Organizações de saúde e serviços de nuvem de negócios da Microsoft

Obtenha a segurança, conformidade e privacidade de informações de saúde protegidas nos serviços de nuvem de negócios da Microsoft.

Two medical professionals in white coats talking as they look at something in front of them that doesn’t appear in the frame

Obtenha a segurança, conformidade e privacidade de informações de saúde protegidas nos serviços de nuvem de negócios da Microsoft

A Microsoft entende que, quando você, nosso cliente, usa nossos serviços de nuvem, está confiando seu ativo mais valioso e insubstituível — seus dados.

A confiança é essencial à medida que você move aplicativos clínicos e conjuntos de dados que contêm informações de saúde protegidas (PHI), incluindo informações demográficas e de tratamento de pacientes, para a nuvem pública. É fundamental que você compartilhe dados em todo o ecossistema de saúde e expanda como e onde profissionais e pacientes de saúde acessam informações confidenciais.

Portanto, onde quer que você esteja em sua jornada para a nuvem, é vital trabalhar com um provedor de serviços em que possa confiar. Você deve confiar que as informações confidenciais são protegidas, mantidas e gerenciadas com segurança e em conformidade com regulamentos e leis e que sua privacidade está protegida.

A abordagem holística da Microsoft foi projetada para criar essa confiança, com a adoção de uma abordagem de defesa profunda à segurança, cumprindo os requisitos regulatórios aplicáveis, incluindo a oferta de um BAA (HIPAA Business Associate Agreement) para seus serviços de nuvem de negócios e ajudando a proteger a privacidade das PHI e de outros dados.

A medical professional reviewing X-rays on a desktop monitor with another person sitting across from them.

Acelere a implantação de soluções da HIPAA/HITRUST no Azure

Obtenha as ferramentas e as orientações para criar soluções da HIPAA/HITRUST hoje mesmo. Aproveite os benefícios da nuvem para soluções de dados de integridade com o Blueprint de Segurança e Conformidade do Azure — Dados de integridade e IA da HIPAA/HITRUST.

Comece a usar o Blueprint da HIPAA/HITRUST do Azure

O Office 365 recebe a certificação HITRUST CSF

O Office 365 recebeu a certificação HITRUST da Aliança do Health Information Trust (HITRUST). O Esquema de Segurança Comum HITRUST ajuda as organizações de saúde a lidar com a segurança e o gerenciamento de riscos.

Leia o blog

Saiba mais

Medical professional wearing scrubs and smiling.

A Microsoft adota uma abordagem de defesa profunda da segurança em seus serviços de nuvem

As organizações de saúde podem estar vulneráveis a violações de dados e ataques cibernéticos. Os infratores visam não apenas as redes de saúde, mas também os dispositivos de ponto de venda, como caixas registradoras, dispositivos médicos como marca-passos, aplicativos médicos como os que oferecem assistência médica virtual e dispositivos móveis em proliferação, tanto médicos quanto pessoais. De acordo com o Relatório de Violação de Dados de Informações de Saúde Protegidas da Verizon de 2015, 1.400 organizações de saúde, grandes e pequenas, sofreram violações dos dados de PHI que expuseram mais de 157 milhões de registros médicos. Isso resultou não apenas de atividade criminosa, mas também da proteção inadequada dos dados e do uso indevido por parte dos próprios funcionários de saúde.

Os serviços de nuvem de negócios da Microsoft e o suporte comercial são projetados, desenvolvidos e operados para ajudar a garantir que seus dados e todos os dispositivos que os acessam sejam altamente seguros. O princípio orientador da estratégia de segurança da Microsoft é assumir violações de nossos sistemas e reduzir o tempo entre qualquer comprometimento e sua detecção. Nossa equipe global de resposta a incidentes trabalha o tempo todo para mitigar os efeitos de qualquer ataque contra o Microsoft Cloud.

Nossos sistemas e software ajudam a proteger seus dados com fortes controles de segurança, juntamente com um portfólio de tecnologias para ajudar a preparar sua organização contra ameaças cibernéticas emergentes, gerenciar uma força de trabalho móvel e cumprir as regulamentações governamentais.

Camadas de tecnologia antispam atualizada, como o Microsoft Antimalware, ajudam a identificar e remover spam, vírus e outros softwares maliciosos, conhecidos e desconhecidos. Monitoramos servidores, redes e aplicativos para detectar invasões e impedir ataques e fortalecemos constantemente essas defesas. E, no caso de um ataque, existem sistemas para defender a rede e buscar uma rápida recuperação.

Saiba mais

Não importa onde seus dados estejam — em um servidor local, na nuvem pública ou em dispositivos portáteis — ajudamos você a garantir que aqueles que acessam sua rede sejam quem eles dizem que são, que o acesso aos dados seja controlado e que somente pessoas autorizadas a visualizar PHI possam fazer isso.

