Veselības aprūpes organizācijas un Microsoft uzņēmumu mākoņpakalpojumi
Paātriniet HIPAA/HITRUST risinājumu ieviešanu pakalpojumā Azure
Office 365 iegūst HITRUST CSF sertifikātu
Korporācija Microsoft savos mākoņpakalpojumos izmanto padziļinātas aizsardzību pieeju drošībai
Veselības aprūpes organizācijas var būt ievainojamas pret datu pārkāpumiem un kiberuzbrukumiem. Sliktie aktori mērķē ne tikai uz veselības aprūpes tīkliem, bet arī tirdzniecības vietu ierīcēm, piemēram, kases aparātiem, medicīnas ierīcēm, piemēram, elektrokardiostimulatoriem, medicīnas programmām, piemēram, tādām, kas piedāvā virtuālo veselības aprūpi, un izplatītām mobilajām ierīcēm, gan medicīnas, gan personiskajām. Atbilstoši Verizon 2015. gada aizsargātās veselības informācijas datu pārkāpumu atskaitei 1400 veselības organizāciju, gan lielu, gan mazu, cieta no PHI datu pārkāpumiem, kas ļāva piekļūt vairāk nekā 157 miljoniem medicīnisko ierakstu. Tas notika ne tikai kriminālu darbību rezultātā, bet arī nepietiekamas datu aizsardzības un pašu veselības aprūpes darbinieku datu ļaunprātīgas izmantošanas dēļ.
Microsoft uzņēmumu mākoņpakalpojumi un komercatbalsts ir izstrādāti, veidoti un darbojas tā, lai palīdzētu nodrošināt augstu drošību jūs datiem un visām ierīcēm, kas tiem piekļūst. Microsoft drošības stratēģijas pamatprincips ir pieņemt, ka mūsu sistēmās ir caurumi un saīsināt laiku starp jebkuru kompromitēšanas gadījumu un tā atklāšanu. Mūsu globālā incidentu reakcijas grupa strādā visu diennakti, lai novērstu jebkura uzbrukuma Microsoft mākonim efektus.
Mūsu sistēmas un programmatūra palīdz aizsargāt jūsu datus, izmantojot stingras drošības kontroles iespējas, kā arī tehnoloģiju portfeli, kas palīdz jūsu organizāciju apbruņot pret jauniem kiberdraudiem, pārvaldīt mobilo darbaspēku, kā arī ievērot likumu noteikumus.
|
Jaunākās pretsurogātpasta tehnoloģijas slāņi, piemēram, Microsoft ļaunprogrammatūras novēršana, palīdz identificēt un noņemt surogātpastu, vīrusus un citu ļaunprogrammatūru — gan zināmo, gan vēl nezināmo. Mēs pārraugām serverus, tīklus un programmas, lai atklātu ielaušanos un novērstu uzbrukumus, kā arī pastāvīgi stiprinām šīs aizsardzības iespējas. Uzbrukuma gadījumā sistēmas gan aizsargā tīklu, gan arī veic ātru atkopšanu.
Neatkarīgi no tā, kur jūsu dati atrodas — lokālajā serverī, publiskajā mākonī vai portatīvajās ierīcēs —, mēs jums palīdzam nodrošināt, lai lietotāji, kuri piekļūst jūsu tīklam, būtu tie, par kuriem uzdodas, lai to piekļuve datiem tiktu kontrolēta un lai tikai tie lietotāji varētu skatīt PHI, kuriem tas ir atļauts.
Šifrētos datus nevar izlasīt neviens, kam nav atšifrēšanas atslēgas. Microsoft izmanto nozares standarta drošos transporta protokolus, lai šifrētu datus, kad tie tiek pārvietoti starp ierīcēm un Microsoft datu centriem vai datu centru ietvaros. Lai aizsargātu neaktīvo datu aizsardzību, Microsoft piedāvā dažādas iebūvētas šifrēšanas iespējas.
Microsoft biznesa produktus un mākoņpakalpojumus auditē neatkarīgi ārējie auditori saskaņā ar nozares standartiem, piemēram, ISO/IEC 27001 un ISO/IEC 27018. Turklāt mēs atbalstām HIPAA un HITECH likumu, kā arī minimālos pieņemamos apmaiņas riska standartus (Minimum Acceptable Risk Standards for Exchanges — MARS-E).
HIPAA un HITECH likums ir ASV veselības aizsardzības likumi, kas nosaka personu identificējošas veselības informācijas lietošanas, izpaušanas un aizsardzības prasības. Šie likumi pieprasa, lai veselības aprūpes organizācijas noslēgtu līgumus ar pakalpojumu sniedzējiem, piemēram, Microsoft, kuriem ir piekļuve pacientu PHI un kuri šos datus apstrādā. Šie līgumi, jeb darījumu partneru līgumi (Business Associate Agreements — BAA) precizē un ierobežo to, kā mākoņpakalpojumi apstrādā PHI, un nosaka katras puses atbilstību drošības un konfidencialitātes noteikumiem šajos likumos.
