Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
Microsoft 365 è conforme a HIPAA?

Microsoft 365 è conforme a HIPAA?

Jul 30, 2020

Microsoft 365 può supportare la conformità a HIPAA attraverso i suoi controlli di sicurezza integrati, l'accordo di associazione commerciale (BAA) e gli strumenti del Compliance Center. Le entità coperte devono abilitare funzionalità come la crittografia, i controlli di accesso, i registri di controllo e l'autenticazione a più fattori, garantendo al contempo che il personale segua pratiche rigorose nella gestione dei dati. La conformità non è automatica; la responsabilità finale spetta all'organizzazione sanitaria che utilizza Microsoft 365.

La conformità HIPAA di Office 365 è una preoccupazione crescente per un numero maggiore di aziende sanitarie. La solida soluzione cloud di Microsoft consente ai fornitori di conservare documenti e comunicare con facilità — ma è troppo facile? Le informazioni sensibili possono davvero essere protette se sono memorizzate nel cloud?

Il cloud computing si sta facendo strada nell'industria sanitaria da diversi anni. Offre numerosi vantaggi come strategia, consentendo alle organizzazioni e ai fornitori di assistenza di espandere dove e come possono utilizzare la tecnologia. Rendendo più facile per i fornitori mantenere e consultare i registri dei pazienti, anche quando sono in movimento, il cloud computing migliora e semplifica l'esperienza del paziente.

Contenuto correlato selezionato:

Questo passaggio al cloud è positivo per l'intero settore sanitario, ma pone ulteriori responsabilità sui specialisti della conformità e della sicurezza. Fortunatamente, il compito di trovare software cloud conforme a HIPAA sta diventando più facile man mano che più fornitori e sviluppatori riconoscono la domanda del mercato. Molti fornitori di soluzioni si sono ormai adattati alle esigenze HIPAA delle organizzazioni sanitarie.

Microsoft 365, probabilmente il servizio cloud più utilizzato, è un esempio eccezionale. Offre la conformità HIPAA per tutte le organizzazioni sanitarie che dispongono e utilizzano correttamente un business associate agreement (BAA). In questo articolo, imparerai di più su ciò che Microsoft ha fatto per abilitare la sua suite 365 a soddisfare i requisiti HIPAA e quali aspetti della protezione dei dati rimangono di responsabilità dei fornitori.

Contenuti correlati selezionati:

HIPAA BAA e Microsoft 365

Il livello di conformità HIPAA di qualsiasi soluzione cloud dipende dal BAA dell'organizzazione utente. Una delle caratteristiche più comode di Microsoft 365 per il cliente nel settore sanitario è che fornisce un BAA come elemento standard del servizio.

Cos'è un BAA?

Un business associate agreement è un contratto tra un'entità coperta da HIPAA (come uno studio medico o un ospedale) e un'azienda associata. Non appena qualsiasi informazione sanitaria protetta (PHI) viene caricata sul cloud, entrambe le parti sono automaticamente soggette alle normative HIPAA. Per questo motivo, è necessario avere un BAA in atto con un fornitore di servizi cloud prima di implementare qualsiasi soluzione relativa ai dati dei pazienti.

Come funziona il BAA di Microsoft?

Per impostazione predefinita, Microsoft offre il suo BAA come parte dei suoi Termini dei Servizi Online agli utenti che sono entità coperte o associati commerciali come definito da HIPAA. Il BAA copre Dynamics 365, Office 365 e alcuni altri servizi cloud.

Se stai prendendo in considerazione Microsoft come fornitore di soluzioni, esamina the BAA nei dettagli per assicurarti che i servizi coperti e i termini del BAA soddisfino le tue esigenze. Microsoft non modifica il suo BAA su richiesta del cliente, quindi i termini devono essere sufficienti così come sono scritti.

Controlli di sicurezza di Microsoft 365 e requisiti HIPAA

Per confermare che le sue pratiche di sicurezza siano in linea con le raccomandazioni dell'editore ufficiale dell'HIPAA, il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti (HHS), Microsoft ha sottoposto a verifiche di sicurezza informatica secondo lo ISO 27001 standard . Questo standard valuta molteplici aspetti della sicurezza IT di un'organizzazione, inclusa la conformità alle raccomandazioni dell'HHS.

