Usługi w chmurze firmy Microsoft dla organizacji opieki zdrowotnej

Uzyskaj funkcje zabezpieczeń, zapewniania zgodności i ochrony prywatności chronionych informacji medycznych dzięki usługom w chmurze firmy Microsoft dla firm.

Two medical professionals in white coats talking as they look at something in front of them that doesn’t appear in the frame

Uzyskaj funkcje zabezpieczeń, zapewniania zgodności i ochrony prywatności chronionych informacji medycznych dzięki usługom w chmurze firmy Microsoft dla firm

Firma Microsoft rozumie, że kiedy korzystasz z naszych usług w chmurze, powierzasz nam swoje najcenniejsze i niezastąpione zasoby — Twoje dane.

Gdy przenosisz aplikacje medyczne i zestawy danych zawierające chronione informacje medyczne, w tym dane pacjentów i informacje dotyczące procedur medycznych, do chmury publicznej, zaufanie jest niezbędne. Ma ono krytyczne znaczenie podczas udostępniania danych w obrębie ekosystemu organizacji opieki zdrowotnej i dotyczy tego, jak i gdzie specjaliści opieki zdrowotnej oraz pacjenci uzyskują dostęp do informacji poufnych.

Niezależnie więc o tego, na jakim etapie procesu przechodzenia do chmury się znajdujesz, musisz współpracować z dostawcą usług, któremu możesz zaufać. Musisz mieć pewność, że te informacje poufne są chronione i że są przechowywane i zarządzane bezpiecznie i zgodnie z przepisami prawa, a także że jest chroniona ich prywatność.

Kompleksowe podejście firmy Microsoft ma na celu zbudowanie tego zaufania dzięki zapewnieniu zaawansowanych zabezpieczeń, zgodności z obowiązującymi wymogami prawnymi, w tym w ramach umów BAA (Business Associate Agreement) zgodnych z umową HIPAA, dla usług w chmurze dla firm, oraz ochrony prywatności chronionych informacji medycznych i innych danych.

A medical professional reviewing X-rays on a desktop monitor with another person sitting across from them.

Przyspiesz wdrażanie rozwiązań do zapewniania zgodności z wymogami HIPAA/HITRUST na platformie Azure

Uzyskaj narzędzia i wskazówki, aby już dziś stworzyć rozwiązania zgodne z wymogami HIPAA/HITRUST. Wykorzystaj zalety chmury dla rozwiązań do obsługi danych medycznych dzięki strategii zabezpieczeń i zgodności z przepisami platformy Azure w zakresie danych medycznych i funkcji sztucznej inteligencji spełniających wymogi HIPAA/HITRUST.

Usługa Office 365 zdobyła certyfikat HITRUST CSF

Usługa Office 365 uzyskała certyfikat HITRUST od organizacji Health Information Trust (HITRUST). Wspólna platforma zabezpieczeń HITRUST ułatwia organizacjom ochrony zdrowia zarządzanie zabezpieczeniami i ryzykiem.

Medical professional wearing scrubs and smiling.

Firma Microsoft priorytetowo traktuje zabezpieczenia w usługach w chmurze

Organizacje ochrony zdrowia mogą być narażone na naruszenia danych i cyberataki. Hakerzy włamują się nie tylko do sieci informatycznych w organizacjach opieki zdrowotnej, ale także do ich urządzeń w punktach sprzedaży, takich jak kasy fiskalne, urządzeń medycznych, w tym rozruszników serca, aplikacji medycznych, na przykład oferujących wirtualną opiekę zdrowotną, a także do urządzeń przenośnych, zarówno służbowych, jak i osobistych. Według opracowanego przez firmę Verizon raportu dotyczącego naruszeń danych w zakresie chronionych informacji medycznych za 2015 r. 1 400 organizacji opieki zdrowotnej, zarówno dużych, jak i małych, doświadczyło naruszeń chronionych informacji medycznych, w których wyciekło ponad 157 milionów rekordów dokumentacji medycznej. Naruszenia te nie były tylko wynikiem działalności przestępczej, ale także były związane z nieodpowiednią ochroną danych i nieprawidłowym korzystaniem z nich przez część pracowników sektora opieki zdrowotnej.

Usługi w chmurze dla firm i komercyjna pomoc techniczna firmy Microsoft są projektowane, opracowywane i obsługiwane w sposób zapewniający wysoki poziom bezpieczeństwa Twoich danych i wszystkich urządzeń uzyskujących do nich dostęp. Główną zasadą strategii bezpieczeństwa w firmie Microsoft jest przyjęcie założenia, że dochodzi do naruszeń w naszych systemach i należy skrócić czas między momentem naruszenia i jego wykryciem. Nasz globalny zespół reagowania na zdarzenia zabezpieczeń działa całodobowo, aby korygować skutki wszystkich ataków wymierzonych w platformę Microsoft Cloud.

