni az általunk javasolt információforrásokat: HIPAA/HITECH: megvalósítási útmutató az Azure-hoz, valamint a Dynamics 365-höz és az Office 365-höz, továbbá Gyakorlati útmutató: Biztonságos egészségügyi megoldások tervezése a Microsoft Azure-ral.

A Center for Medicare and Medicaid Services (CMS) közzétette a Minimum Acceptable Risk Standards for Exchanges (MARS-E) keretrendszert, amellyel kezelhetők a védett adatok egészségügyi rendszerek közötti továbbításának bizalmassági, integritási és rendelkezésre állási szempontjai. A MARS-E 2.0 keretrendszer információt nyújt arról, hogy miként szavatolható az ilyen védett adatok biztonsága, és minden olyan entitásra érvényes, amely az Affordable Care Act (ACA) törvény keretein belül felügyeleti tevékenységet végez (például tőzsdék vagy piacok).

 

Habár a MARS-E hivatalos engedélyeztetési és akkreditációs folyamata még nincs kiépítve, az Azure platform szolgáltatásait már auditálták független FedRAMP-auditorok, és a vonatkozó szabványok alapján történt az engedélyeztetésük. Ezek a szabványok nem kifejezetten a MARS-E keretrendszerrel foglalkoznak, de annak szabályozási követelményei és célkitűzései szorosan összehangoltak, így biztosítva azt, hogy az Azure megfelelő módon segítse elő az adatok bizalmasságát, integritását és rendelkezésre állását.

Az idő igazolja adatvédelmi szemléletünket, amelynek alapjául a Microsoft adatvédelmi szabványa és a Microsoft Biztonságfejlesztési életciklus szolgál. A külső felek által végzett auditok és tanúsítások alátámasztják szigorú technikai fejlesztési szabványainkat, valamint garanciát jelentenek az adatvédelem rendszerszintű megvalósítására. A Microsoft volt például az első jelentősebb felhőszolgáltató, amely bevezette az első nemzetközi felhőbiztonsági kódexet, vagyis az ISO/IEC 27018 szabványt. Szigorú szerződéses kötelezettségvállalásaink ugyancsak hozzájárulnak az említett védelmi megoldásokhoz.

 

Végül meg kell említenünk azt is, hogy minden ügyfelünknek joga van rendelkezni az adatai gyűjtésével, felhasználásával és továbbításával kapcsolatban:

  • Kizárólag azokhoz a szolgáltatásokhoz használjuk fel az ügyféladatokat, amelyek szerepelnek a megállapodásban. Nem gyűjtjük az adatokat marketingcélokból, és nem értékesítjük őket senki másnak.
  • Minden ügyfél megtudhatja, hogy melyik földrészen, melyik adatközpontunkban tároljuk az adatait. Tisztában lehetnek ügyfeleink azzal, hogy kik és milyen körülmények között férhetnek hozzá az adataikhoz, valamint hogy miként történik felelős módon az adatok védelme, átvitele és törlése.
  • Ha sok ügyfél adatait tároljuk ugyanazon a helyen, logikai elkülönítéssel választjuk el az ügyfelek felhőszolgáltatásokban tárolt adatait mások hasonló adataitól.

További források

A Microsoft egészségügyi megoldásai nagyvállalatoknak

Adatok védelme a felhőben

Minimum Acceptable Risk Standards for Exchanges (MARS-E)

Federal Risk and Authorization Management Program (FedRAMP)


HIPAA és HITECH vonatkozású információforrások

A HIPAA és a HITECH törvény

Gyakorlati útmutató: Biztonságos egészségügyi megoldások tervezése a Microsoft Azure-ral


HIPAA/HITECH: megvalósítási útmutató

Azure HIPAA/HITECH: megvalósítási útmutató

Dynamics 365 és Office 365 HIPAA/HITECH: megvalósítási útmutató