Diretrizes de proteção de controles de auditoria
O ID do Microsoft Entra atende aos requisitos de prática relacionados à identidade para implementar as salvaguardas da Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 (HIPAA). Para estar em conformidade com a HIPAA, implemente as proteções usando essas diretrizes, com outras configurações ou processos necessários.
Para os controles de auditoria:
Estabeleça a governança de dados para o armazenamento de dados pessoais.
Identifique e rotule os dados confidenciais.
Configure a coleta de auditoria e os dados de log seguros.
Configure a prevenção contra perda de dados.
Habilite a proteção de informações.
Para proteção:
Determine onde os dados de Informações de Integridade Protegidas (PHI) são armazenados.
Identifique e reduza os riscos dos dados armazenados.
Esse artigo fornece palavras de proteção HIPAA relevantes, seguidas por uma tabela com recomendações e diretrizes da Microsoft para ajudar a alcançar a conformidade com a HIPAA.
Controles de auditoria
O conteúdo a seguir é diretrizes de proteção da HIPAA. Encontre recomendações da Microsoft para atender aos requisitos de implementação de proteção.
Proteção HIPAA - controles de auditoria
Implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use electronic protected health information.
| Recomendação | Ação |
|---|---|
| Habilite o Microsoft Purview | O Microsoft Purview ajuda a gerenciar e monitorar dados fornecendo governança de dados. O uso do Purview ajuda a minimizar os riscos de conformidade e atender aos requisitos regulamentares. O Microsoft Purview no portal de governança fornece um serviço unificado de governança de dados que ajuda você a gerenciar seus dados locais, multicloud e de Software como serviço (SaaS). O Microsoft Purview é uma estrutura, um conjunto de produtos que trabalham juntos para fornecer visualização da proteção do ciclo de vida de dados confidenciais para dados e prevenção contra perda de dados. |
| Habilitar Microsoft Sentinel | O Microsoft Sentinel fornece gerenciamento de eventos e informações de segurança (SIEM) e orquestração de segurança, automação e soluções de resposta (SOAR). O Microsoft Sentinel coleta logs de auditoria e usa IA integrada para ajudar a analisar grandes volumes de dados. O SIEM permite que uma organização detecte incidentes que podem passar despercebidos. |
| Configurar o Azure Monitor | Use os Logs do Azure Monitor para coletar e organizar logs, expandindo para ambientes de nuvem e híbridos. Ele fornece recomendações sobre as principais áreas de como proteger recursos combinados com o centro de confiança do Azure. |
| Habilitar o registro em log e o monitoramento | O registro em log e o monitoramento são essenciais para proteger um ambiente. Os dados dão suporte a investigações e ajudam a detectar possíveis ameaças identificando padrões incomuns. Permita que você registre em log e monitore os serviços para reduzir o risco de acesso não autorizado. Recomendamos que você monitore os logs de atividade do Microsoft Entra. |
| Ambiente de varredura para dados de informações de integridade protegidas eletronicamente (ePHI) | O Microsoft Purview pode ser habilitado no modo de auditoria para verificar qual ePHI está localizado no estado de dados e os recursos que estão sendo usados para armazenar esses dados. Essa capacidade ajuda a estabelecer classificação e rotulagem de dados com base na confidencialidade dos dados. |
| Criar uma política DLP (prevenção contra perda de dados) | As políticas de DLP ajudam a estabelecer processos para garantir que dados confidenciais não sejam perdidos, mal utilizados ou acessados por usuários não autorizados. Isso evita violações de dados e exfiltração. O Microsoft Purview DLP examina mensagens de email, navega até o portal de conformidade do Microsoft Purview para revisar as políticas e personalizá-las para sua organização. |
| Habilite o monitoramento por meio do Azure Policy | O Azure Policy ajuda a impor padrões organizacionais e permite a capacidade de avaliar o estado de conformidade em um ambiente. Essa abordagem garante consistência, conformidade regulamentar e monitoramento, fornecendo recomendações de segurança por meio do Microsoft Defender para Nuvem |
