Відмова: Я не юрист.
По-перше, деякі вимагають прочитати:
Центр довіри Microsoft Azure
Угода про бізнес-партнер HIPAA (BAA)
HIPAA та Закон HITECH - це закони США, які застосовуються до підприємств охорони здоров'я, які мають доступ до інформації про пацієнтів (називається захищеною інформацією про здоров'я або PHI). За багатьох обставин, коли компанія, що охоплює охорону здоров'я, використовує хмарний сервіс, як Azure, постачальник послуг повинен у письмовій угоді домовитись дотримуватися певних положень щодо безпеки та конфіденційності, викладених у HIPAA та Законі HITECH. Щоб допомогти клієнтам виконувати HIPAA та Закон HITECH, Microsoft пропонує клієнтам BAA як доповнення до договору.
В даний час Microsoft пропонує BAA клієнтам, які мають об’ємну ліцензію / корпоративну угоду (EA) або зареєстровано EA лише для Azure в EA для корпоративних служб Microsoft. EA only Azure не залежить від розміру місця, а не від щорічного грошового зобов’язання перед Azure, що дозволяє клієнту отримати знижку на оплату праці під час ціноутворення.
Перед підписанням BAA, клієнти повинні ознайомитися з Посібниками щодо впровадження HIPAA Azure. Цей документ був розроблений, щоб допомогти клієнтам, які цікавляться HIPAA та Законом HITECH, зрозуміти відповідні можливості Azure. Цільова аудиторія включає службовців із конфіденційності, службовців безпеки, службовців з питань дотримання законодавства та інших осіб в організаціях-замовниках, відповідальних за впровадження та дотримання закону HIPAA та HITECH. Документ охоплює деякі найкращі практики створення програм, сумісних з HIPAA, та детально розглядає положення Azure щодо усунення порушень безпеки. Хоча Azure включає в себе функції, що сприяють дотриманню конфіденційності та безпеки клієнтів, клієнти несуть відповідальність за забезпечення їх конкретного використання Azure відповідно до HIPAA, Закону HITECH та інших застосовних законів та правил,
Клієнти повинні зв’язатися зі своїм представником облікового запису Microsoft для підписання угоди.
Можливо, вам буде потрібно підписати BAA у свого постачальника послуг хмари (Azure.) Попросіть свого представника (-ів) відповідності.
Ось Посібник з впровадження HIPAA Azure .
Можна використовувати Azure таким чином, щоб він відповідав вимогам HIPAA та HITECH Act.
Тут розміщені та підтримуються екземпляри віртуальних машин Azure, і Azure SQL, і екземпляри SQL Server, що працюють у вітринах Azure.
Бітлокера достатньо для шифрування даних у спокої. Він використовує шифрування AES таким чином, що задовольняє вимоги HIPAA (а також вимоги інших подібних організацій) для шифрування даних у спокої.
Крім того, SQL Server не буде зберігати незашифровані, конфіденційні дані на дисководі ОС, якщо ви не налаштуєте SQL для цього ... як, наприклад, налаштування TempDB для роботи на дисководі ОС чи інше.
Шифрування комірок / полів / стовпців в окремих базах даних не є строго необхідним, якщо ви вже задовольнили вимоги щодо шифрування даних у спокої іншими способами, наприклад, TDE або Bitlocker.
Як ви вирішите керувати ключем шифрування Bitlocker, може з'явитися, оскільки він не буде працювати в мікросхемі TPM або на знімному USB-накопичувачі, оскільки у вас немає доступу до фізичної машини. (Подумайте про те, щоб системний адміністратор вводив пароль вручну, щоб розблокувати накопичувач даних щоразу, коли сервер перезавантажується.) Це такий собі основний малюнок для служб, як CloudLink, оскільки вони керують цим священним ключем шифрування для вас.