Zdravstvene organizacije in Microsoftove poslovne rešitve v oblaku

Microsoftove poslovne rešitve v oblaku ponujajo varnost, skladnost s predpisi in zasebnost zaščitenih informacij v zdravstvu.

Two medical professionals in white coats talking as they look at something in front of them that doesn’t appear in the frame

Microsoftove poslovne rešitve v oblaku ponujajo varnost, skladnost s predpisi in zasebnost zaščitenih informacij v zdravstvu

Microsoft se zaveda, da mu njegove stranke z uporabo njegovih storitev v oblaku zaupajo svoje podatke, ki so zanje najdragocenejši in nenadomestljivi.

Ko se odločite za prenos kliničnih aplikacij in podatkovnih naborov, ki vključujejo zaščitene informacije o zdravju (PHI), med katerimi so tudi demografski podatki o bolniku ter informacije o zdravljenju, v javni oblak, je najpomembnejše zaupanje. Zaupanje je kritičnega pomena, ko pošiljate podatke v zdravstveni ekosistem in zdravstvenim strokovnjakom in bolnikom omogočate mesta in načine za dostop do zaupnih informacij.

Ne glede na to torej, kje na poti v oblak ste trenutno, je najpomembnejše, da sodelujete s ponudnikom storitev, ki mu zaupate. Ponudnik mora zagotoviti in poskrbeti, da so zaupne informacije zaščitene, varno shranjene in obdelane v skladu s pravilniki in zakonodajo ter da je zaščitena njihova zasebnost.

Microsoftov holistični pristop temelji na ustvarjanju takšnega zaupanja s poglobljenim obrambnim pristopom k varnosti, ki je v skladu z veljavnimi pravnimi predpisi, kar vključuje tudi ponudbo za pogodbo s poslovnim partnerjem o zakonu HIPAA (BAA) za svoje poslovne storitve v oblaku in pomoč pri zaščiti zasebnosti informacijo zdravju ter drugih podatkov.

A medical professional reviewing X-rays on a desktop monitor with another person sitting across from them.

Pospešite uvajanje rešitev HIPAA/HITRUST v storitvi Azure

Pridobite orodja in navodila za izgradnjo rešitev HIPAA/HITRUST že danes. Izkoristite prednosti oblaka za rešitve za podatke o zdravju s storitvama Azure Security in Compliance Blueprint – podatki o zdravju – HIPAA/HITRUST in UI.

Office 365 si je prislužil certifikat HITRUST CSF

Office 365 si je prislužil certifikat HITRUST, ki ga je podelila organizacija The Health Information Trust (HITRUST) Alliance. Okvir splošne varnosti za HITRUST pomaga zdravstvenim organizacijam upravljati varnost in tveganja.

Medical professional wearing scrubs and smiling.

Microsoft utemeljuje varnosti zvezi s svojimi storitvami v oblaku na poglobljenem obrambnem pristopu

Zdravstvene organizacije so lahko ranljive v zvezi z zlorabami zaupnosti podatkov in kibernetskimi napadi. Zlonamerni dejavniki ne ciljajo le na zdravstvena omrežja, temveč tudi na naprave, kjer se dogaja prodaja, kot so blagajne, medicinski pripomočki, na primer srčni spodbujevalniki, medicinske aplikacije, ki na primer ponujajo navidezno zdravstveno oskrbo, ter vse bolj množične mobilne naprave, tako medicinske kot osebne. Po navedbah v poročilu o zlorabi zaščitenih informacij o zdravju družbe Verizon za leto 2015 je do zlorabe takšnih informacij prišlo v 1400 zdravstvenih organizacijah, tako velikih kot malih, pri čimer je bilo izpostavljenih več kot 157 milijonov zdravstvenih kartotek. Te so bile posledica ne le kriminalnih dejavnosti, temveč tudi nezadostne zaščite podatkov ter nepravilne uporabe s strani samih zdravstvenih delavcev.

Microsoftove poslovne storitve v oblaku in komercialna podpora so zasnovane, razvite in organizirane tako, da zagotavljajo visoko stopnjo varnosti za vaše podatke ter vse naprave, ki omogočajo dostop do njih. Osnovno načelo varnostne strategije v Microsoftu temelji na predvidevanju vdorov v sisteme in na skrajševanju časa, ki preteče od katere koli oblike grožnje in njenega zaznavanja. Naša skupina za odzivanje na globalne dogodke neprekinjeno preži na kakršne koli napade na Microsoft Cloud in odpravlja njihove vplive.