| Avaliar os requisitos de gerenciamento de dispositivos | O Microsoft Intune pode ser usado para fornecer gerenciamento de dispositivos móveis (MDM) e gerenciamento de aplicativos móveis (MAM). O Microsoft Intune fornece controle sobre os dispositivos pessoais e da empresa. Os recursos incluem o gerenciamento de como os dispositivos podem ser usados e a aplicação de políticas que fornecem controle direto sobre os aplicativos móveis. |
| Proteção do aplicativo | O Microsoft Intune pode ajudar a estabelecer uma estrutura de proteção de dados que abrange os aplicativos de escritório do Microsoft 365 e incorporá-los em todos os dispositivos. As políticas de proteção de aplicativos garantem que os dados organizacionais permaneçam seguros e contidos no aplicativo em dispositivos pessoais (BYOD) e corporativos. |
| Configurar gerenciamento de risco interno | O Gerenciamento de Risco Interno do Microsoft Purview correlaciona sinais para identificar possíveis riscos internos maliciosos ou inadvertidos, como roubo de IP, vazamento de dados e violações de segurança. O Gerenciamento de Risco Interno permite que você crie políticas para gerenciar a segurança e a conformidade. Essa capacidade é desenvolvida com base no princípio de privacidade por design, são usados pseudônimos para os usuários por padrão e os controles de acesso baseados em função e logs de auditoria estão em vigor para ajudar a garantir a privacidade no nível do usuário. |
| Configurar conformidade de comunicação | A Conformidade de Comunicação do Microsoft Purview fornece as ferramentas para ajudar as organizações a detectar a conformidade regulamentar, como a conformidade com os padrões da Comissão de Valores Mobiliários (SEC) ou da Autoridade Reguladora da Indústria Financeira (FINRA). A ferramenta monitora violações de conduta empresarial, como informações sensíveis ou confidenciais, assédio ou linguagem ameaçadora e compartilhamento de conteúdo adulto. Essa capacidade é criada com a privacidade por design, nomes de usuário são pseudônimos por padrão, controles de acesso baseados em função são integrados, investigadores são aceitos por um administrador e logs de auditoria estão em vigor para ajudar a garantir a privacidade no nível do usuário. |
Proteger controles
O conteúdo a seguir fornece as diretrizes de controles de proteção HIPAA. Encontre as recomendações da Microsoft para atender à conformidade com a HIPAA.
HIPAA - proteção
Conduct an accurate and thorough safeguard of the potential risks and vulnerabilities to the confidentiality, integrity, and availability of electronic protected health information held by the covered entity.
| Recomendação | Ação |
|---|---|
| Verificar o ambiente em busca de dados ePHI | O Microsoft Purview pode ser habilitado no modo de auditoria para verificar quais ePHI estão no estado de dados e os recursos que estão sendo usados para armazenar esses dados. Essas informações ajudam a estabelecer a classificação dos dados e rotular sua confidencialidade. Além disso, usar o Gerenciador de Conteúdo fornece visibilidade de onde os dados confidenciais estão localizados. Essas informações ajudam a iniciar a jornada de rotulagem, desde a aplicação manual de rotulagem ou recomendações de rotulagem no lado do cliente até a rotulagem automática no lado do serviço. |
| Habilitar o Priva para proteger dados do Microsoft 365 | O Microsoft Priva avalia dados ePHI armazenados no Microsoft 365, verificando e avaliando informações confidenciais. |
| Habilitar o parâmetro de comparação de Segurança do Azure | O parâmetro de comparação de segurança na nuvem da Microsoft fornece controle para proteção de dados nos serviços do Azure e fornece uma linha de base para implementação de serviços que armazenam ePHI. O modo de auditoria fornece essas recomendações e etapas de correção para proteger o ambiente. |
| Habilitar o Gerenciamento de Vulnerabilidades do Defender | O Gerenciamento de Vulnerabilidades do Microsoft Defender é um módulo interno do Microsoft Defender para Ponto de Extremidade. O módulo ajuda você a identificar e descobrir vulnerabilidades e configurações incorretas em tempo real. O módulo também ajuda você a priorizar a apresentação das descobertas em um painel e relatórios em dispositivos, VMs e bancos de dados. |
Saiba mais
Pilar de Confiança Zero: Dispositivos, Dados, Aplicativos, Visibilidade, Automação e Orquestração
Pilar de Confiança Zero: Dados, Visibilidade, Automação e Orquestração