I risultati confermano che Office 365 include tutti i controlli di sicurezza e privacy HIPAA necessari per la conformità. Puoi accedere a questi controlli tramite il Microsoft 365 Compliance Center.

Il Microsoft Compliance Center

Il Microsoft Compliance Center offre ai clienti l'accesso agli strumenti e alle informazioni necessarie per gestire la conformità. Include funzionalità come:

  • Il tuo punteggio di conformità, una metrica basata sul rischio che misura il progresso verso la riduzione del rischio
  • Una scheda di allarmi attivi, che elenca le tue notifiche di sicurezza e ti indirizza verso informazioni più dettagliate
  • Una sezione di Netwrix Data Classification per aiutarti a organizzare correttamente i dati importanti
  • Una sezione di report con informazioni su app di terze parti, file condivisi e altro
  • Una sezione dei permessi che ti permette di gestire l'accesso all'interno della tua organizzazione
  • Una sezione di soluzioni con informazioni dettagliate sulle strategie di conformità della vostra organizzazione
  • Uno strumento di protezione contro la perdita di dati per permetterti di tracciare informazioni sensibili

Il Compliance Center è una risorsa robusta. È disponibile per tutti i clienti business di Microsoft, ma alcune funzionalità, come la gestione avanzata delle minacce, le etichette di sensibilità per la data classification, alcune funzionalità DLP, potrebbero non essere disponibili a meno che non si disponga di una licenza di livello superiore.

Funzionalità di sicurezza di Microsoft 365 per HIPAA

Microsoft offre numerose funzionalità di sicurezza per aiutare le imprese a mantenere la conformità con specifiche normative. Quelle particolarmente rilevanti per HIPAA sono:

  • Accesso a privilegi minimi: Questa funzionalità limita il rischio e l'impatto delle violazioni dei dati concedendo l'accesso elevato solo a chi ne ha effettivamente bisogno.
  • Lettori della Privacy: Microsoft raccomanda che i clienti con un BAA designino rappresentanti come Lettori della Privacy HIPAA, il che gli conferisce l'accesso alle notifiche del Message Center riguardanti possibili violazioni che coinvolgono informazioni sanitarie elettroniche protette (ePHI).
  • Crittografia end-to-end: Microsoft crittografa tutti i dati quando vengono caricati o memorizzati sui server dell'azienda. Sono inoltre criptati quando vengono trasferiti fuori dagli impianti di Microsoft (crittografia in transito); tuttavia, alcune informazioni, inclusi i dati nelle linee dell'oggetto e nei campi degli indirizzi delle email, non possono essere criptate a causa dei protocolli standard di internet. Pertanto, Microsoft raccomanda che tutti gli utenti addestrino il personale a non includere mai ePHI nelle linee A, Da o Oggetto di un'email.
  • Prevenzione della perdita di dati: ePHI è protetto dalla condivisione con visualizzatori non autorizzati.
  • Autenticazione Multi-Fattore: Gli utenti devono fornire informazioni inviate ad un altro dispositivo o account prima di essere autorizzati ad accedere.
  • Registri di controllo: Gli amministratori possono visualizzare chi ha visto, aperto, condiviso o cestinato documenti.
  • Backup dei dati: Questa funzionalità è richiesta dal HIPAA affinché copie esatte di ePHI possano essere ripristinate quando necessario.
  • Configurazione della sicurezza: Microsoft consente ai clienti di modificare le impostazioni di sicurezza su molti servizi coperti dal BAA. Per la conformità HIPAA, la strategia più sicura potrebbe essere impostare i parametri più rigorosi possibili. Istruzioni dettagliate per la configurazione sono disponibili nella HIPAA implementation guide.

Come Microsoft gestisce le violazioni della sicurezza

Il BAA di Microsoft afferma che in caso di violazione della sicurezza, l'azienda notificherà tutti gli amministratori globali del tuo account e tutti gli utenti che hanno la designazione di Privacy Reader entro 30 giorni.

