Configurar a ID do Microsoft Entra em conformidade com a HIPAA

Os serviços da Microsoft, como a ID do Microsoft Entra, podem ajudá-lo a atender aos requisitos relacionados à identidade da Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) de 1996.

O HSR (Regra de Segurança do HIPAA) estabelece padrões para proteger as informações eletrônicas de saúde pessoal dos indivíduos que são criadas, recebidas, usadas ou mantidas por uma entidade coberta. O HSR é gerenciado pelo Departamento de Saúde e Serviços Humanos dos EUA (HHS) e requer proteções administrativas, físicas e técnicas apropriadas para garantir a confidencialidade, a integridade e a segurança das informações de saúde protegidas eletrônicas.

Os requisitos e objetivos de proteções técnicas são definidos no Título 45 do Código de Regulamentos Federais (CFRs). A parte 160 do Título 45 fornece os requisitos administrativos gerais e as subpartes A e C da Parte 164 descrevem os requisitos de segurança e privacidade.

A subparte § 164.304 define as proteções técnicas como a tecnologia e as políticas e procedimentos para seu uso que protegem informações de saúde protegidas eletronicamente e controlam o acesso a elas. O HHS também destaca áreas importantes para as organizações de saúde considerarem ao implementar proteções técnicas do HIPAA. De § 164.312 Proteções técnicas:

• Controles de acesso: implemente políticas técnicas e procedimentos para sistemas de informações eletrônicas que mantêm informações de integridade protegidas eletrônicas para permitir o acesso somente a essas pessoas ou programas de software que receberam direitos de acesso conforme especificado no § 164.308(a)(4).

• Controles de auditoria: implemente mecanismos de hardware, software e/ou procedimento que registram e examinam atividades em sistemas de informações que contêm ou usam informações eletrônicas de integridade protegida.

• Controles de integridade: implemente políticas e procedimentos para proteger as informações de integridade protegidas eletrônicas contra alteração ou destruição inadequadas.

• Autenticação de pessoa ou entidade: implemente procedimentos para verificar se uma pessoa ou entidade que busca acesso a informações de integridade protegidas eletrônicas é aquela reivindicada.

• Segurança de transmissão: implemente medidas técnicas de segurança para proteger contra o acesso não autorizado a informações de integridade protegidas eletrônicas que estão sendo transmitidas por uma rede de comunicações eletrônicas.

O HSR define subpartes como padrão, juntamente com as especificações de implementação necessárias e endereçáveis. Todos devem ser implementados. A designação "endereçável" indica que uma especificação é razoável e apropriada. Endereçável não significa que uma especificação de implementação seja opcional. Portanto, as subpartes definidas como endereçáveis também são necessárias.

Os artigos restantes desta série fornecem diretrizes e links para recursos, organizados por áreas principais e proteções técnicas. Para cada área principal, há uma tabela com as proteções relevantes listadas e as links com as diretrizes do Microsoft Entra para realizar a proteção.

Saiba mais

• Confiança Zero do HHS no Healthcare pdf

• Texto de regulamentação combinado de todos os Regulamentos de Simplificação Administrativa do HIPAA encontrado em 45 CFR 160, 162 e 164

• Título 45 do Código de Regulamentos Federais (CFR) que descreve a parte da previdência pública da regulamentação

• Parte 160 que descreve os requisitos administrativos gerais do Título 45

• Parte 164 Subpartes A e C que descrevem os requisitos de segurança e privacidade do Título 45

• Ferramenta de Proteção contras Riscos de Segurança do HIPAA

• NIST HSR Toolkit

Próximas etapas

• Diretrizes de proteção de controles de acesso

• Diretrizes de proteção de controles de auditoria

• Outras diretrizes de proteção

• Configurar controles do HITRUST