Recursos de conformidade com HIPAA
A Databricks recomenda enfaticamente que os clientes que desejam usar os recursos de conformidade com a HIPAA habilitem o perfil de segurança de conformidade, que adiciona agentes de monitoramento, fornece uma imagem de computação reforçada e outros recursos. Para obter detalhes técnicos, consulte Perfil de segurança de conformidade.
É sua responsabilidade confirmar se cada espaço de trabalho tem o perfil de segurança de conformidade habilitado.
Esse recurso exige que seu espaço de trabalho esteja no nível de preço Premium.
Certifique-se de que as informações confidenciais nunca sejam inseridas em campos de entrada definidos pelo cliente, como nomes de espaços de trabalho, nomes de clusters e nomes de trabalhos.
Quais recursos de computação obtêm segurança aprimorada
Os aprimoramentos do perfil de segurança de conformidade para HIPAA aplicam-se a recursos de computação no plano de computação clássico e no plano de computação sem servidor em todas as regiões. Para obter mais informações sobre os planos de computação clássicos e sem servidor, consulte Visão geral da arquitetura do Azure Databricks.
Descrição geral da HIPAA
O Health Insurance Portability and Accountability Act of 1996 (HIPAA), o Health Information Technology for Economic and Clinical Health (HITECH) e os regulamentos emitidos sob a HIPAA são um conjunto de leis de saúde dos EUA. Entre outras disposições, essas leis estabelecem requisitos para o uso, divulgação e salvaguarda de informações de saúde protegidas (PHI).
A HIPAA aplica-se a entidades cobertas e associados de negócios que criam, recebem, mantêm, transmitem ou acessam PHI. Quando uma entidade coberta ou um associado de negócios contrata os serviços de um provedor de serviços de nuvem (CSP), como o Azure Databricks, o CSP se torna um associado de negócios sob a HIPAA.
O Azure Databricks permite o processamento de dados PHI no Azure Databricks?
Sim. A Databricks recomenda vivamente a ativação do perfil de segurança de conformidade e a adição de HIPAA durante essa configuração.
Habilitar a HIPAA em um espaço de trabalho
Para processar dados regulados pelo padrão de conformidade HIPAA, o Databricks recomenda que cada espaço de trabalho tenha o perfil de segurança de conformidade habilitado e adicione o padrão de conformidade HIPAA.
Você pode habilitar o perfil de segurança de conformidade e adicionar um padrão de conformidade a um novo espaço de trabalho ou a um espaço de trabalho existente usando o portal do Azure ou, alternativamente, usar um modelo ARM. Para obter instruções e modelos, consulte Configurar configurações de segurança e conformidade aprimoradas.
Importante
Adicionar um padrão de conformidade a um espaço de trabalho é permanente.
Importante
- Você é totalmente responsável por garantir sua própria conformidade com todas as leis e regulamentos aplicáveis. As informações fornecidas na documentação online do Azure Databricks não constituem aconselhamento jurídico e deve consultar o seu consultor jurídico para quaisquer questões relacionadas com a conformidade regulamentar.
- O Azure Databricks não oferece suporte ao uso de recursos de visualização para o processamento de PHI na plataforma HIPAA no Azure, com exceção dos recursos listados em Recursos de visualização com suporte para processamento de dados PHI.
Recursos de visualização suportados para processamento de dados PHI
Os seguintes recursos de visualização são suportados para o processamento de PHI:
Provisionamento SCIM no nível do espaço de trabalho
O provisionamento SCIM no nível do espaço de trabalho é legado. O Databricks recomenda o uso do provisionamento SCIM no nível da conta, que está disponível em geral.
Delta Live Tables Hive metastore para Unity Catalog clone API
Responsabilidade compartilhada da conformidade com a HIPAA
A conformidade com a HIPAA tem três áreas principais, com responsabilidades diferentes. Embora cada parte tenha inúmeras responsabilidades, abaixo enumeramos as nossas principais responsabilidades, juntamente com as suas responsabilidades.
Este artigo usa o plano de controle de terminologia do Azure Databricks e um plano de computação, que são duas partes principais de como o Azure Databricks funciona:
As principais responsabilidades da Microsoft incluem:
Cumprir as suas obrigações como associado comercial ao abrigo do seu BAA com a Microsoft.
