Organizações de cuidados de saúde e serviços empresariais na nuvem da Microsoft

Obtenha segurança, conformidade, privacidade e proteção das informações de cuidados de saúde com os serviços empresariais na nuvem da Microsoft.

Two medical professionals in white coats talking as they look at something in front of them that doesn’t appear in the frame

Obtenha a segurança, conformidade, privacidade e proteção das informações de cuidados de saúde com os serviços empresariais na nuvem da Microsoft

A Microsoft compreende que, ao utilizar os nossos serviços na nuvem, está a confiar-nos recursos valiosos e insubstituíveis: os seus dados.

A confiança é fundamental na migração de aplicações e conjuntos de dados clínicos com informações de cuidados de saúde protegidas (PHI), incluindo informações demográficas e sobre o tratamento de pacientes, para a nuvem pública. Essa confiança é essencial para a partilha de dados no ecossistema de cuidados de saúde e na expansão do acesso a informações confidenciais por parte dos pacientes e dos profissionais de saúde.

Independente da fase em que se encontre na sua jornada em direção à nuvem, é crucial trabalhar com um fornecedor de serviços de confiança. Tem de confiar que a privacidade e as informações confidenciais são protegidas, armazenadas e geridas de forma segura e em conformidade com as leis e regulamentos aplicáveis.

A abordagem holística da Microsoft tem como objetivo criar essa confiança ao conceber medidas de defesa avançada, estar em conformidade com os requisitos regulamentares aplicáveis, incluindo a disponibilização de um Contrato de Associados (BAA) HIPAA para os respetivos serviços empresariais na nuvem, e ajudar a proteger a privacidade das informações de saúde protegidas e outros dados.

A medical professional reviewing X-rays on a desktop monitor with another person sitting across from them.

Acelere a implementação de soluções HIPAA/HITRUST no Azure

Obtenha as ferramentas e orientação necessárias para começar já a criar soluções HIPAA/HITRUST. Aproveite as vantagens das soluções de dados de cuidados de saúde na nuvem com o Esquema de Segurança e Conformidade do Azure – IA e Dados de Cuidados de Saúde HIPAA/HITRUST.

O Office 365 Obtém a Certificação HITRUST CSF

O Office 365 obteve a Certificação HITRUST da Health Information Trust Alliance (HITRUST). O Common Security Framework (Quadro de Segurança Comum) da HITRUST ajuda as organizações de cuidados de saúde a abordar a gestão de riscos e segurança.

Medical professional wearing scrubs and smiling.

A Microsoft adota uma abordagem de defesa avançada nos serviços na nuvem

As organizações de cuidados de saúde podem ficar vulneráveis a falhas de segurança de dados e a ciberataques. As pessoas maliciosas não têm como alvo apenas as redes de cuidados de saúde, mas também os dispositivos de pontos de venda (como as caixas registadoras), os dispositivos médicos (como os pacemakers), as aplicações médicas (por exemplo, as que oferecem cuidados de saúde virtuais) e os dispositivos móveis, tanto médicos como pessoais. Segundo o Verizon Protected Health Information Data Breach Report for 2015 (Relatório de Falhas de Segurança de Informações de Dados Protegidos de Cuidados de Saúde da Verizon de 2015), 1400 pequenas e grandes organizações de cuidados de saúde registaram falhas de segurança de dados de informações de saúde protegidas que deixaram mais de 157 milhões de registos médicos desprotegidos. Essas falhas foram o resultado de atividades criminosas, mas também de uma proteção inadequada e de uma má utilização dos dados por parte dos próprios profissionais de saúde.

Os serviços empresariais na nuvem e suporte comercial da Microsoft são concebidos, desenvolvidos e utilizados para garantir que os seus dados e os dispositivos com acesso aos mesmos recebem uma proteção avançada. O princípio fundamental da estratégia de segurança na Microsoft é assumir as falhas de segurança nos nossos sistemas e reduzir o tempo entre essas falhas e a respetiva deteção. A nossa equipa global de resposta a incidentes trabalha de forma constante, de modo a mitigar os efeitos de ataques ao Microsoft Cloud.

O nosso sistema e o nosso software ajudam a proteger os seus dados com controlos de segurança avançados, juntamente com um conjunto de tecnologias que ajudam a proteger a sua organização de ciberameaças emergentes, gerir uma equipa de trabalhadores itinerantes e cumprir os regulamentos governamentais.

|

As várias camadas de tecnologia atualizada anti-spam, como o Microsoft Antimalware, ajudam a identificar e remover spam, vírus e outros softwares maliciosos conhecidos e desconhecidos. Monitorizamos servidores, redes e aplicações para detetar intrusões e impedir ataques. Trabalhamos constantemente para reforçar estas defesas. Na eventualidade de um ataque, os sistemas implementados podem defender a rede e recuperar rapidamente.

 

Saiba mais

Onde quer que os seus dados estejam armazenados (num servidor local, na nuvem pública ou em dispositivos portáteis), podemos ajudá-lo a garantir que as pessoas com acesso à sua rede são quem dizem ser, que o respetivo acesso aos dados é controlado e que apenas as pessoas autorizadas veem as informações de saúde protegidas.

 

Saiba mais

A Encriptação de Dados não pode ser lida por pessoas que não tenham a chave de desencriptação. A Microsoft utiliza protocolos de transporte seguro da indústria para encriptar dados enquanto estes são movidos entre dispositivos e datacenters da Microsoft ou entre datacenters. Para proteger os dados inativos, a Microsoft disponibiliza várias funcionalidades de encriptação incorporadas.

