Zdravstvene organizacije in Microsoftove poslovne rešitve v oblaku
Pospešite uvajanje rešitev HIPAA/HITRUST v storitvi Azure
Office 365 si je prislužil certifikat HITRUST CSF
Microsoft utemeljuje varnosti zvezi s svojimi storitvami v oblaku na poglobljenem obrambnem pristopu
Zdravstvene organizacije so lahko ranljive v zvezi z zlorabami zaupnosti podatkov in kibernetskimi napadi. Zlonamerni dejavniki ne ciljajo le na zdravstvena omrežja, temveč tudi na naprave, kjer se dogaja prodaja, kot so blagajne, medicinski pripomočki, na primer srčni spodbujevalniki, medicinske aplikacije, ki na primer ponujajo navidezno zdravstveno oskrbo, ter vse bolj množične mobilne naprave, tako medicinske kot osebne. Po navedbah v poročilu o zlorabi zaščitenih informacij o zdravju družbe Verizon za leto 2015 je do zlorabe takšnih informacij prišlo v 1400 zdravstvenih organizacijah, tako velikih kot malih, pri čimer je bilo izpostavljenih več kot 157 milijonov zdravstvenih kartotek. Te so bile posledica ne le kriminalnih dejavnosti, temveč tudi nezadostne zaščite podatkov ter nepravilne uporabe s strani samih zdravstvenih delavcev.
Microsoftove poslovne storitve v oblaku in komercialna podpora so zasnovane, razvite in organizirane tako, da zagotavljajo visoko stopnjo varnosti za vaše podatke ter vse naprave, ki omogočajo dostop do njih. Osnovno načelo varnostne strategije v Microsoftu temelji na predvidevanju vdorov v sisteme in na skrajševanju časa, ki preteče od katere koli oblike grožnje in njenega zaznavanja. Naša skupina za odzivanje na globalne dogodke neprekinjeno preži na kakršne koli napade na Microsoft Cloud in odpravlja njihove vplive.
Naši sistemi in programska oprema skrbijo za zaščito vaših podatkov z zmogljivimi oblikami varnostnega nadzora, skupaj z zbirko tehnologij, ki vaši organizaciji pomagajo, da se zaščitijo pred novimi kibernetskimi napadi, upravljajo mobilno delovno silo in zagotovijo skladnost z vladnimi pravnimi predpisi.
|
Plasti sodobnih tehnologij za zaščito pred neželeno pošto, kot je Microsoftov program za preprečevanje zlonamerne programske opreme, omogočajo prepoznavanje in odstranjevanje neželene pošte, virusov in druge zlonamerne programske opreme, tako znane kot tudi neznane. Nadziramo strežnike, omrežja in aplikacije, da zaznamo vdore in preprečimo napade, obenem pa nenehno krepimo te vrste obrambo. Če pa pride do napada, so sistemi pripravljeni na obrambo omrežja in na hitro obnovitev.
Ne glede na to, kje so vaši podatki – v lokalnem strežniku, javnem oblaku ali prenosnih napravah – vam pomagamo pri tem, da se prepričate, da so tisti, ki dostopajo do vašega omrežja, v resnici uporabniki, za katere se izdajajo, da je njihov dostop do podatkov nadziran in da je dostop do podatkov omogočen le osebam, ki so pooblaščene za ogled zaščitenih informacij o zdravju.
Šifriranje podatkov je neberljivo za vse, ki nimajo ključa za dešifriranje. Microsoft za šifriranje podatkov uporablja standardne panožne varne protokole prenosa za šifriranje podatkov, ki prehajajo med napravami in Microsoftovimi podatkovnimi središči ali med podatkovnimi središči samimi. Za zaščito podatkov v mirovanju Microsoft ponuja nabor vgrajenih zmogljivosti šifriranja.
Microsoftove poslovne izdelke in storitve v oblaku pregledujejo neodvisni zunanji revizorji v skladu s panožnimi standardi, kot so ISO/IEC 27001 in ISO/IEC 27018. Poleg tega upoštevamo zakona HIPAA in HITECH, kakor tudi standarde za najnižjo sprejemljivo stopnjo tveganja za izmenjave (MARS-E).
Zakona HIPAA in HITECH sta zakona ZDA, ki na področju zdravstva urejata zahteve za uporabo, razkritje in zaščito informacij o zdravju, ki omogočajo identifikacijo posameznika. V skladu s tema zakonoma morajo zdravstvene organizacije skleniti pogodbe s ponudniki storitev, kot je Microsoft, ki imajo pravico za dostop do bolnikovih zaščitenih informacij o zdravju in njihove obdelave. V teh pogodbah oz. pogodbah s poslovnim partnerjem (BAA) so določeni načini obdelave zaščitenih informacij o zdravju v storitvah v oblaku in omejitve takšne obdelave, ter kako posamezna pogodbena stran upošteva določila v zvezi z varnostjo in zasebnostjo v teh zakonih.
