Організації з охорони здоров’я й хмарні служби Microsoft для бізнесу

Розгорніть систему безпеки, гарантуйте відповідність вимогам і конфіденційність захищеної медичної інформації завдяки хмарним службам Microsoft для бізнесу.

Two medical professionals in white coats talking as they look at something in front of them that doesn’t appear in the frame

Розгорніть систему безпеки, гарантуйте відповідність вимогам і конфіденційність захищеної медичної інформації завдяки хмарним службам Microsoft для бізнесу

Ми розуміємо: коли клієнти користуються хмарними службами від корпорації Майкрософт, вони довіряють їй найцінніше – свої дані.

Довіра – ключовий фактор, якщо мова йде про перенесення в загальнодоступну хмару клінічних відомостей і наборів даних, що містять захищену медичну інформацію (PHI), зокрема демографічні дані пацієнтів, відомості про хід лікування тощо. Це дуже важливо, адже ви публікуєте дані в медичній екосистемі й вирішуєте, яким чином і яким медичним працівникам буде доступна конфіденційна інформація пацієнтів.

Саме тому перш ніж переходити на хмарні рішення, ви маєте вибрати надійного постачальника служб. Ви повинні бути впевнені, що конфіденційна інформація захищена, а її обробка й керування нею здійснюється в безпечний спосіб і з дотриманням вимог законодавства та приватності.

Щоб завоювати довіру клієнтів, ми в корпорації Майкрософт розробили комплексну систему безпеки, дотримуючись нормативних вимог, пропонуючи угоду про ділове партнерство в рамках закону HIPAA (BAA) для своїх хмарних бізнес-служб і гарантуючи конфіденційність PHI та інших даних.

A medical professional reviewing X-rays on a desktop monitor with another person sitting across from them.

Прискорте розгортання рішень HIPAA/HITRUST на Azure

Отримайте інструменти та вказівки, що допоможуть вам розгорнути рішення для забезпечення відповідності вимогам HIPAA/HITRUST уже сьогодні. Користуйтеся перевагами хмарних рішень для медичних даних завдяки планам забезпечення захисту та відповідності вимогам в Azure – медичні дані й ШІ HIPAA/HITRUST.

Office 365 отримує сертифікат HITRUST CSF

Альянс Health Information Trust (HITRUST) Alliance присвоїв Office 365 сертифікат HITRUST. Common Security Framework від HITRUST допомагає організаціям вирішувати питання безпеки й керувати ризиками.

Medical professional wearing scrubs and smiling.

Корпорація Майкрософт розробила комплексну систему безпеки для хмарних служб

Організації з охорони здоров’я можуть зазнавати кібератак і порушень безпеки даних. Зловмисники націлюються не лише на медичні мережі, а й на окремі торгові одиниці (зокрема касові термінали), медичне обладнання (кардіостимулятори) або програми (як-от ті, у яких відстежується стан здоров’я), а також мобільні пристрої, медичні чи особисті, кількість яких постійно збільшується. Відповідно до звіту компанії Verizon про порушення безпеки захищеної медичної інформації за 2015 рік, близько 1400 малих і великих організацій з охорони здоров’я постраждали від порушень PHI, через що було розкрито понад 157 млн медичних записів. Це сталося не лише внаслідок злочинної діяльності, а й через недостатній захист даних і зловживання з боку самих медичних працівників.

Ми в корпорації Майкрософт спроектували, розробили й тепер використовуємо хмарні служби та комерційну підтримку, щоб гарантувати високий рівень безпеки ваших даних і пристроїв. В основі стратегії корпорації Майкрософт лежить припущення про те, що безпеку наших систем можуть порушити. Тому ми прагнемо скоротити час між моментом порушення та його виявленням. Наша команда з реагування на глобальні інциденти постійно працює над тим, щоб зменшити наслідки будь-якої атаки на Microsoft Cloud.

Наші системи й програмне забезпечення допоможуть вам захистити свої дані, а потужні засоби безпеки та портфель технологій дасть змогу протистояти кіберзагрозам, керувати мобільними працівниками й забезпечувати відповідність державним вимогам.

|

Елементи технології захисту від спаму, зокрема Microsoft Antimalware, допомагають виявляти й знищувати спам, віруси та інші програми, створені зловмисниками (як відомі, так і невідомі). Ми стежимо за серверами, мережами й програмами, щоб виявляти інструкції та попереджувати атаки, а також постійно вдосконалюємо свої засоби захисту. Тому навіть за умови атаки наші системи зможуть захистити мережу й швидко її відновити.

 

Дізнайтеся більше

Хоч де зберігатимуться ваші дані – на локальному сервері, у загальнодоступній хмарі, на переносних пристроях – ви зможете контролювати доступ до даних, зокрема будете певні, що особа, яка намагається отримати доступ до PHI, є тим, ким себе називає, і що вона має на це право.

 

Дізнайтеся більше

Таким чином, якщо в користувача немає спеціального ключа, він не зможе прочитати ці дані. Корпорація Майкрософт використовує стандартні для галузі транспортні протоколи безпеки для шифрування відомостей, які передаються між пристроями й центрами даних Microsoft або лише між останніми. А щоб захистити дані під час зберігання, корпорація Майкрософт пропонує різноманітні вбудовані засоби шифрування.