Naši sistemi in programska oprema skrbijo za zaščito vaših podatkov z zmogljivimi oblikami varnostnega nadzora, skupaj z zbirko tehnologij, ki vaši organizaciji pomagajo, da se zaščitijo pred novimi kibernetskimi napadi, upravljajo mobilno delovno silo in zagotovijo skladnost z vladnimi pravnimi predpisi.

|

Plasti sodobnih tehnologij za zaščito pred neželeno pošto, kot je Microsoftov program za preprečevanje zlonamerne programske opreme, omogočajo prepoznavanje in odstranjevanje neželene pošte, virusov in druge zlonamerne programske opreme, tako znane kot tudi neznane. Nadziramo strežnike, omrežja in aplikacije, da zaznamo vdore in preprečimo napade, obenem pa nenehno krepimo te vrste obrambo. Če pa pride do napada, so sistemi pripravljeni na obrambo omrežja in na hitro obnovitev.

 

Več informacij

Ne glede na to, kje so vaši podatki – v lokalnem strežniku, javnem oblaku ali prenosnih napravah – vam pomagamo pri tem, da se prepričate, da so tisti, ki dostopajo do vašega omrežja, v resnici uporabniki, za katere se izdajajo, da je njihov dostop do podatkov nadziran in da je dostop do podatkov omogočen le osebam, ki so pooblaščene za ogled zaščitenih informacij o zdravju.

 

Več informacij

Šifriranje podatkov je neberljivo za vse, ki nimajo ključa za dešifriranje. Microsoft za šifriranje podatkov uporablja standardne panožne varne protokole prenosa za šifriranje podatkov, ki prehajajo med napravami in Microsoftovimi podatkovnimi središči ali med podatkovnimi središči samimi. Za zaščito podatkov v mirovanju Microsoft ponuja nabor vgrajenih zmogljivosti šifriranja.

 

Več informacij

Microsoftove poslovne izdelke in storitve v oblaku pregledujejo neodvisni zunanji revizorji v skladu s panožnimi standardi, kot so ISO/IEC 27001 in ISO/IEC 27018. Poleg tega upoštevamo zakona HIPAA in HITECH, kakor tudi standarde za najnižjo sprejemljivo stopnjo tveganja za izmenjave (MARS-E).

Zakona HIPAA in HITECH sta zakona ZDA, ki na področju zdravstva urejata zahteve za uporabo, razkritje in zaščito informacij o zdravju, ki omogočajo identifikacijo posameznika. V skladu s tema zakonoma morajo zdravstvene organizacije skleniti pogodbe s ponudniki storitev, kot je Microsoft, ki imajo pravico za dostop do bolnikovih zaščitenih informacij o zdravju in njihove obdelave. V teh pogodbah oz. pogodbah s poslovnim partnerjem (BAA) so določeni načini obdelave zaščitenih informacij o zdravju v storitvah v oblaku in omejitve takšne obdelave, ter kako posamezna pogodbena stran upošteva določila v zvezi z varnostjo in zasebnostjo v teh zakonih.

 

Microsoft je uvedel fizična, tehnična in administrativna varovala v skladu z zakonom HIPAA, in tako podprl svojo vlogo poslovnega partnerja; poleg tega deluje v skladu z zakonom HITECH, v skladu s katerim mora posameznike in vlado obvestiti o zlorabi zaščitenih informacij o zdravju, če pride do njih. Čeprav trenutno ni na voljo nobena uradna oblika pridobivanja potrdila za skladnost s temi zakoni, so bile za Microsoftove storitve v skladu s pogodbo BAA izvedene revizije, ki so jih izvedli pooblaščeni neodvisni izvajalci. Tako je na primer obseg revizije upoštevanja standarda ISO/IEC 27001 vključeval kontrolnike, ki so povezani z varnostnimi praksami, kakor jih navaja HIPAA.