Saiba mais

A criptografia de dados é ilegível para quem não possui a chave de descriptografia. A Microsoft usa protocolos de transporte seguro padrão do setor para criptografar dados à medida que eles trafegam entre dispositivos e datacenters da Microsoft ou se movem dentro dos datacenters. Para proteger os dados em repouso, a Microsoft oferece vários recursos de criptografia integrados.

Saiba mais

Os produtos de negócios e serviços de nuvem da Microsoft são auditados por auditores externos independentes, de acordo com os padrões do setor, como ISO/IEC 27001 e ISO/IEC 27018. Além disso, apoiamos a HIPAA e a Lei HITECH, bem como os Padrões de Risco Mínimo Aceitável para Trocas (MARS-E).

HIPAA e Lei HITECH são leis de saúde dos EUA que estabelecem requisitos para o uso, divulgação e proteção de informações de saúde de identificação individual. Essas leis exigem que as organizações de saúde celebrem contratos com provedores de serviços, como a Microsoft, que têm acesso e processam as PHI dos pacientes. Esses contratos, ou BAA (Business Associate Agreements), esclarecem e limitam como o serviço em nuvem lida com as PHI e estabelecem a adesão de cada parte às disposições de segurança e privacidade nessas leis.

A Microsoft implementou salvaguardas físicas, técnicas e administrativas exigidas pela HIPAA para apoiar nossa função como associado comercial e está em conformidade com a Lei HITECH, que exige notificar as pessoas e o governo quando ocorrer uma violação das PHI. Embora atualmente não exista uma certificação oficial para conformidade com essas leis, os serviços da Microsoft cobertos pelos BAA foram submetidos a auditorias de terceiros independentes credenciados. Por exemplo, nosso escopo de auditoria ISO/IEC 27001 inclui controles que abordam as práticas de segurança da HIPAA.

Sob o BAA da HIPAA da Microsoft, oferecemos mais serviços cobertos do que qualquer outro provedor de nuvem. Por meio do Microsoft Azure, Microsoft Dynamics 365, Microsoft Intune, Microsoft Office 365 e Microsoft Power BI, oferecemos soluções abrangentes e integradas que incluem produtividade e colaboração, gerenciamento de relacionamento com pacientes, análises, hospedagem de aplicativos, armazenamento de dados e gerenciamento de aplicativos e dispositivos.

Ao oferecer um BAA, a Microsoft ajuda a dar suporte à sua conformidade com a HIPAA, embora sua organização seja responsável por garantir que o uso específico dos serviços da Microsoft esteja alinhado com a HIPAA e a Lei HITECH. Para isso, oferecemos recursos como Diretrizes de implementação da HIPAA/HITECH para Azure e para Dynamics 365 e Office 365 e Um guia prático para criar soluções de saúde seguras usando o Microsoft Azure.

O Centro de Serviços Medicare e Medicaid (CMS) publicou os Padrões de Risco Mínimo Aceitável para Trocas (MARS-E), que incluem uma estrutura para tratar da confidencialidade, integridade e disponibilidade nas trocas de dados protegidos da área de saúde. O esquema MARS-E 2.0 fornece informações destinadas a salvaguardar esses dados protegidos e se aplica a todas as entidades administradoras da Lei de Proteção e Cuidado ao Paciente dos EUA, incluindo trocas ou mercados.

Embora atualmente não exista um processo formal de autorização e credenciamento para o MARS-E, os serviços da plataforma Azure foram submetidos a auditorias independentes FedRAMP e são autorizados de acordo com seus padrões. Embora esses padrões não se concentrem especificamente no MARS-E, os requisitos e objetivos de controle do MARS-E estão estreitamente alinhados e garantem que o Azure ajude adequadamente a proteger a confidencialidade, a integridade e a disponibilidade dos dados.

Nossa abordagem de privacidade com eficácia comprovada está fundamentada no Microsoft Privacy Standard e no Microsoft Security Development Lifecycle. Auditorias e certificações de terceiros validam nossos rigorosos padrões de desenvolvimento técnico e ajudam a garantir que a privacidade e a proteção de dados sejam sistematicamente implementadas. Por exemplo, a Microsoft foi o primeiro grande provedor de nuvem a incorporar o primeiro código de prática internacional para privacidade na nuvem, ISO/IEC 27018. Também apoiamos essas proteções com sólidos compromissos contratuais.

Por fim, oferecemos controle sobre a coleta, o uso e a distribuição de seus dados:

Usamos os dados de seus clientes apenas para fornecer os serviços combinados. Não os examinamos para fins de marketing, nem os tratamos como um produto para vender a terceiros.
Você sabe onde os dados de seus clientes são armazenados em nossos datacenters em todo o mundo. Você sabe quem pode acessá-los e sob quais circunstâncias e como eles são protegidos, transferidos e excluídos com responsabilidade.
Quando os dados de muitos clientes são armazenados em um local físico compartilhado, usamos o isolamento lógico para separar os dados de serviços de nuvem de cada cliente de outros.