 

Дізнайтеся більше

Незалежні зовнішні аудитори перевіряють продукти Microsoft для бізнесу та хмарні служби на предмет відповідності галузевим стандартам, як-от ISO/IEC 27001 та ISO/IEC 27018. Крім того, ми дотримуємося вимог актів HIPAA та HITECH, а також MARS-E.

HIPAA та HITECH – закони США у сфері охорони здоров’я, які регулюють використання й розголошення персональної медичної інформації, а також те, як її необхідно захищати. Відповідно до цих законів, організації з охорони здоров’я мають укладати контракти з постачальниками послуг (як-от Майкрософт), які мають доступ до PHI пацієнтів і обробляють їх. Ці контракти або BAA визначають і обмежують процес обробки хмарними службами PHI, а також описують те, яким чином кожна зі сторін має дотримуватися положень про конфіденційність таких законів.

 

Корпорація Майкрософт застосувала фізичні, технічні й адміністративні засоби захисту, як того вимагає закон HIPAA, щоб мати змогу надавати послуги як діловий партнер, і дотримується акту HITECH, відповідно до якого у разі порушення PHI необхідно повідомляти окремих осіб, яких воно стосується, і уряд. Хоча наразі немає жодних офіційних сертифікатів щодо відповідності вимогам цих законів, служби Microsoft, на які поширюється дія BAA, були перевірені акредитованими незалежними третіми сторонами. Зокрема, область перевірки в рамках ISO/IEC 27001 включає елементи контролю, які відповідають правилам безпеки HIPAA.

 

У рамках угоди Microsoft HIPAA BAA ми надаємо більше служб, ніж будь-який інший постачальник хмари. У Microsoft Azure, Microsoft Dynamics 365, Microsoft Intune, Microsoft Office 365 і Microsoft Power BI ми пропонуємо комплексні й інтегровані рішення, які дають змогу вирішити питання продуктивності, співпраці, управління комунікацією з партнерами, аналітики, хостингу програм, зберігання даних, а також керування програмами ти пристроями.

 

Пропонуючи BAA, корпорація Майкрософт допомагає гарантувати вам відповідність вимогам HIPAA. Натомість ваша організація несе відповідальність за використання служб Microsoft згідно з нормами HIPAA й актом HITECH. З цією метою ми надаємо різні ресурси, як-от інструкції з упровадження HIPAA/акту HITECH для Azure та Dynamics 365 і Office 365, а також практичний посібник із розробки захищених медичних рішень за допомогою Microsoft Azure.

Агентство Center for Medicare and Medicaid Services (CMS) опублікувало стандарти мінімально допустимих ризиків для обміну даними (MARS-E), які описують середовище, що має забезпечувати конфіденційність, цілісність і доступність обміну захищеними даними у сфері охорони здоров’я. MARS-E 2.0 – середовище, яке надає інформацію, необхідну для гарантування безпеки захищених даних і яке застосовується для всіх адміністративних установ (включно з центрами обміну даними й ринками), які є суб’єктами Закону про доступне медичне обслуговування США.

 

Наразі для MARS-E немає формальної процедури перевірки й акредитації, проте служби платформи Azure пройшли незалежні FedRAMP-аудити й були авторизовані відповідно до наявних стандартів. Хоча останні не орієнтовані на MARS-E, вимоги й цілі управління MARS-E тісно пов’язані між собою та гарантують, що Azure допомагає забезпечувати конфіденційність, цілісність і доступність даних на належному рівні.

Наш перевірений часом підхід до конфіденційності засновано на стандарті конфіденційності корпорації Майкрософт і принципах розробки безпечного ПЗ від корпорації Майкрософт. Аудити та сертифікати від третіх сторін підтверджують наші суворі стандарти технічного розвитку й допомагають реалізувати систематичний захист конфіденційності даних. Так, корпорація Майкрософт – один із перших великих постачальників хмари, що запровадив перший міжнародний кодекс із забезпечення конфіденційності в хмарі, ISO/IEC 27018. Наші зобов’язання по контракту посилюють ці захисні заходи.

 

Зрештою, саме ви контролюєте, як збираються, використовуються й розповсюджуються ваші дані.

  • Ми застосовуємо дані клієнтів лише для того, щоб надавати служби, як визначено в угоді. Ми не скануємо ці дані в маркетингових цілях і не продаємо такі відомості іншим.
  • Ви знаєте, у яких центрах (які розташовано по всьому світу) зберігаються дані ваших клієнтів. Ви знаєте, хто та за яких умов може отримувати доступ до даних, а також те, наскільки надійно вони захищені, як вони передаються та видаляються.
  • Коли дані багатьох клієнтів зберігаються в спільному фізичному місці, ми логічно ізолюємо дані в хмарних службах для кожного клієнта.

Додаткові ресурси

Корпоративні рішення Microsoft для сфери охорони здоров’я

Захист даних і конфіденційності в хмарі

Стандарти мінімально допустимих ризиків для обміну даними (Minimum Acceptable Risk Standards for Exchanges, MARS-E)

Урядова програма акредитації хмарних служб (Federal Risk and Authorization Management Program, FedRAMP)


Ресурси щодо HIPAA та HITECH

Акт HIPAA та HITECH

Практичний посібник із розробки захищених медичних рішень за допомогою Azure


Інструкції з упровадження HIPAA/акту HITECH

Інструкції з упровадження Azure для забезпечення відповідності вимогам HIPAA/HITECH

Інструкції з упровадження Dynamics 365 і Office 365 для забезпечення відповідності вимогам HIPAA/HITECH