Sveikatos apsaugos organizacijos ir „Microsoft“ verslui debesies paslaugos

Naudodami „Microsoft“ verslui debesies paslaugas užtikrinkite sveikatos informacijos saugą, atitiktį ir privatumą.

Two medical professionals in white coats talking as they look at something in front of them that doesn’t appear in the frame

Naudodami „Microsoft“ verslui debesies paslaugas užtikrinkite sveikatos srities informacijos saugą, atitiktį ir privatumą.

„Microsoft“ supranta, kad kai jūs, mūsų klientas, naudojatės mūsų debesų technologijos paslaugomis, jūs patikite mums savo vertingiausią ir nepakeičiamą turtą – duomenis.

Perkeliant klinikines programas ir duomenų rinkinius su saugoma sveikatos informacija (PHI), įskaitant pacientų demografinius duomenis ir gydymo informaciją, į viešai pasiekiamą debesį, pasitikėjimas yra labai svarbus. Bendrai naudojant duomenis visoje sveikatos srities ekosistemoje labai svarbu nustatyti, kaip ir kur gydytojai ir pacientai turi prieigą prie konfidencialios informacijos.

Todėl atliekant duomenų perkėlimą į debesį labai svarbu pasitikėti paslaugų teikėju. Turite būti užtikrinti konfidencialios informacijos apsauga ir saugiu valdymu atsižvelgiant į taikomus reglamentus ir nuostatas, taip pat svarbu užtikrinti privatumo apsaugą.

„Microsoft“ holistinis metodas sukurtas siekiant užtikrinti šį pasitikėjimą taikant visapusį požiūrį į apsaugą ir taikomų reglamentų bei nuostatų atitiktį, įskaitant HIPAA verslo asocijuotosios sutarties (BAA) pasiūlymą verslo debesies paslaugoms, pagalbą užtikrinant PHI ir kitų duomenų privatumą.

A medical professional reviewing X-rays on a desktop monitor with another person sitting across from them.

Paspartinkite HIPAA/HITRUST sprendimų diegimą „Azure“

Gaukite įrankius ir rekomendacijas apie HIPAA/HITRUST sprendimų kūrimą. Išnaudokite debesies sveikatos duomenų sprendimų pranašumus naudojant „Azure Security and Complience Blueprint“ – HIPAA/HITRUST sveikatos duomenis ir DI.

„Office 365“ gavo HITRUST CSF sertifikatą

„Office 365“ gavo HITRUST sertifikatą iš „The Health Information Trust“ (HITRUST) aljanso. HITRUST bendros saugos sistema padeda sveikatos apsaugos organizacijoms spręsti saugos problemas ir valdyti riziką.

Medical professional wearing scrubs and smiling.

„Microsoft“ taiko išsamios rizikos ir savo debesies paslaugų analizės požiūrį

Sveikatos organizacijos gali nukentėti dėl duomenų praradimo ar kibernetinių išpuolių. Kenkėjai nusitaiko ne tik į sveikatos srities tinklus, tačiau ir į prekybos įrenginius, pvz., kasos aparatus, medicinos prietaisus, pvz., širdies stimuliatorius, medicinos programas, pvz., siūlančias virtualias sveikatos priemones, ir didėjantį mobiliųjų įrenginių, tiek medicinos srities, tiek asmeninių, skaičių. Atsižvelgiant į 2015 m. „Verizon“ apsaugotos sveikatos informacijos duomenų pažeidimų ataskaitą, 1 400 sveikatos organizacijų, tiek mažų, tiek didelių, nukentėjo dėl PHI duomenų praradimo, nes buvo atskleista daugiau negu 157 milijonai medicinos įrašų. Tai buvo ne tik nusikalstamos veiklos, bet ir nepakankamos duomenų apsaugos ir netinkamo sveikatos srities darbuotojų elgesio rezultatas.

„Microsoft“ verslui debesies paslaugos ir komercinė pagalba sukurta ir naudojama siekiant užtikrinti visišką duomenų saugumą visuose prieigą turinčiuose įrenginiuose. „Microsoft“ saugos strategijos pagrindinis principas – perimti mūsų sistemų pažeidimus ir sutrumpinti laiką nuo bet kokio pažeidimo iki jo aptikimo. Mūsų atsako į visuotinius incidentus komanda dirba visą parą, kad sumažintų bet kokių „Microsoft“ debesies atakų poveikį.