Korporācija Microsoft ir ieviesusi fiziskus, tehniskus un administratīvus aizsardzības pasākumus, ko pieprasa HIPAA, lai sniegtu atbalstu mūsu darījumu partnera lomai, un tie ir atbilstoši HITECH likumam, kas nosaka paziņošanu privātpersonām un valdībai, ja rodas PHI pārkāpums. Lai gan pašlaik nav oficiālas atbilstības šiem likumiem sertificēšanas, Microsoft pakalpojumi, kas iekļauti BAA, ir tikuši pakļauti akreditētu neatkarīgu trešo personu auditam. Piemēram, mūsu ISO/IEC 27001 audita tvērumā iekļautas vadīklas, kas attiecas uz HIPAA drošības praksi.
Saskaņā ar Microsoft HIPAA BAA mēs nodrošinām vairāk atbilstošu pakalpojumu nekā jebkurš cits mākoņpakalpojumu sniedzējs. Ar Microsoft Azure, Microsoft Dynamics 365, Microsoft Intune, Microsoft Office 365 un Microsoft Power BI mēs piedāvājam visaptverošus un integrētus risinājumus, kas ietver produktivitātes un sadarbības iespējas, pacientu attiecību pārvaldību, analīzi, programmu viesošanu, datu glabāšanu, kā arī programmu un ierīču pārvaldību.
Piedāvājot BAA, korporācija Microsoft palīdz atbalstīt jūsu HIPAA atbilstību, lai arī jūsu organizācija ir atbildīga par to, lai jūsu konkrētā Microsoft pakalpojumu lietošana būtu atbilstoša HIPAA un HITECH likumam. Lai to panāktu, mēs piedāvājam resursus, piemēram, HIPAA/HITECH likuma ieviešanas norādījumusAzure lietošanai un Dynamics 365 un Office 365 lietošanai, kā arī praktisko rokasgrāmatu drošu veselības aprūpes risinājumu izstrādei, izmantojot Microsoft Azure.
Medicīnas aprūpes un pakalpojumu centrs (Center for Medicare and Medicaid Services — CMS) ir publicējis minimāli pieņemamos apmaiņas riska standartus (MARS-E), kurā ir konfidencialitātes, integritātes un pieejamības ietvars aizsargāto veselības aprūpes datu apmaiņas jomā. MARS-E 2.0 ietvars sniedz informāciju, kas paredzēta šo aizsargāto datu drošināšanai un attiecas uz visām ASV pieejamās aprūpes akta (Affordable Care Act) administrēšanas entītijām, tostarp apmaiņas un tirgus vietām.
Lai gan pašlaik nav oficiāla MARS-E autorizācijas un akreditācijas procesa, Azure platformas pakalpojumiem ir veikti neatkarīgi programmas FedRAMP auditi, un tie ir atļauti atbilstoši tās standartiem. Kaut arī šie standarti konkrēti nepievēršas MARS-E saturam, MARS-E kontroles prasības un mērķi ir ļoti līdzīgi, un tas nodrošina pārliecību, ka Azure adekvāti palīdz aizsargāt datu konfidencialitāti, integritāti un pieejamību.
Mūsu laika gaitā pārbaudītā pieeja konfidencialitātes jautājumiem ir balstīta uz Microsoft konfidencialitātes standartu un Microsoft Security Development Lifecycle. Trešo personu auditi un sertifikācijas validē mūsu stingros tehniskās attīstības standartus un palīdz nodrošināt, lai konfidencialitātes un datu aizsardzības līdzekļi tiktu sistemātiski ieviesti. Piemēram, Microsoft bija pirmais lielais mākoņpakalpojumu sniedzējs, kas iekļāva pirmo starptautisko prakses kodeksu saistībā ar mākoņa privātumu: ISO/IEC 27018. Mēs arī nodrošinām šo aizsardzību ar stingrām līgumsaistībām.
Visbeidzot, mēs jums nodrošinām iespēju kontrolēt jūsu datu apkopošanu, lietošanu un izplatīšanu:
- Mēs izmantojam jūsu klientu datus tikai tam, lai nodrošinātu pakalpojumus, par kuriem esam vienojušies. Mēs to neskenējam mārketinga nolūkos un neuzskatām tos par produktu, ko pārdot citiem.
- Jūs zināt, kur jūsu klientu dati tiek glabāti mūsu datu centros visā pasaulē. Jūs zināt, kurš var tiem piekļūt un kādos apstākļos, un to, kā tie tiek aizsargāti, pārsūtīti un dzēsti.
- Ja dati no daudziem klientiem tiek glabāti koplietojamā fiziskā atrašanās vietā, mēs izmantojam loģisku izolāciju, lai nodalītu katra klienta mākoņpakalpojumu datus no pārējiem datiem.