Microsoft non notifica ai tuoi clienti una violazione. Quella responsabilità ricade su di te in base all'HIPAA, che obbliga tutte le entità coperte a notificare gli individui interessati in caso di violazione che coinvolga ePHI non protetti. Microsoft inoltre non invia alcuna notifica obbligatoria al Segretario di HHS o ai media.

In caso di violazione di un potenziale repository di ePHI, Microsoft non è responsabile della scansione dei dati memorizzati per determinare se degli ePHI siano stati effettivamente compromessi. Riceverete una notifica che informa dell'avvenuta violazione. Dovrete poi valutare se degli ePHI sono stati compromessi e qual è il grado di impatto, se presente.

Configurazione della conformità HIPAA di Office 365: Best Practices

Microsoft è molto chiara nel sottolineare che, in ultima analisi, la responsabilità della conformità HIPAA ricade sul cliente. Il fornitore raccomanda che tutte le aziende stabiliscano un insieme di procedure e politiche per aiutare il proprio personale a utilizzare Office 365 in modo che supporti la conformità. Ecco alcuni dei passaggi più importanti da seguire durante il processo di configurazione.

1. Controlla i dettagli del servizio.

  • Assicurati che i prodotti che prevedi di utilizzare rientrino nell'ambito dei Microsoft’s HIPAA Compliance Services.
  • Rivedi il BAA per assicurarti che le pratiche di sicurezza e privacy incluse soddisfino le tue esigenze.

2. Configurare le procedure di controllo degli accessi.

  • Nel tuo Microsoft 365 Message Center, specifica i tuoi Privacy Readers.
  • Attiva il tracciamento degli accessi per i tuoi amministratori in modo che tu possa vedere quando accedono agli account degli utenti.

3. Fornire formazione sull'esclusione del PHI.

  • Il personale amministrativo non dovrebbe inserire ePHI in nessuna directory, rubrica o liste di indirizzi globali.
  • Nessun membro del personale dovrebbe condividere ePHI in conversazioni di risoluzione dei problemi o di supporto con Microsoft.
  • Gli utenti non dovrebbero fare riferimento a ePHI in nessun nome di file, intestazioni di email o posizioni di SharePoint accessibili pubblicamente.
  • Gli utenti non dovrebbero inviare ePHI tramite email, eccetto che agli utenti esplicitamente autorizzati.

4. Stabilire procedure per la revisione degli accessi.

  • Rivedere regolarmente l'accesso degli utenti a tutti i repository di archiviazione ePHI.
  • Esaminare regolarmente i permessi di accesso degli utenti, i cambiamenti delle password e le aggiunte alle risorse condivise.
  • Creare un protocollo per l'aggiornamento dei diritti di accesso in caso di cambiamenti del personale.

Come Netwrix Aiuta i Clienti di Microsoft 365

Rispettare l’HIPAA non è un compito semplice, e aggiungere la conformità relativa ai servizi cloud può mettere a dura prova le risorse anche delle organizzazioni più solide. Netwrix può alleggerire gran parte di questo carico dalle tue spalle grazie alla sua soluzione per la conformità HIPAA.

Sapere esattamente dove si memorizza l'ePHI

La soluzione Netwrix può identificare i specifici repository di OneDrive for Business, le caselle di posta di Exchange Online e i siti di SharePoint Online nel tuo account che contengono ePHI. Questo è il primo passo verso la protezione di quell'ePHI da minacce interne ed esterne.

Riduci la superficie di attacco minimizzando i permessi

La soluzione Netwrix può anche aiutarti a garantire di avere i privilegi corretti in atto. Può identificare e rimuovere automaticamente i permessi eccessivi ai dati sensibili. Semplifica anche il processo di revisione dell'accesso e attestazione dei privilegi, migliorando così le tue possibilità di superare gli audit di conformità al primo tentativo.