Fornecer VMs sob seu contrato com a Microsoft que ofereçam suporte à conformidade com HIPAA.
Exclua chaves de criptografia e dados quando o Azure Databricks liberar as instâncias de VM.
As principais responsabilidades do Azure Databricks incluem:
- Criptografe dados PHI em trânsito que são transmitidos de ou para o plano de controle.
- Criptografar dados PHI em repouso no plano de controle
- Limite o conjunto de tipos de instância aos tipos de instância suportados para o perfil de segurança de conformidade. O Azure Databricks limita os tipos de instância no console da conta e por meio da API.
- Desprovisionar instâncias de VM quando você indicar no Azure Databricks que elas devem ser desprovisionadas, por exemplo, terminação automática ou terminação manual, para que o Azure possa apagá-las.
Principais responsabilidades suas:
- Configure seu espaço de trabalho para usar chaves gerenciadas pelo cliente para serviços gerenciados ou o recurso de blocos de anotações interativos da Loja em conta de cliente.
- Não use recursos de visualização no Azure Databricks para processar PHI que não sejam recursos listados em Recursos de visualização com suporte para processamento de dados PHI
- Siga as práticas recomendadas de segurança , como desabilitar saídas desnecessárias do plano de computação e usar o recurso de segredos do Azure Databricks (ou outra funcionalidade semelhante) para armazenar chaves de acesso que fornecem acesso ao PHI.
- Entre em um contrato de associado comercial com a Microsoft para cobrir todos os dados processados na VNet onde as instâncias de VM são implantadas.
- Não faça algo dentro de uma máquina virtual que seria uma violação da HIPAA. Por exemplo, direcione o Azure Databricks para enviar PHI não criptografada para um ponto de extremidade.
- Certifique-se de que todos os dados que possam conter PHI sejam criptografados em repouso quando você os armazena em locais com os quais a plataforma Azure Databricks pode interagir. Isso inclui definir as configurações de criptografia no armazenamento raiz de cada espaço de trabalho (ADLSgen2 para espaços de trabalho mais recentes, armazenamento de Blob para espaços de trabalho mais antigos) que faz parte da criação do espaço de trabalho. Você é responsável por garantir a criptografia (bem como executar backups) para esse armazenamento e todas as outras fontes de dados.
- Certifique-se de que todos os dados que possam conter PHI estão criptografados em trânsito entre o Azure Databricks e qualquer um dos seus locais de armazenamento de dados ou locais externos que você acessa a partir de uma máquina de plano de computação. Por exemplo, todas as APIs usadas em um bloco de anotações que possam se conectar a uma fonte de dados externa devem usar a criptografia apropriada em todas as conexões de saída.
- Certifique-se de que todos os dados que possam conter PHI sejam criptografados em repouso quando você os armazena em locais com os quais a plataforma Azure Databricks pode interagir. Isso inclui definir as configurações de criptografia no armazenamento raiz de cada espaço de trabalho que faz parte da criação do espaço de trabalho.
- Certifique-se da criptografia (bem como execute backups) para seu armazenamento raiz (ADLSgen2 para espaços de trabalho mais recentes, armazenamento de Blob para espaços de trabalho mais antigos) e todas as outras fontes de dados.
- Certifique-se de que todos os dados que possam conter PHI estão criptografados em trânsito entre o Azure Databricks e qualquer um dos seus locais de armazenamento de dados ou locais externos que você acessa a partir de uma máquina de plano de computação. Por exemplo, todas as APIs usadas em um bloco de anotações que possam se conectar a uma fonte de dados externa devem usar a criptografia apropriada em todas as conexões de saída.
Sobre chaves gerenciadas pelo cliente:
- Você pode adicionar chaves gerenciadas pelo cliente para o armazenamento raiz do seu espaço de trabalho usando as chaves gerenciadas pelo cliente para o recurso DBFS, mas o Azure Databricks não exige que você faça isso.
- Você pode adicionar chaves gerenciadas pelo cliente para volumes de disco gerenciados, mas isso não é necessário para conformidade com a HIPAA.