Organizações de saúde e serviços de nuvem de negócios da Microsoft

Acelere a implantação de soluções da HIPAA/HITRUST no Azure
O Office 365 recebe a certificação HITRUST CSF

A Microsoft adota uma abordagem de defesa profunda da segurança em seus serviços de nuvem
As organizações de saúde podem estar vulneráveis a violações de dados e ataques cibernéticos. Os infratores visam não apenas as redes de saúde, mas também os dispositivos de ponto de venda, como caixas registradoras, dispositivos médicos como marca-passos, aplicativos médicos como os que oferecem assistência médica virtual e dispositivos móveis em proliferação, tanto médicos quanto pessoais. De acordo com o Relatório de Violação de Dados de Informações de Saúde Protegidas da Verizon de 2015, 1.400 organizações de saúde, grandes e pequenas, sofreram violações dos dados de PHI que expuseram mais de 157 milhões de registros médicos. Isso resultou não apenas de atividade criminosa, mas também da proteção inadequada dos dados e do uso indevido por parte dos próprios funcionários de saúde.
Os serviços de nuvem de negócios da Microsoft e o suporte comercial são projetados, desenvolvidos e operados para ajudar a garantir que seus dados e todos os dispositivos que os acessam sejam altamente seguros. O princípio orientador da estratégia de segurança da Microsoft é assumir violações de nossos sistemas e reduzir o tempo entre qualquer comprometimento e sua detecção. Nossa equipe global de resposta a incidentes trabalha o tempo todo para mitigar os efeitos de qualquer ataque contra o Microsoft Cloud.
Nossos sistemas e software ajudam a proteger seus dados com fortes controles de segurança, juntamente com um portfólio de tecnologias para ajudar a preparar sua organização contra ameaças cibernéticas emergentes, gerenciar uma força de trabalho móvel e cumprir as regulamentações governamentais.
Camadas de tecnologia antispam atualizada, como o Microsoft Antimalware, ajudam a identificar e remover spam, vírus e outros softwares maliciosos, conhecidos e desconhecidos. Monitoramos servidores, redes e aplicativos para detectar invasões e impedir ataques e fortalecemos constantemente essas defesas. E, no caso de um ataque, existem sistemas para defender a rede e buscar uma rápida recuperação.
Não importa onde seus dados estejam — em um servidor local, na nuvem pública ou em dispositivos portáteis — ajudamos você a garantir que aqueles que acessam sua rede sejam quem eles dizem que são, que o acesso aos dados seja controlado e que somente pessoas autorizadas a visualizar PHI possam fazer isso.
A criptografia de dados é ilegível para quem não possui a chave de descriptografia. A Microsoft usa protocolos de transporte seguro padrão do setor para criptografar dados à medida que eles trafegam entre dispositivos e datacenters da Microsoft ou se movem dentro dos datacenters. Para proteger os dados em repouso, a Microsoft oferece vários recursos de criptografia integrados.
Os produtos de negócios e serviços de nuvem da Microsoft são auditados por auditores externos independentes, de acordo com os padrões do setor, como ISO/IEC 27001 e ISO/IEC 27018. Além disso, apoiamos a HIPAA e a Lei HITECH, bem como os Padrões de Risco Mínimo Aceitável para Trocas (MARS-E).
HIPAA e Lei HITECH são leis de saúde dos EUA que estabelecem requisitos para o uso, divulgação e proteção de informações de saúde de identificação individual. Essas leis exigem que as organizações de saúde celebrem contratos com provedores de serviços, como a Microsoft, que têm acesso e processam as PHI dos pacientes. Esses contratos, ou BAA (Business Associate Agreements), esclarecem e limitam como o serviço em nuvem lida com as PHI e estabelecem a adesão de cada parte às disposições de segurança e privacidade nessas leis.
A Microsoft implementou salvaguardas físicas, técnicas e administrativas exigidas pela HIPAA para apoiar nossa função como associado comercial e está em conformidade com a Lei HITECH, que exige notificar as pessoas e o governo quando ocorrer uma violação das PHI. Embora atualmente não exista uma certificação oficial para conformidade com essas leis, os serviços da Microsoft cobertos pelos BAA foram submetidos a auditorias de terceiros independentes credenciados. Por exemplo, nosso escopo de auditoria ISO/IEC 27001 inclui controles que abordam as práticas de segurança da HIPAA.
Sob o BAA da HIPAA da Microsoft, oferecemos mais serviços cobertos do que qualquer outro provedor de nuvem. Por meio do Microsoft Azure, Microsoft Dynamics 365, Microsoft Intune, Microsoft Office 365 e Microsoft Power BI, oferecemos soluções abrangentes e integradas que incluem produtividade e colaboração, gerenciamento de relacionamento com pacientes, análises, hospedagem de aplicativos, armazenamento de dados e gerenciamento de aplicativos e dispositivos.
Ao oferecer um BAA, a Microsoft ajuda a dar suporte à sua conformidade com a HIPAA, embora sua organização seja responsável por garantir que o uso específico dos serviços da Microsoft esteja alinhado com a HIPAA e a Lei HITECH. Para isso, oferecemos recursos como Diretrizes de implementação da HIPAA/HITECH para Azure e para Dynamics 365 e Office 365 e Um guia prático para criar soluções de saúde seguras usando o Microsoft Azure.
O Centro de Serviços Medicare e Medicaid (CMS) publicou os Padrões de Risco Mínimo Aceitável para Trocas (MARS-E), que incluem uma estrutura para tratar da confidencialidade, integridade e disponibilidade nas trocas de dados protegidos da área de saúde. O esquema MARS-E 2.0 fornece informações destinadas a salvaguardar esses dados protegidos e se aplica a todas as entidades administradoras da Lei de Proteção e Cuidado ao Paciente dos EUA, incluindo trocas ou mercados.
Embora atualmente não exista um processo formal de autorização e credenciamento para o MARS-E, os serviços da plataforma Azure foram submetidos a auditorias independentes FedRAMP e são autorizados de acordo com seus padrões. Embora esses padrões não se concentrem especificamente no MARS-E, os requisitos e objetivos de controle do MARS-E estão estreitamente alinhados e garantem que o Azure ajude adequadamente a proteger a confidencialidade, a integridade e a disponibilidade dos dados.
Nossa abordagem de privacidade com eficácia comprovada está fundamentada no Microsoft Privacy Standard e no Microsoft Security Development Lifecycle. Auditorias e certificações de terceiros validam nossos rigorosos padrões de desenvolvimento técnico e ajudam a garantir que a privacidade e a proteção de dados sejam sistematicamente implementadas. Por exemplo, a Microsoft foi o primeiro grande provedor de nuvem a incorporar o primeiro código de prática internacional para privacidade na nuvem, ISO/IEC 27018. Também apoiamos essas proteções com sólidos compromissos contratuais.
Por fim, oferecemos controle sobre a coleta, o uso e a distribuição de seus dados:
- Usamos os dados de seus clientes apenas para fornecer os serviços combinados. Não os examinamos para fins de marketing, nem os tratamos como um produto para vender a terceiros.
- Você sabe onde os dados de seus clientes são armazenados em nossos datacenters em todo o mundo. Você sabe quem pode acessá-los e sob quais circunstâncias e como eles são protegidos, transferidos e excluídos com responsabilidade.
- Quando os dados de muitos clientes são armazenados em um local físico compartilhado, usamos o isolamento lógico para separar os dados de serviços de nuvem de cada cliente de outros.