Penafian: Saya bukan pengacara.
Pertama, beberapa bacaan wajib:
Microsoft Azure Trust Center
Perjanjian Rekanan Bisnis HIPAA (BAA)
HIPAA dan HITECH Act adalah undang-undang Amerika Serikat yang berlaku untuk entitas layanan kesehatan dengan akses ke informasi pasien (disebut Informasi Kesehatan yang Dilindungi, atau PHI). Dalam banyak keadaan, bagi perusahaan kesehatan yang dilindungi untuk menggunakan layanan cloud seperti Azure, penyedia layanan harus menyetujui dalam perjanjian tertulis untuk mematuhi ketentuan keamanan dan privasi tertentu yang ditetapkan dalam HIPAA dan Undang-Undang HITECH. Untuk membantu pelanggan mematuhi HIPAA dan UU HITECH, Microsoft menawarkan BAA kepada pelanggan sebagai tambahan kontrak.
Microsoft saat ini menawarkan BAA kepada pelanggan yang memiliki Volume Licensing / Enterprise Agreement (EA), atau pendaftaran EA hanya Azure di tempat dengan Microsoft untuk layanan dalam lingkup. EA hanya Azure tidak tergantung pada ukuran kursi, melainkan pada komitmen moneter tahunan untuk Azure yang memungkinkan pelanggan untuk mendapatkan diskon atas pembayaran saat Anda menentukan harga.
Sebelum menandatangani BAA, pelanggan harus membaca Panduan Implementasi Azure HIPAA. Dokumen ini dikembangkan untuk membantu pelanggan yang tertarik dengan HIPAA dan UU HITECH untuk memahami kemampuan Azure yang relevan. Audiens yang dituju meliputi petugas privasi, petugas keamanan, petugas kepatuhan, dan lainnya di organisasi pelanggan yang bertanggung jawab atas implementasi dan kepatuhan HIPECH dan UU HITECH. Dokumen tersebut mencakup beberapa praktik terbaik untuk membangun aplikasi yang sesuai dengan HIPAA, dan merinci ketentuan Azure untuk menangani pelanggaran keamanan. Sementara Azure menyertakan fitur untuk membantu memungkinkan privasi dan kepatuhan keamanan pelanggan, pelanggan bertanggung jawab untuk memastikan penggunaan khusus Azure sesuai dengan HIPAA, UU HITECH, dan hukum dan peraturan lain yang berlaku,
Pelanggan harus menghubungi perwakilan akun Microsoft mereka untuk menandatangani perjanjian.
Anda mungkin diminta untuk menandatangani BAA dengan penyedia cloud Anda (Azure.) Tanyakan kepada perwakilan kepatuhan Anda.
Berikut adalah Panduan Implementasi Azure HIPAA .
Dimungkinkan untuk menggunakan Azure dengan cara yang sesuai dengan persyaratan HIPAA dan HITECH Act.
VM Azure, dan Azure SQL, serta instance SQL Server yang berjalan dalam Azure VMs, semuanya dalam cakupan dan didukung di sini.
Bitlocker cukup untuk enkripsi data saat istirahat. Ia menggunakan enkripsi AES dengan cara yang memenuhi persyaratan HIPAA (serta persyaratan organisasi serupa lainnya) untuk enkripsi data saat istirahat.
Selain itu, SQL Server tidak akan menyimpan data sensitif yang tidak dienkripsi pada drive OS kecuali Anda mengkonfigurasi SQL untuk melakukannya ... seperti misalnya mengkonfigurasi TempDB agar hidup di drive OS atau sesuatu.
Enkripsi sel / bidang / kolom dalam basis data individual tidak diperlukan dengan anggapan Anda telah memenuhi persyaratan untuk enkripsi data secara diam-diam dengan cara lain, misalnya TDE atau Bitlocker.
Bagaimana Anda memilih untuk mengelola kunci enkripsi Bitlocker dapat muncul, karena itu tidak akan hidup di dalam chip TPM atau pada drive USB yang dapat dilepas karena Anda tidak memiliki akses ke mesin fisik. (Pertimbangkan memiliki sysadmin secara manual memasukkan kata sandi untuk membuka kunci drive data setiap kali server reboot.) Ini adalah semacam penarikan utama ke layanan seperti CloudLink, karena mereka mengelola kunci enkripsi yang sakral untuk Anda.