Avertissement: je ne suis pas avocat.
Tout d'abord, quelques lectures obligatoires:
Microsoft Azure Trust Center
Accord de partenariat commercial HIPAA (BAA)
La HIPAA et la loi HITECH sont des lois des États-Unis qui s'appliquent aux entités de soins de santé ayant accès aux informations sur les patients (appelées Protected Health Information ou PHI). Dans de nombreuses circonstances, pour qu'une entreprise de soins de santé couverte utilise un service cloud comme Azure, le fournisseur de services doit accepter dans un accord écrit de respecter certaines dispositions de sécurité et de confidentialité énoncées dans la HIPAA et la loi HITECH. Pour aider les clients à se conformer à HIPAA et à la loi HITECH, Microsoft propose un BAA aux clients comme avenant au contrat.
Microsoft propose actuellement le BAA aux clients qui ont un accord de licence en volume / entreprise (EA), ou une inscription EA uniquement Azure en place avec Microsoft pour les services dans le champ d'application. L'EA Azure uniquement ne dépend pas de la taille du siège, mais plutôt d'un engagement monétaire annuel envers Azure qui permet à un client d'obtenir une remise sur le paiement au fur et à mesure de la tarification.
Avant de signer le BAA, les clients doivent lire le document Azure HIPAA Implementation Guidance. Ce document a été développé pour aider les clients intéressés par HIPAA et la loi HITECH à comprendre les capacités pertinentes d'Azure. Le public visé comprend les responsables de la protection de la vie privée, les responsables de la sécurité, les responsables de la conformité et d'autres membres des organisations de clients responsables de la mise en œuvre et de la conformité à la loi HIPAA et HITECH. Le document couvre certaines des meilleures pratiques pour la création d'applications compatibles HIPAA et détaille les dispositions Azure pour la gestion des violations de sécurité. Bien qu'Azure inclut des fonctionnalités pour aider à activer la conformité des clients en matière de confidentialité et de sécurité, les clients sont responsables de veiller à ce que leur utilisation particulière d'Azure soit conforme à HIPAA, à la loi HITECH et à d'autres lois et réglementations applicables,
Les clients doivent contacter leur représentant de compte Microsoft pour signer l'accord.
Vous devrez peut-être signer un BAA avec votre fournisseur de cloud (Azure.) Demandez à votre (vos) représentant (s) de conformité.
Voici le guide d'implémentation Azure HIPAA .
Il est possible d'utiliser Azure d'une manière conforme aux exigences HIPAA et HITECH Act.
Les machines virtuelles Azure, et Azure SQL et les instances SQL Server exécutées dans les machines virtuelles Azure, sont toutes dans la portée et prises en charge ici.
Bitlocker est suffisant pour le cryptage des données au repos. Il utilise le cryptage AES d'une manière qui satisfait aux exigences HIPAA (ainsi qu'aux exigences d'autres organisations similaires) pour le cryptage des données au repos.
En outre, SQL Server ne stockera pas de données sensibles non chiffrées sur le lecteur du système d'exploitation, sauf si vous configurez SQL pour le faire ... comme par exemple la configuration de TempDB pour vivre sur le lecteur du système d'exploitation ou quelque chose du genre.
Le cryptage des cellules / champs / colonnes dans les bases de données individuelles n'est pas strictement requis en supposant que vous avez déjà satisfait aux exigences de cryptage des données au repos par d'autres moyens, par exemple TDE ou Bitlocker.
La façon dont vous choisissez de gérer la clé de chiffrement Bitlocker peut apparaître, car elle ne vivra pas à l'intérieur d'une puce TPM ou sur un lecteur USB amovible car vous n'avez pas accès à la machine physique. (Envisagez de demander à un administrateur système d'entrer manuellement un mot de passe pour déverrouiller le lecteur de données à chaque redémarrage du serveur.) C'est en quelque sorte le principal attrait pour des services tels que CloudLink, car ils gèrent cette clé de cryptage sacrée pour vous.