Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
I servizi di cloud storage più popolari conformi a HIPAA

I servizi di cloud storage più popolari conformi a HIPAA

Aug 13, 2020

Le organizzazioni sanitarie devono assicurarsi che i servizi di archiviazione cloud siano conformi all'HIPAA proteggendo le informazioni sanitarie protette elettroniche (ePHI) attraverso la crittografia, i controlli di accesso, il monitoraggio delle attività e la Data Classification. Fornitori come Microsoft OneDrive, Google Drive, Dropbox Business e Box offrono versioni compatibili con HIPAA con Business Associate Agreements, ma la conformità dipende dalla corretta configurazione, dalle valutazioni dei rischi e dal monitoraggio continuo da parte dell'entità coperta.

Il cloud computing offre vantaggi innegabili per l'archiviazione e l'accesso ai registri sanitari elettronici. I file memorizzati nel cloud sono accessibili in qualsiasi momento e ovunque da qualsiasi dispositivo, il che facilita la condivisione di informazioni mediche critiche tra i lavoratori sanitari. Ma la memorizzazione nel cloud è abbastanza sicura per conservare, accedere e trasferire informazioni personali e mediche sensibili?

Per cliniche, ospedali e altre organizzazioni sanitarie, garantire che le informazioni mediche dei pazienti rimangano private non è solo una questione etica, ma anche legale. Il Health Insurance Portability and Accountability Act (HIPAA) fornisce regole chiare riguardo alla conservazione e alla condivisione dei dati medici. Qualsiasi organizzazione che gestisce cartelle cliniche è tenuta a rispettare la conformità.

Pertanto, prima di trasferire dati relativi alla salute su un archivio cloud, le organizzazioni sanitarie devono assicurarsi che il software che intendono utilizzare sia HIPAA compliant.

L'articolo tratta di depositi conformi a HIPAA e spiega la tua responsabilità nel rendere conforme il tuo archivio cloud:

Cos'è l'HIPAA?

HIPAA è un insieme di regole che stabiliscono gli usi e le divulgazioni consentite delle informazioni sanitarie e mediche. Impone restrizioni su chi può accedere alle informazioni sulla salute e quando, e stabilisce anche standard per proteggere i dati sanitari da individui che non hanno il diritto di visualizzarli.

Contenuti correlati selezionati:

Le disposizioni chiave di HIPAA includono:

  • Regole sulla privacy HIPAA — Regolano come le informazioni sulla salute di un individuo possono essere divulgate o utilizzate
  • Regole di sicurezza HIPAA — Stabiliscono standard per la salvaguardia e la protezione delle informazioni sanitarie create, elaborate, accessibili o memorizzate elettronicamente
  • La regola di notifica delle violazioni HIPAA — Richiede alle organizzazioni di notificare agli individui le cui informazioni sanitarie personali sono state esposte e regola il processo di notifica
  • La Regola Omnibus HIPAA — Chiarisce definizioni, procedure e politiche; fornisce una lista di controllo per i Business Associates; e attua i requisiti del Health Education Technology for Economic and Clinical Health (HITECH) Act
  • La regola di applicazione HIPAA — Governa le indagini seguenti a una violazione dei dati e stabilisce le sanzioni imposte alla parte responsabile

Le entità sanitarie devono sviluppare specifiche misure di sicurezza, procedure e politiche per conformarsi a queste regole.

Tipi di informazioni protette

HIPAA richiede la protezione delle “informazioni sanitarie individualmente identificabili,” che sono definite come informazioni riguardanti:

  • Il passato, presente o futuro stato di salute fisica o mentale di un individuo
  • La fornitura di assistenza sanitaria all'individuo
  • Pagamenti passati, presenti o futuri per la fornitura di assistenza sanitaria all'individuo
  • L'identità dell'individuo o i dati che si ha un ragionevole motivo per credere possano essere utilizzati per identificare l'individuo

Tipi di misure di sicurezza

La regola di sicurezza HIPAA copre tre tipi di salvaguardie per le informazioni sanitarie protette:

  • Misure di sicurezza fisiche — HIPAA richiede lo sviluppo di politiche per l'uso e il posizionamento delle postazioni di lavoro e procedure per l'uso di dispositivi mobili, oltre all'implementazione di controlli di accesso agli impianti, se applicabili.
  • Misure di sicurezza tecniche — HIPAA richiede l'implementazione di registri di attività e controlli, così come un sistema di controllo degli accessi. La conformità potrebbe richiedere meccanismi per autenticare le informazioni e strumenti per la crittografia.
  • Salvaguardie amministrative — HIPAA richiede la conduzione di valutazioni del rischio, l'attuazione di politiche di gestione del rischio, lo sviluppo di un piano di contingenza e la restrizione dell'accesso alle informazioni da parte di terzi.

