תקן HIPAA ב-Azure

אבטחת מידע, פרטיות ותקינה הן שאלות מפתח בכל הנוגע למעבר לענן ציבורי. לצורך כך הוקם Azure Trust Center.

Microsoft Azure עומד בדרישה של מספר תקנים בינלאומיים וספציפיים למדינות ותחומים, הכוללים את ISO 27001, PCI-DDS ו HIPAA. בפוסט זה נתרכז בתקן ה-HIPAA  והאמצעים ש- Azure מעמיד לראשות המפתחים כדי ליצר אפליקציות העונות לרגולציה זו.

מה זה HIPAA?

HIPAA – Health Insurance Portability and Accountability Act הוא חוק החל בארצות הברית ועיקרו שמירה על הפרטיות והאבטחה של מידע רפואי חסוי (המכונה PHI – Protected Health Information).

החוק מציין מספר סטנדרטים לשמירה על המידע:

  1. הגבלת הגישה לגורמי אנוש או תוכנה שקיבלו הרשאה מפורשת בלבד
  2. שמירת מידע על כל גישה למידע וביצוע תהליכי בקרה על אותו מידע
  3. המידע לא עובר מניפולציות כל שהן ללא הרשאה
  4. יש להעניק מזהה יחודי לכל אדם או ישות הניגשים למידע
  5. מידע מועבר בצורה בטוחה (מוצפן ומאובטח)

החוק מחייב כל ישות שמנהלת או ניגשת למידע כזה לחתום על התחייבות לקיים את כל דרישות שמירת הפרטיות המצויינות בתקינת HIPAA. התחייבות זאת נקראת BAA – Business Associate Agreement.

איך מיישמים את תקינת HIPAA ב- Azure?

מיקרוסופט עומדת בדרישות התקן עבור חלק מהשירותים אותם היא מספקת ב- Azure. כלומר, היא מסוגלת לספק ללקוחותיה הסכמי BAA חתומים לאותם שרותים, כנספח לחוזה עימה.

כרגע, מיקרוסופט מציעה BAA רק ללקוחות בעלי הסכם Enterprise (Enterprise Agreement – EA).  בכדי לחתום על ההסכם, עליך לפנות ל Account Manager המטפל בך בתוך מיקרוסופט.

האם אני HIPAA Compliant?

רשימת השירותים שהם HIPAA Compliant מתעדכנת תכופות, לכן מומלץ לבדוק את הרשימה העדכנית ביותר ב Compliance By Service. רשימה חלקית של השירותים העומדים בתקינה כוללת:

  • Cloud Services (Web and Worker roles)
  • Storage
  • Virtual Machines (Infrastructure-as-a-Service)
  • Networking (Traffic Manager, and Virtual Network)

בכדי לעמוד בתקן HIPAA אין זה מספיק להשתמש בשירותי Azure, אלא על המערכת כולה להיות HIPAA Compliant. לפני חתימה על BAA יש לעיין ב Azure HIPAA Implementation Guidance המפרט את התהליך, שיטות העבודה המומלצות, וחלוקת האחריות בין המפתח לבין מיקרוסופט.

זוהי אחריות המפתחים לוודא שהשימוש ב Azure עונה על כל דרישות החוק.

חשוב לוודא אילו מרכיבים של Azure עונים על דרישות תקן הHIPAA כבר בשלב התכנון, ולהקפיד כי כל חלקי המערכת יעמדו באותם סטנדרטים. דוגמא לכך היא Azure Storage, שאומנם עומד בתקן, אך עדין יש להצפין את המידע הנשמר בו בכדי לעמוד בסטנדרטים ולקבל את תו התקן.

דוגמא פשוטה לבניית פתרון ב- Azure שמשתמש בשירותים שהם HIPAA Compliant תהיה שימוש ב- Cloud Services: כל הלוגיקה נשמרת ב Web Role ו- Worker Role. מידע עובר מעל SSL ונשמר ב- Azure Storage לאחר שעבר הצפנה.  Azure storage analytics logsמשמשים לצורך זיהוי נסיונות גישה למידע.

לסיכום, עמידה בתו התקן הינה אחריות משותפת של מיקרוסופט ושלך. Azure מציע שירותים העומדים בתקינה והסכם BAA, אך השימוש באותם שירותים, השמירה על המידע ותכנון האפליקציה כך שיעמדו בתקן הם תחת אחריותך.

מקווה שנהניתם מסקירה כזה זו של נושא אבטחת מידע, פרטיות ותקינות במעבר לטכנולוגיות ענן. למידע נוסף אתם מוזמנים לפנות לאתר Azure המקומי.

להתנסות בשירות אתם מוזמנים להירשם לחודש ניסיון חינם עם קרדיט של 200$.

אנחנו תמיד עומדים כאן לשירותיכם אז אנא – צרו עימנו קשר

Nava Vaisman Levy

נאוה ויסמן לוי, מומחית טכנלוגיות Azure, מיקרוסופט