Nasze systemy i oprogramowanie ułatwiają ochronę Twoich danych dzięki silnym mechanizmom kontroli zabezpieczeń połączonym z szeregiem różnych technologii zapewniających Twojej organizacji ochronę przed pojawiającymi się cyberzagrożeniami oraz ułatwiających zarządzanie pracownikami mobilnymi i zapewnianie zgodności z przepisami wprowadzanymi przez rządy.

|

Warstwy nowoczesnej technologii antyspamowej, takie jak funkcja Microsoft Antimalware, ułatwiają identyfikowanie i usuwanie spamu, wirusów i innego złośliwego oprogramowania, zarówno znanego, jak i nieznanego. Monitorujemy serwery, sieci i aplikacje, aby wykrywać naruszenia i zapobiegać atakom, a także stale wzmacniamy zabezpieczenia. W przypadku ataku nasze systemy są gotowe do obrony sieci i jej szybkiego odzyskania.

 

Dowiedz się więcej

Niezależnie od tego, gdzie są przechowywane Twoje dane — na serwerze lokalnym, w chmurze publicznej czy na urządzeniach przenośnych — pomagamy zagwarantować, że osoby uzyskujące dostęp do Twojej sieci są tymi, za które się podają, ich dostęp do danych jest kontrolowany i tylko osoby autoryzowane mogą wyświetlać chronione informacje medyczne.

 

Dowiedz się więcej

Dane zaszyfrowane nie mogą zostać odczytane przez nikogo, kto nie ma klucza do odszyfrowania. Firma Microsoft używa bezpiecznych protokołów transportu zgodnych ze standardami branżowymi do szyfrowania danych podczas ich przesyłania między urządzeniami i centrami danych Microsoft lub w obrębie tych centrów danych. Aby chronić dane w spoczynku, firma Microsoft oferuje szereg wbudowanych funkcji szyfrowania.

 

Dowiedz się więcej

Produkty i usługi w chmurze firmy Microsoft dla firm podlegają audytom, przeprowadzanym przez niezależnych zewnętrznych audytorów, pod kątem zgodności ze standardami branżowymi, takimi jak ISO/IEC 27001 i ISO/IEC 27018. Ponadto zapewniamy zgodność z ustawą HIPAA/HITECH, a także ze standardami MARS-E (Minimum Acceptable Risk Standards for Exchanges, standardy minimalnego akceptowalnego ryzyka dla giełd ubezpieczeń zdrowotnych).

Ustawa HIPAA/HITECH to przepisy obowiązujące w sektorze opieki zdrowotnej w Stanach Zjednoczonych, które wyznaczają wymagania dotyczące używania, ujawniania i ochrony informacji medycznych umożliwiających identyfikację osób. Przepisy te wymagają od organizacji opieki zdrowotnej zawierania umów z dostawcami usług, takimi jak firma Microsoft, którzy mają dostęp do chronionych informacji medycznych pacjentów i je przetwarzają. Te umowy Business Associate Agreement (BAA) ustalają i ograniczają sposób obsługi chronionych informacji medycznych przez dostawców usług i wymagają, aby obie strony umowy przestrzegały wymogów dotyczących zabezpieczeń i ochrony prywatności wyznaczonych w tych ustawach.

 

Firma Microsoft wdrożyła fizyczne, techniczne i administracyjne mechanizmy ochrony wymagane przez umowę HIPAA pod kątem naszej roli jako strony umowy BAA, a także zapewnia zgodność z ustawą HITECH, która wymaga powiadamiania osób indywidualnych i odpowiednich instytucji rządowych o naruszeniach chronionych informacji medycznych. Mimo że obecnie nie istnieje żaden oficjalny certyfikat zgodności z tymi przepisami, usługi firmy Microsoft świadczone na podstawie umów BAA zostały poddane audytom przeprowadzonym przez uprawnione niezależne podmioty. Na przykład zakres naszego audytu pod kątem zgodności ze standardem ISO/IEC 27001 uwzględnia mechanizmy kontroli w obszarze rozwiązań w zakresie zabezpieczeń wymaganych przez ustawę HIPAA.