 

V skladu s pogoji Microsoftove pogodbe s poslovnim partnerjem HIPAA (BAA) ponujamo več storitev kot kateri koli drugi ponudnik storitev. S storitvami Microsoft Azure, Microsoft Dynamics 365, Microsoft Intune, Microsoft Office 365 in Microsoft Power BI ponujamo celovite in integrirane rešitve, ki zaobjemajo načela storilnosti in sodelovanja, upravljanje odnosov z bolniki, analitiko, gostovanje aplikacij, shranjevanje podatkov ter upravljanje aplikacij in naprav.

 

S ponudbo pogodbe s poslovnim partnerjem vam Microsoft zagotavlja podporo za zagotavljanje skladnosti z zakonom HIPAA, vendar je organizacija odgovorna, da poskrbi za to, da Microsoftove storitve uporabljate v skladu z zakonoma HIPAA in HITECH. V tem smislu vam ponujamo vire, kot so Navodila za izvajanje zakona HIPAA/HITECH, kjer lahko Azure in Dynamics 365 in Office 365 ter Praktični vodnik za načrtovanje varnih rešitev za zdravstveno varstvo s storitvijo Microsoft Azure.

The Center for Medicare and Medicaid Services (CMS) je objavil Standardi minimalne sprejemljive stopnje tveganja za izmenjave (MARS-E) z okvirnimi navodili za zagotavljanje zaupnosti, celovitosti in razpoložljivosti v zvezi z izmenjavo zaščitenih podatkov v zdravstvu. Namen ogrodja MARS-E 2.0 je zagotoviti varnost teh zaščitenih podatkov in velja za vse subjekte, ki upravljajo cenovno dostopno zdravstveno oskrbo v ZDA, vključno z zaščito pri izmenjavi podatkov ali na trgih.

 

Čeprav trenutno ni na voljo nobenega uradnega postopka pooblastitve in akreditacije za MARS-E, smo za storitve platforme Azure izvedli neodvisne FedRAMP revizije in pridobili ustrezna pooblastila v skladu s temi standardi. Čeprav se ti standardi ne nanašajo posebej na MARS-E, pa so zahteve glede nadzora in cilji ogrodja MARS-E tesno usklajeni in zagotavljajo, da bo Azure ustrezno zaščitil zaupnost, celovitost in razpoložljivost podatkov.

Naš časovno preskušen pristop k zasebnosti temelji na Microsoftovem standardu za zasebnost in Microsoftovem življenjskem ciklu razvoja varnosti. Neodvisne revizije in pridobljena potrdila potrjujejo naše stroge standarde tehničnega razvoja ter zagotavljajo sistematično uvajanje zaščite zasebnosti in podatkov. Microsoft je bil na primer prvi pomemben ponudnik storitev v oblaku, ki je za zasebnost v oblaku upošteval mednarodni kodeks ravnanja, ISO/IEC 27018. Te oblike zaščite podpiramo tudi s strogimi pogodbenimi obveznostmi.

 

Nenazadnje vam predamo nadzor na zbirko, uporabo in distribucijo vaših podatkov:

  • mi uporabljamo podatke o vaših strankah le zato, da zagotovimo storitve, za katere smo se dogovorili. Podatkov ne odčitavamo za potrebe trženja in jih ne obravnavamo kot izdelek, ki je na prodaj drugim.
  • Vi veste, kje so podatki o strankah shranjeni v vseh naših podatkovnih središčih po svetu. Vi veste, kdo ima dostop do podatkov in pod kakšnimi pogoji in kako jih je mogoče odgovorno zaščititi, prenesti in izbrisati.
  • Ko so podatki večjega števila strank shranjeni na fizični lokaciji v skupni rabi, storitve v oblaku posameznih strank ločimo z logično osamitvijo podatkov v storitvah v oblaku od drugih.

Dodatni viri

Microsoftove rešitve za zdravstveno varstvo za podjetja

Zaščita podatkov in zasebnosti v oblaku

Standardi najnižje sprejemljive stopnje tveganja za izmenjave (MARS-E)

ISO/IEC 27001

Zvezni program upravljanja tveganj in pooblastil (FedRAMP)


Viri za zakona HIPAA in HITECH

Zakona HIPAA in HITECH

Priročni vodnik za ustvarjanje varnih rešitev za zdravstvene sisteme s storitvijo Azure


Navodila za izvajanje zakona HIPAA/HITECH

Navodila za izvajanje zakona HIPAA/HITECH

Dynamics 365 in Office 365 – navodila za izvajanje zakona HIPAA/HITECH