Mūsų sistemos ir programinė įranga padeda apsaugoti jūsų duomenis naudojant griežtos saugos valdiklius, taip pat technologijas, padedančias apsaugoti organizaciją nuo kylančių kibernetinių grėsmių, valdyti mobiliąją darbo jėgą ir atitikti valstybinių institucijų nuostatus.

|

Šiuolaikinė daugiasluoksnė nuo pašto šiukšlių sauganti technologija, pvz., „Microsoft“ antivirusinė programinė įranga, padeda identifikuoti ir šalinti nepageidaujamus laiškus, virusus ir kitą kenkėjišką, tiek žinomą, tiek ir nežinomą, programinę įrangą. Stebime serverius, tinklus ir programas, kad galėtume aptikti įsilaužimus ir užkirsti kelią atakoms, taip pat nuolat stipriname teikiamą apsaugą. Išpuolio atveju naudojamos sistemos, skirtos tiek apginti tinklą, tiek kuo greičiau atkurti jo veikimą.

 

Sužinokite daugiau

Nesvarbu, kur jūsų duomenys – vietiniame serveryje, viešajame debesyse ar nešiojamuosiuose įrenginiuose – galime užtikrinti prie tinklo prieigą turinčių vartotojų tapatybę, prieigos prie tinklo ir PHI duomenų kontrolę.

 

Sužinokite daugiau

Šifruoti duomenys įskaitomi tik tiems, kas turi šifravimo raktą. „Microsoft“ naudoja pramonės standartą atitinkančius perdavimo protokolus, kad šifruotų tarp įrenginių ir „Microsoft“ duomenų centrų perduodamus ar duomenų centruose perkeliamus duomenis. Siekdama apsaugoti laikomus duomenis, „Microsoft“ taiko įtaisytąsias šifravimo galimybes.

 

Sužinokite daugiau

„Microsoft“ verslo produktų ir debesies paslaugas audituoja nepriklausomi išoriniai auditoriai pagal pramonės standartus, tokius kaip ISO/IEC 27001 ir ISO/IEC 27018. Be to, mes palaikome HIPAA ir HITECH aktą ir minimalios priimtinos rizikos standartus, skirtus apsikeitimams (MARS-E).

HIPAA ir HITECH aktas yra JAV sveikatos apsaugos įstatymai, nustatantys reikalavimus, kaip naudoti, atskleisti ir apsaugoti individualiai identifikuojamą sveikatos informaciją. Pagal šiuos įstatymus sveikatos apsaugos organizacijos privalo sudaryti sutartis su paslaugų teikėjais, pvz., „Microsoft“, kurios turėtų prieigą prie pacientų PHI duomenų ir galėtų juos apdoroti. Šios sutartys arba asocijuotosios verslo sutartys (BAA), paaiškina ir apriboja debesies tarnybos PHI duomenų apdorojimą ir apibrėžia kiekvienos šalies atsakomybę saugos ir privatumo srityse.

 

„Microsoft“ įgyvendino HIPAA reikalaujamas fizinės, techninės ir administracinės apsaugos priemones, kad taptų tinkama verslo partnere ir atitiktų HITECH akto reikalavimus, pagal kuriuos būtina informuoti asmenis ir valstybines institucijas apie PHI duomenų saugos pažeidimus. Nors šiuo metu nėra oficialių sertifikatų, skirtų šių įstatymų atitikčiai, akredituotos trečiųjų šalių įmonės atliko į BAA įtrauktų „Microsoft“ paslaugų auditą. Pavyzdžiui, mūsų ISO/IEC 27001 audito aprėptis apima valdiklius, skirtus HIPAA saugos praktikoms.

 

Atsižvelgiant į „Microsoft“ HIPAA BAA, mes siūlome daugiau įtrauktų paslaugų nei bet kuris kitas debesies paslaugų teikėjas. „Microsoft Azure“, „Microsoft Dynamics 365“, „Microsoft Intune“, „Microsoft Office 365“ ir „Microsoft Power BI“ siūlo išsamius ir integruotus sprendimus, apimančius produktyvumą ir bendradarbiavimą, pacientų ryšių valdymą, analizę, programų prieglobą, duomenų saugyklas ir programų bei įrenginių valdymą.