 

Saiba mais

Os produtos e serviços empresariais na nuvem da Microsoft são auditados por profissionais externos independentes, em conformidade com as normas da indústria, como a ISO/IEC 27001 e a ISO/IEC 27018. Além disso, apoiamos as Leis HIPAA e HITECH, bem como as Minimum Acceptable Risk Standards for Exchanges (MARS-E) (Normas de Risco Mínimo Aceitável para Trocas).

As Leis HIPAA e HITECH são leis de cuidados de saúde dos Estados Unidos que estabelecem requisitos de utilização, divulgação e proteção de informações de cuidados de saúde individualmente identificáveis. Estas leis exigem que as organizações de cuidados de saúde firmem contratos com fornecedores de serviços, como a Microsoft, que tenham acesso e processem as informações de saúde protegidas dos pacientes. Esses contratos (ou Contratos de Associados [BAA]) clarificam e estabelecem limites para o tratamento das informações de saúde protegidas por parte dos serviços na nuvem. Além disso, estabelecem o acordo entre as partes de fazer cumprir as disposições de segurança e privacidade das leis.

 

A Microsoft implementou as proteções físicas, técnicas e administrativas exigidas pela HIPAA, de modo a reforçar o respetivo papel de associado. Além disso, está em conformidade com a Lei HITECH, a qual exige que os indivíduos afetados e o governo sejam previamente avisados caso ocorra uma falha de segurança de informações de saúde protegidas. Embora não exista atualmente uma certificação oficial de conformidade com estas leis, os serviços Microsoft abrangidos pelo BAA foram alvo de auditorias por terceiros independentes certificados. Por exemplo, o âmbito das nossas auditorias da norma ISO/IEC 27001 inclui controlos que abordam as práticas de segurança HIPAA.

 

Ao abrigo do BAA Microsoft HIPAA, disponibilizamos mais serviços abrangidos do que qualquer outro fornecedor de serviços na nuvem. Através do Microsoft Azure, Microsoft Dynamics 365, Microsoft Intune, Microsoft Office 365 e Microsoft Power BI, fornecemos soluções completas e integradas que abrangem a produtividade e a colaboração, a gestão da relação com os pacientes, análises, o alojamento de aplicações, o armazenamento de dados e a gestão de aplicações e dispositivos.

 

Ao disponibilizar um BAA, a Microsoft ajuda-o a manter a conformidade com a HIPAA, embora a sua organização seja responsável por garantir que a utilização dos serviços Microsoft está em conformidade com as Leis HIPAA e HITECH. Para tal, fornecemos recursos, como os documentos Orientação para a Implementação das Leis HIPAA/HITECH para o Azure, Dynamics 365 e Office 365, bem como o Guia prático de criação de soluções de cuidados de saúde com o Microsoft Azure.

O Center for Medicare and Medicaid Services (CMS) publicou as Minimum Acceptable Risk Standards for Exchanges (MARS-E) (Normas de Risco Mínimo Aceitável para Trocas), que incluem um quadro de medidas que abordam a confidencialidade, a integridade e a disponibilidade de trocas de dados protegidos de cuidados de saúde. A estrutura das MARS-E 2.0 fornece informações destinadas a proteger estes dados e aplica-se a todas as entidades administradoras da Lei de Acessibilidade de Cuidados de Saúde dos EUA, incluindo trocas e mercados.

 

Embora não exista atualmente um processo formal de autorização e certificação para as MARS-E, os serviços da plataforma do Azure foram alvo de auditorias do programa FedRAMP e encontram-se autorizados em conformidade com as respetivas normas. Embora estas normas não se foquem especificamente nas MARS-E, os requisitos e os objetivos de controlo das mesmas estão ligados e oferecem garantias de que o Azure ajuda a proteger de forma adequada a confidencialidade, a integridade e a disponibilidade dos dados.

A nossa abordagem à privacidade testada ao longo do tempo é baseada na Norma de Privacidade da Microsoft e no Ciclo de Vida de Desenvolvimento Centrado na Segurança da Microsoft. As auditorias e certificações de terceiros validam as nossas normas rigorosas de desenvolvimento técnico e ajudam a garantir que as proteções de dados e privacidade são sistematicamente implementadas. Por exemplo, a Microsoft foi o primeiro grande fornecedor de serviços na nuvem a incorporar o primeiro código internacional de conduta para a privacidade na nuvem, a norma ISO/IEC 27018. Também reforçamos essas proteções com compromissos contratuais vinculativos.

 

Damos-lhe o controlo sobre a recolha, utilização e distribuição dos seus dados:

  • Utilizamos os seus dados de cliente apenas para fornecer os serviços contratualizados. Não os analisamos para fins comerciais nem os vemos como produtos para venda a terceiros.
  • Sabe onde os seus dados de cliente estão armazenados, nos nossos datacenters por todo o mundo. Sabe quem pode aceder aos mesmos e sob que circunstâncias. Além disso, sabe que são protegidos, transferidos e eliminados de forma responsável.
  • Quando os dados de muitos clientes são armazenados numa localização física partilhada, utilizamos o isolamento lógico para separar os dados dos serviços na nuvem de cada cliente.

Recursos adicionais

Soluções empresariais de cuidados de saúde da Microsoft

Proteger os dados e a privacidade na nuvem

Minimum Acceptable Risk Standards for Exchanges (MARS-E) (Normas de Risco Mínimo Aceitável para Trocas)

ISO/IEC 27001

Federal Risk and Authorization Management Program (FedRAMP)


Recursos sobre a HIPAA e a HITECH

As leis HIPAA e HITECH

Guia prático de criação de soluções de cuidados de saúde com o Azure


Orientação para a Implementação das Leis HIPAA/HITECH

Orientação para a implementação das Leis HIPAA/HITECH no Azure

Orientação para a Implementação das Leis HIPAA/HITECH no Dynamics 365 e Office 365