Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)

Panoramica di HITRUST CSF

La Health Information Trust Alliance (HITRUST) è un'organizzazione governata da rappresentanti del settore sanitario. HITRUST ha creato e gestisce Common Security Framework (CSF), un framework certificabile per aiutare le organizzazioni sanitarie e i loro provider a dimostrare la sicurezza e la conformità in modo coerente e semplificato.

Il CSF si basa su HIPAA e HITECH Act, che sono leggi sanitarie degli Stati Uniti che hanno stabilito requisiti per l'uso, la divulgazione e la protezione di informazioni sanitarie identificabili singolarmente e che applicano la non conformità. HITRUST fornisce un benchmark, ovvero un framework di conformità standardizzato, una valutazione e un processo di certificazione, rispetto al quale i provider di servizi cloud e le entità sanitarie coperte possono misurare la conformità. Il CSF incorpora anche requisiti di sicurezza, privacy e altri requisiti normativi specifici dell'assistenza sanitaria da framework esistenti come il Payment Card Industry Data Security Standard (PCI-DSS), gli standard di gestione della sicurezza delle informazioni ISO/IEC 27001 e gli standard minimi di rischio accettabili per gli scambi (MARS-E).

Il csf è suddiviso in 19 domini diversi, tra cui endpoint protection, sicurezza dei dispositivi mobili e controllo di accesso. HITRUST certifica le offerte IT in base a questi controlli. HITRUST adatta anche i requisiti per la certificazione ai rischi di un'organizzazione in base a fattori organizzativi, di sistema e normativi.

Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)

HITRUST offre tre gradi di garanzia o livelli di valutazione: autovalutazione, convalida csf e certificazione CSF. Ogni livello viene compilato con rigore crescente rispetto a quello sottostante. Un'organizzazione con il livello più alto, con certificazione CSF, soddisfa tutti i requisiti di certificazione del CSF. Microsoft Azure e Office 365 sono i primi servizi cloud iperscalabilità a ricevere la certificazione per HITRUST CSF. Coalfire, una società di valutazione HITRUST, ha eseguito le valutazioni in base al modo in cui Azure e Office 365 implementare i requisiti di sicurezza, privacy e normative per proteggere le informazioni sensibili. Microsoft supporta il programma di responsabilità condivisa HITRUST.

Informazioni su come accelerare la distribuzione DI HITRUST con il progetto sicurezza e conformità di Azure.

Scaricare il progetto Microsoft Azure HITRUST Customer Responsibility Matrix (CRM) v9.0d

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

Azure, Dynamics 365 e HITRUST

Per altre informazioni su Azure, Dynamics 365 e altre Servizi online conformità, vedere l'offerta Azure HITRUST.

Office 365 e HITRUST

ambienti Office 365

Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.

Questa sezione illustra gli ambienti di Office 365 seguenti:

  • Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
  • Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
  • Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
  • Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
  • Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.

Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.

L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.

Applicabilità di Office 365 e servizi inclusi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:

Applicabilità Servizi inclusi nell'ambito
Commerciale Servizio Feed attività, Servizi Bing, Delve, Exchange Online Protection, Exchange Online, Microsoft Teams, portale clienti Office 365, Office Online, Infrastruttura dei servizi di Office, Report sull'utilizzo di Office, OneDrive for Business, Persone Scheda, SharePoint Online, Skype for Business, Windows Ink

Controlli, report e certificati di Office 365

La certificazione HITRUST CSF di Office 365 è valida per due anni.

Domande frequenti

Perché alcuni servizi Office 365 non rientrano nell'ambito di questa certificazione?

Microsoft offre le offerte più complete rispetto ad altri provider di servizi cloud. Per rimanere al passo con le nostre ampie offerte di conformità in aree e settori, sono inclusi i servizi nell'ambito delle nostre attività di garanzia in base alla domanda del mercato, al feedback dei clienti e al ciclo di vita del prodotto. Se un servizio non è incluso nell'ambito corrente di un'offerta di conformità specifica, l'organizzazione ha la responsabilità di valutare i rischi in base agli obblighi di conformità e determinare il modo in cui si elaborano i dati in tale servizio. Raccogliamo continuamente feedback dai clienti e collaboriamo con autorità di regolamentazione e revisori per espandere la nostra copertura di conformità per soddisfare le tue esigenze di sicurezza e conformità.

La certificazione Microsoft significa che se l'organizzazione usa Office 365, è conforme a HITRUST CSF?

Quando si archiviano i dati in un sistema SaaS come Office 365, è responsabilità condivisa tra Microsoft e l'organizzazione ottenere la conformità. Microsoft gestisce la maggior parte dei controlli dell'infrastruttura, tra cui sicurezza fisica, controlli di rete, controlli a livello di applicazione e così via, e l'organizzazione ha la responsabilità di gestire i controlli di accesso e proteggere i dati sensibili. Il Office 365 certificazione HITRUST dimostra la conformità del framework di controllo microsoft. A tale scopo, l'organizzazione deve implementare e gestire i propri controlli di protezione dei dati per soddisfare i requisiti di HITRUST CSF.

Microsoft fornisce indicazioni all'organizzazione per implementare controlli appropriati quando si usa Office 365?

Sì, è possibile trovare le azioni consigliate per i clienti in Compliance Manager, soluzioni cloud cross-Microsoft che consentono all'organizzazione di soddisfare obblighi di conformità complessi quando si usano i servizi cloud. In particolare, per HITRUST CSF, è consigliabile eseguire valutazioni dei rischi usando le valutazioni NIST 800-53 e NIST CSF in Compliance Manager. Nelle valutazioni vengono fornite istruzioni dettagliate e le soluzioni Microsoft che è possibile usare per implementare i controlli di protezione dei dati. Per altre informazioni su Compliance Manager, vedere Microsoft Purview Compliance Manager.

Usare Microsoft Purview Compliance Manager per valutare il rischio

Microsoft Purview Compliance Manager è una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come compilare e gestire le valutazioni in Compliance Manager.

Risorse