 

W ramach umowy BAA firmy Microsoft dotyczącej zgodności z ustawą HIPAA oferujemy wyższy poziom zgodności usług niż którykolwiek inny dostawca usług w chmurze. W ramach platformy Microsoft Azure oraz usług Microsoft Dynamics 365, Microsoft Intune, Microsoft Office 365 i Microsoft Power BI oferujemy kompleksowe i zintegrowane rozwiązania obejmujące narzędzia biurowe i funkcje współpracy, zarządzania relacjami z pacjentami, analizy, hosting aplikacji, magazyn danych oraz zarządzanie aplikacjami i urządzeniami.

 

Oferując umowę BAA, firma Microsoft ułatwia zapewnianie zgodności z ustawą HIPAA, mimo że ostateczną odpowiedzialność za zgodność określonego korzystania z usług firmy Microsoft z ustawą HIPAA/HITECH ponosi Twoja organizacja. Z tego względu oferujemy zasoby, takie jak Wskazówki dotyczące wdrażania ustawy HIPAA/HITECH dla platformy Azure oraz usług Dynamics 365 i Office 365, a także Praktyczny przewodnik po projektowaniu bezpiecznych rozwiązań dla sektora opieki zdrowotnej przy użyciu platformy Microsoft Azure.

Organizacja CMS (Center for Medicare and Medicaid Services) opublikowała standardy MARS-E (Minimum Acceptable Risk Standards for Exchanges), które stanowią podstawę dla takich kwestii, jak poufność, integralność i dostępność danych chronionych na giełdach ubezpieczeń zdrowotnych. Standard MARS-E 2.0 wyznacza zasady zabezpieczania tych chronionych danych i obowiązuje dla wszystkich podmiotów ze Stanów Zjednoczonych działających na podstawie ustawy US Affordable Care Act, w tym giełd i rynków ubezpieczeń zdrowotnych.

 

Mimo że obecnie nie ma formalnego procesu autoryzacji i akredytacji pod kątem zgodności ze standardem MARS-E, usługi platformy Azure przeszły niezależne audyty programu FedRAMP i są autoryzowane zgodnie z jego standardami. Chociaż te standardy nie skupiają się konkretnie na wymogach MARS-E, wymagania i cele w zakresie mechanizmów kontroli MARS-E są do nich zbliżone i zapewniają gwarancję, że platforma Azure odpowiednio ułatwia ochronę poufności, integralności i dostępności danych.

Nasze sprawdzone w praktyce podejście do prywatności jest oparte na standardzie ochrony prywatności firmy Microsoft i procesie Microsoft Security Development Lifecycle. Audyty i certyfikaty od niezależnych podmiotów weryfikują nasze rygorystyczne standardy techniczne tworzenia rozwiązań i zapewniają systematyczne wdrażanie mechanizmów ochrony prywatności i danych. Firma Microsoft była na przykład pierwszym dużym dostawcą usług w chmurze, który wdrożył zgodność z międzynarodowym standardem prywatności chmury ISO/IEC 27018. Ponadto łączymy te mechanizmy ochrony z silnymi gwarancjami umownymi.

 

Zapewniamy Ci także kontrolę nad gromadzeniem, używaniem i rozpowszechnianiem Twoich danych:

  • Używamy danych Twoich klientów wyłącznie w celu świadczenia usług na postawie Twojej umowy z nami. Nie przeszukujemy tych danych w celach marketingowych ani nie traktujemy ich jako produktu do sprzedaży innym podmiotom.
  • Znasz miejsce przechowywania danych Twoich klientów w naszych centrach danych na całym świecie. Wiesz, kto i w jakich okolicznościach może uzyskać do nich dostęp. Znasz sposób ochrony, przesyłania i usuwania tych danych.
  • Gdy dane od wielu klientów są przechowywane we wspólnej lokalizacji fizycznej, stosujemy izolację logiczną, aby oddzielić od siebie dane w usługach w chmurze poszczególnych klientów.

Dodatkowe zasoby

Rozwiązania firmy Microsoft dla przedsiębiorstw z sektora opieki zdrowotnej

Ochrona danych i prywatności w chmurze

MARS-E (Minimum Acceptable Risk Standards for Exchanges, standardy minimalnego akceptowalnego ryzyka dla giełd ubezpieczeń zdrowotnych)

Federal Risk and Authorization Management Program (FedRAMP)


Zasoby dotyczące wymogów HIPAA/HITECH

Ustawa HIPAA/HITECH

Praktyczny przewodnik po projektowaniu bezpiecznych rozwiązań dla sektora opieki zdrowotnej przy użyciu platformy Azure


Wskazówki dotyczące wdrażania ustawy HIPAA/HITECH

Wskazówki dotyczące wdrażania ustawy HIPAA/HITECH dla platformy Azure

Wskazówki dotyczące wdrażania ustawy HIPAA/HITECH dla usług Dynamics 365 i Office 365