免责声明:我不是律师。
首先,需要阅读一些内容:
Microsoft Azure信任中心
HIPAA业务合作伙伴协议(BAA)
HIPAA和HITECH法案是美国法律,适用于有权访问患者信息(称为“受保护的健康信息”或PHI)的医疗机构。在许多情况下,要让覆盖范围的医疗保健公司使用像Azure这样的云服务,服务提供商必须在书面协议中同意遵守HIPAA和HITECH Act中规定的某些安全和隐私条款。为了帮助客户遵守HIPAA和HITECH法案,Microsoft向客户提供了BAA作为合同补遗。
Microsoft当前向拥有批量许可/企业协议(EA)或已向Microsoft提供适用范围内服务的Azure唯一EA注册的客户提供BAA。仅限Azure的EA并不取决于席位大小,而是取决于对Azure的年度货币承诺,该承诺使客户可以在进行定价时获得薪资折扣。
在签署BAA之前,客户应阅读Azure HIPAA实施指南。本文档旨在帮助对HIPAA和HITECH法案感兴趣的客户了解Azure的相关功能。目标受众包括隐私官,安全官,合规官以及客户组织中负责HIPAA和HITECH Act实施和合规的其他人员。该文档涵盖了一些构建符合HIPAA的应用程序的最佳实践,并详细介绍了Azure处理安全漏洞的规定。尽管Azure包含有助于实现客户的隐私和安全合规性的功能,但客户有责任确保其对Azure的特殊使用符合HIPAA,HITECH法案以及其他适用的法律和法规,
客户应联系其Microsoft客户代表以签署协议。
您可能需要与您的云提供商签署BAA(Azure)。询问您的合规代表。
这是Azure HIPAA实施指南。
可以以符合HIPAA和HITECH Act要求的方式使用Azure。
Azure VM,Azure SQL和在Azure VM中运行的SQL Server实例均在范围内,并在此处受支持。
Bitlocker足以加密静态数据。它以满足HIPAA要求(以及其他类似组织的要求)的方式使用AES加密,以对静态数据进行加密。
此外,除非将SQL配置为这样做,否则 SQL Server不会将未加密的敏感数据存储在OS驱动器上,例如将TempDB配置为驻留在OS驱动器上或诸如此类。
假设您已经满足了以其他方式(例如TDE或Bitlocker)对静态数据进行加密的要求,则不严格要求对单个数据库中的单元格/字段/列进行加密。
可能会出现选择管理Bitlocker加密密钥的方式,因为由于您无权访问物理机,因此它不会存在于TPM芯片内或可移动USB驱动器上。(考虑让sysadmin手动输入密码以在每次服务器重新引导时解锁数据驱动器。)这是诸如CloudLink之类的服务的主要吸引点,因为它们为您管理着该神圣的加密密钥。