Identificare e rispondere alle minacce

Grazie a una dettagliata visibilità trasversale dei sistemi, la soluzione Netwrix può individuare segnali di allarme che potrebbero indicare minacce interne, come tentativi di accesso falliti, escalation dei privilegi e un numero insolitamente elevato di letture, e rilevare segni di ransomware in corso. Ti consente di approfondire facilmente le attività sospette in modo da poter bloccare le minacce prima che causino danni seri.

In caso di violazione, indipendentemente dalla sua origine, Netwrix può aiutarti a determinare la gravità dell'incidente, consentendoti di soddisfare tutti i requisiti per notificare le autorità e gli utenti interessati.

Contenuti correlati selezionati:

Domande frequenti su Microsoft 365 e la conformità HIPAA

Ci sono preoccupazioni relative all'HIPAA nell'uso di Office 365?

Finché esaminate attentamente il BAA di Microsoft e comprendete l'ambito delle sue protezioni di sicurezza e conformità, confermate che tali protezioni soddisfano le vostre esigenze di conformità HIPAA e avete tutti i controlli di sicurezza richiesti dal vostro lato, non dovreste avere quasi nessuna preoccupazione riguardo la conformità HIPAA.

Le protezioni HIPAA di Office 365 sono robuste, ma in ultima analisi, la conformità è una tua responsabilità in quanto entità coperta da HIPAA.

Quale piano di Microsoft Office 365 è conforme a HIPAA?

Microsoft offre il suo BAA di conformità HIPAA agli utenti di Office 365 Business, Office 365 US Government e Office 365 US Government Defense. Tuttavia, le licenze di livello inferiore di questi servizi (Business Basic, Business Standard e Business Premium, ad esempio) potrebbero non avere tutte le funzionalità di sicurezza avanzate che vorresti utilizzare per mantenere la tua conformità.

Microsoft raccomanda agli utenti che cercano la conformità HIPAA di abilitare le protezioni di sicurezza di alto livello. Alcune di queste protezioni, tra cui esploratori di minacce anti-phishing e prevenzione della perdita di dati, sono disponibili solo per i titolari di licenze Enterprise di livello superiore.

Avere un BAA con Microsoft garantisce la conformità con HIPAA e l'HITECH Act?

No, un BAA non garantisce la conformità. Lo scopo del BAA è chiarire quali requisiti di conformità sono responsabilità dell'associato commerciale HIPAA. Ad esempio, se si verifica una violazione nel tuo account Microsoft Office 365, Microsoft ti informerà che è avvenuta.

Anche sotto il più solido BAA, voi come cliente del servizio cloud avete ancora responsabilità nel mantenere la conformità. Dovete stabilire e mantenere un programma di conformità interno che affronti tutto ciò che è richiesto a voi come organizzazione coperta da HIPAA. Ad esempio, dovete avere politiche interne, procedure e processi in atto per assicurare che il vostro personale agisca in modo da non violare le normative HIPAA.

L'Accordo di Associazione Commerciale (BAA) di Microsoft vi aiuta ad aderire ai principi HIPAA quando utilizzate i servizi dell'azienda, ma non farà tutto per voi. Dovete comunque assicurarvi che il vostro team utilizzi Office 365 in modo conforme a ogni regola dell'HIPAA e dell'HITECH Act.

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Dirk Schrader

VP della Ricerca sulla Sicurezza

Dirk Schrader è un Resident CISO (EMEA) e VP of Security Research presso Netwrix. Con 25 anni di esperienza nella sicurezza informatica e certificazioni come CISSP (ISC²) e CISM (ISACA), lavora per promuovere la cyber resilience come approccio moderno per affrontare le minacce informatiche. Dirk ha lavorato a progetti di cybersecurity in tutto il mondo, iniziando con ruoli tecnici e di supporto all'inizio della sua carriera per poi passare a posizioni di vendita, marketing e gestione prodotti sia in grandi multinazionali che in piccole startup. Ha pubblicato numerosi articoli sull'esigenza di affrontare la gestione dei cambiamenti e delle vulnerabilità per raggiungere la cyber resilience.

Scopri di più su questo argomento

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

Cos'è la gestione dei documenti elettronici?

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza