Descargo de responsabilidad: no soy abogado.
Primero, algunas lecturas requeridas:
Centro de confianza de Microsoft Azure
Acuerdo de Asociado Comercial de HIPAA (BAA)
HIPAA y la Ley HITECH son leyes de los Estados Unidos que se aplican a las entidades de atención médica con acceso a la información del paciente (denominada Información de salud protegida o PHI). En muchas circunstancias, para que una compañía de atención médica cubierta use un servicio en la nube como Azure, el proveedor del servicio debe aceptar en un acuerdo por escrito cumplir con ciertas disposiciones de seguridad y privacidad establecidas en HIPAA y la Ley HITECH. Para ayudar a los clientes a cumplir con HIPAA y la Ley HITECH, Microsoft ofrece un BAA a los clientes como un anexo al contrato.
Actualmente, Microsoft ofrece el BAA a los clientes que tienen un Contrato de licencia por volumen / Enterprise (EA) o una inscripción de EA solo en Azure con Microsoft para los servicios dentro del alcance. El EA solo de Azure no depende del tamaño del asiento, sino de un compromiso monetario anual con Azure que le permite a un cliente obtener un descuento sobre los precios de pago a medida que avanza.
Antes de firmar el BAA, los clientes deben leer la Guía de implementación de Azure HIPAA. Este documento fue desarrollado para ayudar a los clientes interesados en HIPAA y la Ley HITECH a comprender las capacidades relevantes de Azure. La audiencia prevista incluye oficiales de privacidad, oficiales de seguridad, oficiales de cumplimiento y otros en organizaciones de clientes responsables de la implementación y cumplimiento de HIPAA y HITECH Act. El documento cubre algunas de las mejores prácticas para crear aplicaciones compatibles con HIPAA y detalla las disposiciones de Azure para manejar las infracciones de seguridad. Si bien Azure incluye características para ayudar a permitir el cumplimiento de la privacidad y la seguridad del cliente, los clientes son responsables de garantizar que su uso particular de Azure cumpla con HIPAA, la Ley HITECH y otras leyes y regulaciones aplicables,
Los clientes deben comunicarse con su representante de cuenta de Microsoft para firmar el acuerdo.
Es posible que deba firmar un BAA con su proveedor de la nube (Azure). Pregunte a su (s) representante (s) de cumplimiento.
Aquí está la guía de implementación de Azure HIPAA .
Es posible usar Azure de una manera que cumpla con los requisitos de HIPAA y HITECH Act.
Las máquinas virtuales de Azure y las instancias de Azure SQL y SQL Server que se ejecutan dentro de las máquinas virtuales de Azure están aquí dentro del alcance y son compatibles.
Bitlocker es suficiente para el cifrado de datos en reposo. Utiliza el cifrado AES de una manera que satisface los requisitos de HIPAA (así como los requisitos de otras organizaciones similares) para el cifrado de datos en reposo.
Además, SQL Server no almacenará datos confidenciales sin cifrar en la unidad del sistema operativo a menos que configure SQL para hacerlo ... como, por ejemplo, configurar TempDB para que viva en la unidad del sistema operativo o algo así.
El cifrado de celdas / campos / columnas dentro de bases de datos individuales no es estrictamente obligatorio, suponiendo que ya haya satisfecho los requisitos para el cifrado de datos en reposo de otras maneras, por ejemplo, TDE o Bitlocker.
Puede surgir la forma en que elige administrar la clave de cifrado de Bitlocker, ya que no vivirá dentro de un chip TPM o en una unidad USB extraíble, ya que no tiene acceso a la máquina física. (Considere que un administrador del sistema ingrese manualmente una contraseña para desbloquear la unidad de datos cada vez que se reinicia el servidor). Este es el principal atractivo para servicios como CloudLink, ya que administran esa clave de cifrado sagrada para usted.