Отказ от ответственности: я не юрист.
Во-первых, некоторые требуют чтения:
Microsoft Azure Trust Center
Соглашение с бизнес-партнером HIPAA (BAA)
HIPAA и Закон HITECH - это законы США, которые применяются к медицинским учреждениям, имеющим доступ к информации о пациентах (называемой защищенной медицинской информацией или PHI). Во многих случаях для страховой медицинской компании, использующей облачный сервис, такой как Azure, поставщик услуг должен в письменном соглашении согласиться соблюдать определенные положения о безопасности и конфиденциальности, изложенные в HIPAA и Акте HITECH. Чтобы помочь клиентам соблюдать HIPAA и Закон HITECH, Microsoft предлагает клиентам BAA в качестве дополнения к контракту.
В настоящее время Microsoft предлагает BAA клиентам, имеющим Соглашение о корпоративном лицензировании / Соглашение с предприятием (EA) или действующее соглашение с EA только на Azure для предоставления услуг в рамках области. Советник только для Azure не зависит от размера рабочего места, а от годового денежного обязательства Azure, которое позволяет клиенту получать скидку за плату по мере вашего ценообразования.
Перед подписанием BAA клиенты должны ознакомиться с Руководством по внедрению HIPAA Azure. Этот документ был разработан, чтобы помочь клиентам, которые заинтересованы в HIPAA и HITECH Act, понять соответствующие возможности Azure. Предполагаемая аудитория - это сотрудники по вопросам конфиденциальности, сотрудники службы безопасности, сотрудники, отвечающие за соблюдение нормативных требований, и другие сотрудники организаций-заказчиков, отвечающие за реализацию и соблюдение законов HIPAA и HITECH. В этом документе рассматриваются некоторые из лучших методов создания приложений, совместимых с HIPAA, и подробно описываются положения Azure для устранения нарушений безопасности. В то время как Azure включает функции, помогающие обеспечить соблюдение конфиденциальности и безопасности клиента, клиенты несут ответственность за обеспечение того, чтобы их конкретное использование Azure соответствовало HIPAA, Закону HITECH и другим применимым законам и положениям,
Клиенты должны связаться со своим представителем учетной записи Microsoft, чтобы подписать соглашение.
От вас может потребоваться подписать BAA с вашим облачным провайдером (Azure.) Попросите вашего представителя по соответствию.
Вот руководство по внедрению Azure HIPAA .
Azure можно использовать таким образом, чтобы он соответствовал требованиям Закона HIPAA и HITECH.
Виртуальные машины Azure и Azure SQL, а также экземпляры SQL Server, работающие в виртуальных машинах Azure, - все это находится в области действия и поддерживается здесь.
Bitlocker достаточно для шифрования данных в состоянии покоя. Он использует шифрование AES таким образом, чтобы удовлетворить требования HIPAA (а также требования других аналогичных организаций) для шифрования данных в состоянии покоя.
Кроме того, SQL Server не будет хранить незашифрованные, конфиденциальные данные на диске ОС, если вы не настроите SQL для этого ... как, например, настройка TempDB для работы на диске ОС или что-то в этом роде.
Шифрование ячеек / полей / столбцов в отдельных базах данных строго не требуется, если вы уже выполнили требования для шифрования данных в состоянии покоя другими способами, например, TDE или Bitlocker.
Вы можете выбрать способ управления ключом шифрования Bitlocker, поскольку он не будет находиться внутри микросхемы TPM или на съемном USB-накопителе, поскольку у вас нет доступа к физической машине. (Подумайте о том, чтобы системный администратор вручную вводил пароль для разблокировки диска с данными каждый раз, когда сервер перезагружается.) Это своего рода основное преимущество таких служб, как CloudLink, поскольку они управляют этим священным ключом шифрования для вас.