Microsoft je uvedel fizična, tehnična in administrativna varovala v skladu z zakonom HIPAA, in tako podprl svojo vlogo poslovnega partnerja; poleg tega deluje v skladu z zakonom HITECH, v skladu s katerim mora posameznike in vlado obvestiti o zlorabi zaščitenih informacij o zdravju, če pride do njih. Čeprav trenutno ni na voljo nobena uradna oblika pridobivanja potrdila za skladnost s temi zakoni, so bile za Microsoftove storitve v skladu s pogodbo BAA izvedene revizije, ki so jih izvedli pooblaščeni neodvisni izvajalci. Tako je na primer obseg revizije upoštevanja standarda ISO/IEC 27001 vključeval kontrolnike, ki so povezani z varnostnimi praksami, kakor jih navaja HIPAA.
V skladu s pogoji Microsoftove pogodbe s poslovnim partnerjem HIPAA (BAA) ponujamo več storitev kot kateri koli drugi ponudnik storitev. S storitvami Microsoft Azure, Microsoft Dynamics 365, Microsoft Intune, Microsoft Office 365 in Microsoft Power BI ponujamo celovite in integrirane rešitve, ki zaobjemajo načela storilnosti in sodelovanja, upravljanje odnosov z bolniki, analitiko, gostovanje aplikacij, shranjevanje podatkov ter upravljanje aplikacij in naprav.
S ponudbo pogodbe s poslovnim partnerjem vam Microsoft zagotavlja podporo za zagotavljanje skladnosti z zakonom HIPAA, vendar je organizacija odgovorna, da poskrbi za to, da Microsoftove storitve uporabljate v skladu z zakonoma HIPAA in HITECH. V tem smislu vam ponujamo vire, kot so Navodila za izvajanje zakona HIPAA/HITECH, kjer lahko Azure in Dynamics 365 in Office 365 ter Praktični vodnik za načrtovanje varnih rešitev za zdravstveno varstvo s storitvijo Microsoft Azure.
The Center for Medicare and Medicaid Services (CMS) je objavil Standardi minimalne sprejemljive stopnje tveganja za izmenjave (MARS-E) z okvirnimi navodili za zagotavljanje zaupnosti, celovitosti in razpoložljivosti v zvezi z izmenjavo zaščitenih podatkov v zdravstvu. Namen ogrodja MARS-E 2.0 je zagotoviti varnost teh zaščitenih podatkov in velja za vse subjekte, ki upravljajo cenovno dostopno zdravstveno oskrbo v ZDA, vključno z zaščito pri izmenjavi podatkov ali na trgih.
Čeprav trenutno ni na voljo nobenega uradnega postopka pooblastitve in akreditacije za MARS-E, smo za storitve platforme Azure izvedli neodvisne FedRAMP revizije in pridobili ustrezna pooblastila v skladu s temi standardi. Čeprav se ti standardi ne nanašajo posebej na MARS-E, pa so zahteve glede nadzora in cilji ogrodja MARS-E tesno usklajeni in zagotavljajo, da bo Azure ustrezno zaščitil zaupnost, celovitost in razpoložljivost podatkov.
Naš časovno preskušen pristop k zasebnosti temelji na Microsoftovem standardu za zasebnost in Microsoftovem življenjskem ciklu razvoja varnosti. Neodvisne revizije in pridobljena potrdila potrjujejo naše stroge standarde tehničnega razvoja ter zagotavljajo sistematično uvajanje zaščite zasebnosti in podatkov. Microsoft je bil na primer prvi pomemben ponudnik storitev v oblaku, ki je za zasebnost v oblaku upošteval mednarodni kodeks ravnanja, ISO/IEC 27018. Te oblike zaščite podpiramo tudi s strogimi pogodbenimi obveznostmi.
Nenazadnje vam predamo nadzor na zbirko, uporabo in distribucijo vaših podatkov:
- mi uporabljamo podatke o vaših strankah le zato, da zagotovimo storitve, za katere smo se dogovorili. Podatkov ne odčitavamo za potrebe trženja in jih ne obravnavamo kot izdelek, ki je na prodaj drugim.
- Vi veste, kje so podatki o strankah shranjeni v vseh naših podatkovnih središčih po svetu. Vi veste, kdo ima dostop do podatkov in pod kakšnimi pogoji in kako jih je mogoče odgovorno zaščititi, prenesti in izbrisati.
- Ko so podatki večjega števila strank shranjeni na fizični lokaciji v skupni rabi, storitve v oblaku posameznih strank ločimo z logično osamitvijo podatkov v storitvah v oblaku od drugih.