Contenuti correlati selezionati:

Termini chiave HIPAA

Ecco i termini più importanti utilizzati in HIPAA:

  • PHI: Informazioni sanitarie protette
  • ePHI: Informazioni sanitarie protette che sono memorizzate o trasmesse elettronicamente
  • Entità coperta — Un fornitore di assistenza sanitaria, un fornitore di piani sanitari (come un'assicurazione o un datore di lavoro) o un'intermediario sanitario
  • Associato commerciale — Una persona o un'azienda che fornisce un servizio o svolge una particolare funzione o attività per un'entità coperta
  • Accordo Associato Commerciale — Un contratto legale che stabilisce quali PHI l'associato commerciale può accedere, come devono essere utilizzati i PHI e i requisiti per la restituzione o la distruzione dei PHI una volta completato il compito per cui sono necessari. Un'entità coperta deve ottenere un Accordo Associato Commerciale prima di permettere a un associato commerciale di accedere

Conformità HIPAA e archiviazione cloud

Nessun server cloud è conforme HIPAA immediatamente dopo l'installazione, ma ci sono modi in cui gli esperti IT possono intervenire e rendere il cloud conforme alle esigenze delle entità coperte.

Le organizzazioni dovrebbero tenere presente che non esiste una certificazione ufficiale HIPAA o HITECH, e nessun ente governativo o del settore certifica la HIPAA compliance per i servizi cloud. Ciò significa che spetta all'entità coperta e al fornitore di servizi cloud assicurare l'aderenza ai requisiti della legge. Il servizio cloud deve rivedere le normative HIPAA e possibilmente aggiornare i suoi prodotti, politiche e procedure per supportare gli obiettivi di conformità HIPAA dell'entità coperta.

Come si applica l'HIPAA allo storage cloud?

Quando un'entità coperta memorizza PHI nel cloud, il servizio di archiviazione cloud è considerato per legge un associato commerciale dell'entità coperta. Per essere conforme all'HIPAA, quindi, deve essere stipulato un Accordo di Associato Commerciale. Tale accordo deve dichiarare che il fornitore di servizi cloud deve:

  • Proteggi i dati trasmessi al cloud
  • Conserva i dati in modo sicuro
  • Fornire un sistema che permetta un attento controllo dell'accesso ai dati
  • Registra i log di tutte le attività, incluse sia i tentativi di accesso riusciti che quelli falliti

Un archivio cloud conforme a HIPAA incorpora tutti i controlli necessari per garantire la riservatezza, integrità e disponibilità delle ePHI. L'entità coperta è responsabile dello sviluppo di politiche e procedure che coprono l'uso di archiviazione cloud sicura HIPAA per queste informazioni.

Quali servizi cloud non sono considerati conformi a HIPAA?

Alcuni servizi cloud non possono essere resi conformi a HIPAA per vari motivi. Apple e iCloud, ad esempio, non possono essere conformi a HIPAA perché non offrono un BAA per le entità coperte.

Altri servizi non riescono a fornire capacità di sicurezza integrate essenziali, come la Netwrix Data Classification, e quindi non possono essere utilizzati per memorizzare ePHI.

Perché la classificazione dei dati è essenziale?

La classificazione dei dati è necessaria per inventariare l'ePHI e raggrupparlo in base al livello di sensibilità, in modo che l'organizzazione possa garantire la sua riservatezza, integrità e disponibilità come richiesto dalla Normativa sulla Sicurezza HIPAA. Distinguendo tra dati regolamentati e non regolamentati, la classificazione consente alle organizzazioni di:

  • Dai priorità ai controlli di sicurezza
  • Proteggi le risorse critiche
  • Migliora la gestione dei rischi aiutando a valutare il valore dei dati e l'impatto della perdita, uso improprio o compromissione dei dati
  • Razionalizza il processo di discovery legale
  • Migliora la produttività degli utenti

I dati protetti da HIPAA seguono tipicamente uno schema di classificazione dei dati a tre livelli:

  • Dati riservati o confidenziali— Informazioni che potrebbero causare danni significativi se divulgate, alterate o distrutte. Questi dati richiedono il massimo livello di sicurezza mediante l'accesso controllato secondo il principio del privilegio minimo necessario.
  • Dati interni — Informazioni la cui divulgazione, alterazione o distruzione può causare danni di livello moderato o basso. Questi dati non sono rilasciati al pubblico e richiedono security controls ragionevoli.
  • Dati pubblici — I dati pubblici non necessitano di protezione contro l'accesso non autorizzato, ma richiedono comunque protezione contro alterazioni o distruzioni non autorizzate.