 

Siūlydama BAA, bendrovė „Microsoft“ padeda palaikyti HIPAA atitiktį, nors jūsų organizacija yra atsakinga už tai, kad jūsų „Microsoft“ paslaugų naudojimas būtų suderinamas su HIPAA ir HITECH aktu. Todėl siūlome išteklius, pvz., HIPAA/HITECH akto diegimo gairės, skirta „Azure“ ir „Dynamics 365“ ir „Office 365“ ir Praktinis vadovas, skirtas saugių sveikatos sprendimų kūrimui naudojant „Microsoft Azure“.

Sveikatos priežiūros ir medicinos paslaugų centras (CMS) išleido Minimalūs priimtinos rizikos standartai, skirti apsikeitimams (MARS-E), kurie apima konfidencialumui, integralumui ir apsaugotų sveikatos duomenų pasiekiamumui skirtą sistemą. MARS-E 2.0 sistema teikia informaciją, skirtą apsaugoti duomenis, ir yra taikoma visiems JAV teikiamos priežiūros aktu administruojamiems subjektams, įskaitant apsikeitimus ir prekybos vietas.

 

Nors šiuo metu nėra jokių oficialių MARS-E įgaliojimo ir akreditavimo procesų, „Azure“ platformos tarnyboms buvo taikomi nepriklausomi „FedRAMP“ auditai ir jį yra įgaliota atsižvelgiant į taikomus standartus. Nors šie standartai nėra skirti konkrečiai MARS-E, MARS-E valdymo reikalavimai ir tikslai artimai susiję ir užtikrina, kad „Azure“ atitinkamai padeda užtikrinti duomenų konfidencialumą, integralumą ir pasiekiamumą.

Mūsų laiko išbandytas požiūris į privatumą išdėstytas „Microsoft“ privatumo standartas ir „Microsoft Security Development Lifecycle“. Trečiųjų šalių auditai ir sertifikavimai patvirtina mūsų išsamius techninius kūrimo standartus ir padeda užtikrinti sisteminį privatumo ir duomenų apsaugos priemonių taikymą. Pavyzdžiui, „Microsoft“ yra pirmoji didelė debesies technologijos teikėja, taikanti pirmąjį tarptautinį privatumo debesyje praktikų kodeksą, ISO/IEC 27018. Minėtas apsaugas taip pat pagrindžiame tvirtais sutartiniais įsipareigojimais.

 

Tokiu būdu suteikiame jums duomenų rinkimo, naudojimo ir platinimo kontrolę:

  • Klientų duomenis naudojame tik sutartoms paslaugoms teikti. Nenuskaitome jų rinkodaros tikslais ir nelaikome jų produktu, kurį galima parduoti kitoms bendrovėms.
  • Jūs žinote, kur jūsų kliento duomenys saugomi mūsų visame pasaulyje esančiuose duomenų centruose. Jūs žinote, kas ir kokiomis aplinkybėmis turi prie jų prieigą ir kaip atsakingai jie yra saugomi, perduodami ir šalinami.
  • Jeigu kelių klientų duomenys yra laikomi bendrintoje fizinėje vietoje, mes naudojame loginio izoliavimo priemonę, kad atskirtume klientų debesies paslaugų duomenys nuo kitų klientų duomenų.

Papildomi ištekliai

„Microsoft“ įmonėms skirti sveikatos apsaugos sprendimai

Duomenų ir privatumo apsauga debesyje

Minimalūs priimtini rizikos standartai, skirti apsikeitimams (MARS-E)

ISO/IEC 27001

„Federal Risk and Authorization Management Program“ („FedRAMP“)


HIPAA ir HITECH ištekliai

HIPAA ir HITECH aktas

Praktinis saugių sveikatos sprendimų kūrimo naudojant „Azure“ vadovas


HIPAA/HITECH akto diegimo rekomendacijos

„Azure“ HIPAA/HITECH diegimo rekomendacijos

„Dynamics 365“ ir „Office 365“ diegimo HIPAA/HITECH gairės