Come incide il Regolamento sulla Privacy HIPAA sui servizi cloud?

La normativa sulla privacy HIPAA richiede che le entità coperte e gli associati commerciali stabiliscano l'integrità dell'ePHI e lo proteggano da distruzione o alterazione non autorizzate. Le organizzazioni devono identificare dove l'ePHI viene memorizzato, ricevuto, mantenuto e trasmesso. Questo compito richiede un'attenzione particolare nel caso dei servizi di archiviazione cloud.

La scelta più sicura quando si utilizza lo storage cloud per ePHI è quella di usare un servizio che è noto per essere compatibile con i requisiti HIPAA e HITECH.

I servizi di archiviazione cloud più popolari che supportano HIPAA e HITECH

Ci sono diversi servizi di archiviazione cloud popolari che supportano HIPAA e il HITECH Act.

Ricorda che non tutte le versioni di questi servizi saranno conformi — di solito solo una versione particolare o una licenza supporta l'uso conforme a HIPAA. Tutte le seguenti piattaforme, tuttavia, hanno almeno una versione con le adeguate capacità di sicurezza per essere rese conformi, e tutte sono disposte a firmare un Business Associate Agreement.

1. Dropbox Business

Dropbox Business offre un BAA per le entità coperte e può essere configurato per fornire un archivio cloud conforme a HIPAA. Il servizio offre una varietà di controlli amministrativi, tra cui la revisione degli accessi degli utenti e user activity reports. Consente inoltre di esaminare e rimuovere i dispositivi collegati e abilita l’autenticazione a due fattori per una sicurezza aggiuntiva.

2. G Suite e Google Drive

Google offre un BAA come addendum al contratto standard di G Suite. Anche se non tutti i prodotti G Suite possono essere resi conformi a HIPAA, diverse applicazioni Google utili rispettano i requisiti legali per l’archiviazione e la condivisione delle ePHI.

Google Drive e applicazioni correlate come Docs, Sheets, Slide e Forms possono essere configurate per la conformità HIPAA, così come servizi come Gmail e Calendar. Tuttavia, Google Contacts, così come siti Google non principali come YouTube e Blogger, non possono essere resi conformi HIPAA e quindi non possono essere inclusi in un BAA.

3. Microsoft OneDrive e E5

I Termini del Servizio Online di Microsoft forniscono automaticamente un Business Associate Agreement. L'accordo è disponibile per OneDrive for Business, Azure, Azure Government, Cloud App Security e Office 365, tra gli altri. I servizi coperti includono email, archiviazione file e calendari. Microsoft fornisce anche strumenti di data loss prevention.

La licenza Enterprise E5 di Microsoft offre le funzionalità di sicurezza più robuste disponibili dell'azienda. Il pacchetto include anche una gestione avanzata della sicurezza per la valutazione dei rischi.

4. Box Enterprise ed Elite

Box Enterprise ed Elite includono il monitoraggio degli accessi, la generazione di rapporti e le tracce di verifica per utenti e contenuti. Il servizio offre anche permessi o autorizzazioni granulari. Box può condividere dati in modo sicuro attraverso un protocollo di messaggistica diretta e permette la visualizzazione sicura di file DICOM, inclusi raggi X, scansioni CT e ultrasuoni.

Caratteristiche di sicurezza essenziali per la conformità HIPAA

HIPAA richiede una serie di funzionalità di sicurezza dai servizi che lavorano con entità coperte. I servizi di archiviazione cloud menzionati consentono tutti una combinazione delle seguenti configurazioni di sicurezza:

  • Un cloud storage conforme a HIPAA deve offrire l'autenticazione a due fattori o l'accesso single sign-on e la crittografia dei dati ePHI trasferiti.
  • Tutti i dispositivi utilizzati per accedere o inviare ePHI devono essere in grado di encrypt i messaggi da inviare al di fuori del firewall e decrypt i messaggi ricevuti. Tutte le criptazioni devono essere conformi agli standard NIST.
  • La configurazione dei permessi di condivisione dei file consente alle entità coperte di implementare un sistema basato sui permessi che limita l'accesso degli utenti non autorizzati. I controlli devono essere configurati correttamente per essere efficaci, inclusa l'autenticazione a due fattori, password sicure e procedure sicure di condivisione dei file per proteggere i dati dall'accesso non autorizzato.
  • Il monitoraggio dell'attività degli account richiede di esaminare regolarmente i log di accesso per garantire di poter individuare tempestivamente attività improprie. Soluzioni come Netwrix Auditor ti aiutano ad acquisire visibilità sulle attività aziendali nel cloud. Netwrix Auditor fornisce report sia sugli eventi di accesso sia sulle modifiche, incluse le modifiche ai contenuti, alle impostazioni di sicurezza e alle configurazioni delle caselle di posta.
  • La classificazione dei dati è essenziale per raggruppare e proteggere le informazioni in base al livello di sensibilità. Netwrix Data Classification fornisce tassonomie predefinite facili da personalizzare, classifica i dati con precisione e automatizza flussi di lavoro critici per migliorare la sicurezza dei dati.
  • Un'unità cloud non può essere resa conforme all'HIPAA a meno che non si configurino correttamente i controlli di sicurezza e si monitori l'attività attorno ai dati memorizzati nel sistema. Per garantire che il servizio di archiviazione cloud della tua organizzazione rimanga conforme, assicurati di eseguire regolarmente valutazioni dei rischi e sviluppare politiche e procedure di cybersecurity rigorose.

Punti chiave

Utilizzare un fornitore di servizi cloud di fiducia è fondamentale, ma non garantisce uno storage cloud conforme. Anche quando un servizio cloud firma un Business Associate Agreement e offre controlli di sicurezza amministrativi, crittografia e altri security tools, ciò non rende automaticamente la tua organizzazione conforme all'HIPAA.

Per assicurarti che i tuoi servizi di archiviazione cloud siano conformi a HIPAA, assicurati di:

  • Configurate correttamente le impostazioni
  • Controlla l'accesso delle app di terze parti al cloud
  • Utilizza strumenti specializzati per le verifiche dei log al fine di garantire la sicurezza e la privacy dei file

Le organizzazioni sanitarie e i pazienti si affidano a solidi protocolli di cybersecurity per proteggere le ePHI da danni, distruzione, alterazione e accesso non autorizzato. Utilizzare uno di questi servizi può aiutare a mantenere i tuoi dati al sicuro e la tua organizzazione sanitaria conforme alla legge.

FAQ

Quali funzionalità di sicurezza rendono lo storage cloud conforme a HIPAA?

I servizi di archiviazione cloud conformi a HIPAA offrono tutti:

  • Data Classification
  • Restrizioni dei permessi per l'accesso e la condivisione di file
  • Crittografia e decrittografia dei dati
  • Autenticazione a due fattori o single sign-on
  • Registri di attività e controlli di audit per registrare i tentativi di accesso e registrare ciò che viene fatto con i dati una volta che sono stati acceduti

Qual è lo scopo di un Business Associate Agreement (BAA)?

Prima che un'entità coperta possa utilizzare un servizio di archiviazione cloud, deve firmare un accordo BAA con il servizio. Questo accordo:

  • Specifica quali PHI l'associato commerciale può accedere
  • Indica come può essere utilizzato il PHI
  • Stabilisce come le PHI saranno restituite o distrutte una volta completato il compito per cui erano necessarie

Avere un BAA garantisce la conformità della mia organizzazione con HIPAA e l'HITECH Act?

No. Spetta a voi, l'entità sanitaria, stabilire le configurazioni appropriate, creare le politiche necessarie ed eseguire la dovuta diligenza per raggiungere e mantenere la HIPAA compliance.

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Dirk Schrader

VP della Ricerca sulla Sicurezza

Dirk Schrader è un Resident CISO (EMEA) e VP of Security Research presso Netwrix. Con 25 anni di esperienza nella sicurezza informatica e certificazioni come CISSP (ISC²) e CISM (ISACA), lavora per promuovere la cyber resilience come approccio moderno per affrontare le minacce informatiche. Dirk ha lavorato a progetti di cybersecurity in tutto il mondo, iniziando con ruoli tecnici e di supporto all'inizio della sua carriera per poi passare a posizioni di vendita, marketing e gestione prodotti sia in grandi multinazionali che in piccole startup. Ha pubblicato numerosi articoli sull'esigenza di affrontare la gestione dei cambiamenti e delle vulnerabilità per raggiungere la cyber resilience.

Scopri di più su questo argomento

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

Cos'è la gestione dei documenti elettronici?

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza