Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Serviços de Armazenamento em Nuvem Mais Populares Conformes à HIPAA

Serviços de Armazenamento em Nuvem Mais Populares Conformes à HIPAA

Aug 13, 2020

As organizações de saúde devem garantir que os serviços de armazenamento em nuvem estejam em conformidade com o HIPAA, protegendo as informações de saúde protegidas eletrônicas (ePHI) por meio de criptografia, controles de acesso, monitoramento de atividades e Data Classification. Provedores como Microsoft OneDrive, Google Drive, Dropbox Business e Box oferecem versões compatíveis com o HIPAA com Acordos de Associado de Negócios, mas a conformidade depende da configuração adequada, avaliações de risco e monitoramento contínuo pela entidade coberta.

A computação em nuvem oferece benefícios inegáveis para armazenar e acessar prontuários eletrônicos de saúde. Arquivos armazenados na nuvem estão acessíveis a qualquer momento e em qualquer lugar de qualquer dispositivo, o que facilita o compartilhamento de informações médicas críticas entre os profissionais de saúde. Mas será que o armazenamento em nuvem é seguro o suficiente para armazenar, acessar e transferir informações pessoais e médicas sensíveis?

Para clínicas, hospitais e outras organizações de saúde, garantir que as informações médicas dos pacientes permaneçam privadas não é apenas uma questão ética, é também legal. A Health Insurance Portability and Accountability Act (HIPAA) fornece regras claras sobre o armazenamento e compartilhamento de dados médicos. Qualquer organização que lide com registros de saúde é obrigada a estar em conformidade.

Portanto, antes de transferir dados relacionados à saúde para armazenamento em nuvem, as organizações de saúde precisam garantir que o software que planejam usar seja HIPAA compliant.

O artigo aborda armazenamentos compatíveis com HIPAA e explica sua responsabilidade em tornar seu armazenamento na nuvem compatível:

O que é HIPAA?

HIPAA é um conjunto de regras que estabelecem os usos e divulgações permitidos de informações de saúde e médicas. Impõe restrições sobre quem pode acessar informações de saúde e quando, e também define padrões para proteger dados de saúde contra indivíduos que não têm o direito de visualizá-los.

Conteúdo relacionado selecionado:

As principais disposições do HIPAA incluem:

  • Regras de Privacidade da HIPAA — Regulam como as informações de saúde de um indivíduo podem ser divulgadas ou utilizadas
  • Regras de Segurança HIPAA — Estabelecem padrões para a proteção e segurança de informações de saúde criadas, processadas, acessadas ou armazenadas eletronicamente
  • A Regra de Notificação de Violação da HIPAA — Exige que as organizações notifiquem os indivíduos cujas informações pessoais de saúde foram expostas e regula o processo de notificação
  • A Regra Omnibus HIPAA — Esclarece definições, procedimentos e políticas; fornece uma lista de verificação para Associados de Negócios; e implementa os requisitos do Health Education Technology for Economic and Clinical Health (HITECH) Act
  • A Regra de Execução da HIPAA — Rege as investigações após uma violação de dados e estabelece as penalidades impostas à parte responsável

As entidades de saúde devem desenvolver salvaguardas específicas, procedimentos e políticas para cumprir com essas regras.

Tipos de Informação Protegidos

HIPAA exige a proteção de “informações de saúde individualmente identificáveis,” que são definidas como informações sobre:

  • A saúde física ou mental passada, presente ou futura de um indivíduo
  • A prestação de cuidados de saúde ao indivíduo
  • Pagamento passado, presente ou futuro pela prestação de cuidados de saúde ao indivíduo
  • A identidade do indivíduo ou dados que há uma base razoável para acreditar que poderiam ser usados para identificar o indivíduo

Tipos de Salvaguardas de Segurança

A Regra de Segurança HIPAA cobre três tipos de salvaguardas para informações de saúde protegidas:

  • Salvaguardas físicas — A HIPAA exige o desenvolvimento de políticas para o uso e posicionamento de estações de trabalho e procedimentos para o uso de dispositivos móveis, bem como a implementação de controles de acesso às instalações, se aplicável.
  • Salvaguardas técnicas — A HIPAA exige a implementação de registros de atividade e controles, bem como um meio de controle de acesso. A conformidade pode exigir mecanismos para autenticar informações e ferramentas para criptografia.
  • Salvaguardas administrativas — A HIPAA exige a realização de avaliações de risco, a implementação de políticas de gestão de risco, o desenvolvimento de um plano de contingência e a restrição do acesso de terceiros às informações.

Conteúdo relacionado selecionado:

Termos-chave da HIPAA

Aqui estão os termos mais importantes usados em HIPAA:

  • PHI: Informações de saúde protegidas
  • ePHI: Informações de saúde protegidas armazenadas ou transmitidas eletronicamente
  • Entidade coberta — Um provedor de serviços de saúde, um provedor de plano de saúde (como uma seguradora ou empregador) ou uma central de processamento de saúde
  • Associado de negócios — Uma pessoa ou empresa que presta um serviço ou desempenha uma função ou atividade específica para uma entidade coberta
  • Acordo de Associado de Negócios — Um contrato legal que estabelece quais informações de saúde protegidas (PHI) o associado de negócios pode acessar, como a PHI deve ser utilizada e os requisitos para devolver ou destruir a PHI uma vez que a tarefa para a qual é necessária esteja completa. Uma entidade coberta deve obter um Acordo de Associado de Negócios antes de permitir que um associado de negócios acesse

Conformidade com a HIPAA e Armazenamento na Nuvem

Nenhum servidor em nuvem é compatível com o HIPAA imediatamente após a configuração inicial, mas existem maneiras de os especialistas em TI intervirem e tornarem a nuvem adequada para as necessidades das entidades cobertas.

As organizações devem ter em mente que não existe uma certificação oficial HIPAA ou HITECH, e nenhum governo ou indústria certifica a HIPAA compliance para serviços em nuvem. Isso significa que cabe à entidade coberta e ao provedor de serviços em nuvem garantir a adesão aos requisitos da lei. O serviço em nuvem deve revisar os regulamentos HIPAA e possivelmente atualizar seus produtos, políticas e procedimentos para apoiar os objetivos de conformidade com o HIPAA da entidade coberta.

Como o HIPAA se aplica ao armazenamento em nuvem?

Quando uma entidade coberta armazena PHI na nuvem, o serviço de armazenamento na nuvem é considerado por lei como um associado comercial da entidade coberta. Para estar em conformidade com a HIPAA, portanto, um Acordo de Associado Comercial deve estar em vigor. Esse acordo precisa declarar que o provedor de serviço na nuvem deve:

  • Proteja os dados transmitidos para a nuvem
  • Armazene os dados de forma segura
  • Forneça um sistema que permita um controle cuidadoso do acesso aos dados
  • Registre logs de toda a atividade, incluindo tentativas de acesso bem-sucedidas e falhas

Um armazenamento em nuvem compatível com a HIPAA incorpora todos os controles necessários para garantir a confidencialidade, integridade e disponibilidade das informações de ePHI. A entidade coberta é responsável por desenvolver políticas e procedimentos que abrangem o uso de armazenamento em nuvem seguro HIPAA para essas informações.

Quais serviços de nuvem não são considerados compatíveis com a HIPAA?

Alguns serviços de nuvem não podem ser compatíveis com o HIPAA por vários motivos. A Apple e o iCloud, por exemplo, não podem ser compatíveis com o HIPAA porque não oferecem um BAA para entidades cobertas.

Outros serviços não conseguem fornecer capacidades de segurança integradas essenciais, como Netwrix Data Classification, e, portanto, não podem ser usados para armazenar ePHI.

Por que a classificação de dados é essencial?

A classificação de dados é necessária para inventariar o ePHI e agrupá-lo de acordo com o nível de sensibilidade, para que a organização possa garantir sua confidencialidade, integridade e disponibilidade conforme exigido pela Regra de Segurança HIPAA. Ao distinguir entre dados regulamentados e não regulamentados, a classificação permite que as organizações:

  • Priorize controles de segurança
  • Proteja ativos críticos
  • Melhore a gestão de riscos ajudando a avaliar o valor dos dados e o impacto da perda, uso indevido ou comprometimento dos dados
  • Agilize a descoberta legal
  • Melhore a produtividade do usuário

Os dados protegidos pelo HIPAA geralmente seguem um esquema de classificação de dados de três níveis:

  • Dados restritos ou confidenciais— Informações que poderiam causar danos significativos se divulgadas, alteradas ou destruídas. Esses dados requerem o mais alto nível de segurança com acesso controlado de acordo com o princípio do menor privilégio.
  • Dados internos — Informações cuja divulgação, alteração ou destruição podem causar danos moderados ou de baixo nível. Esses dados não são divulgados ao público e requerem security controls razoáveis.
  • Dados públicos — Os dados públicos não precisam de proteção contra acesso não autorizado, mas ainda requerem proteção contra alteração ou destruição não autorizadas.

Como a Regra de Privacidade HIPAA afeta os serviços de nuvem?

A Regra de Privacidade HIPAA exige que entidades cobertas e associados comerciais estabeleçam a integridade do ePHI e o protejam contra destruição ou alteração não autorizadas. As organizações devem identificar onde o ePHI é armazenado, recebido, mantido e transmitido. Essa tarefa requer cuidado especial no caso de serviços de armazenamento em nuvem.

A opção mais segura ao usar armazenamento em nuvem para ePHI é utilizar um serviço que seja conhecido por ser compatível com os requisitos do HIPAA e HITECH.

Os Serviços de Armazenamento na Nuvem Mais Populares que Suportam HIPAA e HITECH

Existem vários serviços populares de armazenamento em nuvem que suportam o HIPAA e o HITECH Act.

Tenha em mente que nem todas as versões desses serviços serão compatíveis — geralmente apenas uma versão específica ou licença suporta o uso compatível com HIPAA. Todas as seguintes plataformas, no entanto, possuem pelo menos uma versão com as capacidades de segurança apropriadas para se tornarem compatíveis, e todas estão dispostas a assinar um Acordo de Associado de Negócios.

1. Dropbox Business

Dropbox Business oferece um BAA para entidades cobertas e pode ser configurado para oferecer armazenamento em nuvem compatível com HIPAA. O serviço fornece uma variedade de controles administrativos, incluindo revisão de acesso do usuário e relatórios de atividade do usuário. Ele também permite a revisão e remoção de dispositivos vinculados e habilita autenticação em duas etapas para segurança adicional.

2. G Suite e Google Drive

Google oferece um BAA como um adendo ao Acordo Padrão do G Suite. Embora nem todos os produtos do G Suite possam ser compatíveis com o HIPAA, vários aplicativos úteis do Google seguem os requisitos legais para o armazenamento e compartilhamento de ePHI.

O Google Drive e aplicações relacionadas como Docs, Sheets, Slide e Forms podem ser configurados para conformidade com o HIPAA, assim como serviços como Gmail e Calendar. No entanto, o Google Contacts, bem como sites não principais do Google como YouTube e Blogger, não podem ser tornados compatíveis com o HIPAA e, portanto, não podem ser incluídos em um BAA.

3. Microsoft OneDrive e E5

Os Termos de Serviço Online da Microsoft fornecem automaticamente um Acordo de Associado de Negócios. O acordo está disponível para OneDrive for Business, Azure, Azure Government, Cloud App Security e Office 365, entre outros. Os serviços cobertos incluem e-mail, armazenamento de arquivos e calendários. A Microsoft também fornece ferramentas de data loss prevention.

A licença Enterprise E5 da Microsoft oferece os recursos de segurança mais robustos disponíveis pela empresa. O pacote também inclui gerenciamento de segurança avançado para avaliação de riscos.

4. Box Enterprise e Elite

Box As contas Enterprise e Elite incluem monitoramento de acesso, relatórios e trilhas de auditoria para usuários e conteúdo. O serviço também oferece permissões ou autorizações granulares. Box pode compartilhar dados de forma segura por meio de um protocolo de mensagens diretas e permite a visualização segura de arquivos DICOM, incluindo raios-X, tomografias e ultrassonografias.

Recursos de segurança essenciais para conformidade com a HIPAA

A HIPAA exige uma série de recursos de segurança de serviços que trabalham com entidades cobertas. Os serviços de armazenamento em nuvem mencionados permitem uma combinação das seguintes configurações de segurança:

  • Um armazenamento em nuvem compatível com HIPAA deve oferecer autenticação de dois fatores ou login único e criptografia dos ePHI transferidos.
  • Todos os dispositivos usados para acessar ou enviar ePHI devem ser capazes de encrypt mensagens para serem enviadas fora do firewall e decrypt as mensagens recebidas. Toda a criptografia deve atender aos padrões NIST.
  • Configuração de permissões de compartilhamento de arquivos permite que entidades cobertas implementem um sistema baseado em permissões que limita o acesso de usuários não autorizados. Os controles devem ser configurados corretamente para serem eficazes, incluindo autenticação de dois fatores, senhas seguras e procedimentos seguros de compartilhamento de arquivos para proteger dados contra acesso não autorizado.
  • O monitoramento da atividade da conta exige que você revise os registros de acesso regularmente para garantir que possa identificar atividades impróprias prontamente. Soluções como Netwrix Auditor ajudam você a obter visibilidade das atividades empresariais na nuvem. Netwrix Auditor reporta tanto sobre eventos de acesso quanto mudanças, incluindo alterações de conteúdo, configurações de segurança e configurações de caixa de correio.
  • A classificação de dados é essencial para agrupar e proteger informações com base no nível de sensibilidade. Netwrix Data Classification fornece taxonomias predefinidas que são fáceis de personalizar, classifica dados com precisão e automatiza fluxos de trabalho críticos para melhorar a segurança de dados.
  • Um serviço de armazenamento em nuvem não pode ser considerado compatível com a HIPAA, a menos que você configure adequadamente os controles de segurança e monitore a atividade em torno dos dados armazenados no sistema. Para garantir que o serviço de armazenamento em nuvem da sua organização permaneça compatível, certifique-se de regularmente perform risk assessments e desenvolver políticas e procedimentos rigorosos de cibersegurança.

Principais Conclusões

Usar um provedor de nuvem confiável é crítico, mas não garante armazenamento em nuvem em conformidade. Mesmo quando um serviço de nuvem assina um Acordo de Associado de Negócios e oferece controles de segurança administrativos, criptografia e outras ferramentas de segurança, isso não torna automaticamente sua organização em conformidade com a HIPAA.

Para garantir que seus serviços de armazenamento em nuvem estejam em conformidade com o HIPAA, certifique-se de:

  • Configure corretamente as configurações
  • Verifique o acesso de aplicativos de terceiros à nuvem
  • Utilize ferramentas especializadas para auditorias de logs a fim de garantir a segurança e privacidade dos arquivos

Organizações de saúde e pacientes confiam igualmente em protocolos robustos de cibersegurança para manter o ePHI protegido contra danos, destruição, alteração e acesso não autorizado. Utilizar um desses serviços pode ajudar a manter seus dados seguros e sua organização de saúde em conformidade com a lei.

FAQ

Quais recursos de segurança tornam o armazenamento em nuvem compatível com o HIPAA?

Serviços de armazenamento em nuvem compatíveis com HIPAA oferecem todos:

  • Netwrix Data Classification
  • Restrições de permissão para acesso e compartilhamento de arquivos
  • Criptografia e descriptografia de dados
  • Autenticação em duas etapas ou single sign-on
  • Registros de atividade e controles de auditoria para registrar tentativas de acesso e registrar o que é feito com os dados após o acesso

Qual é o propósito de um Acordo de Associado de Negócios (BAA)?

Antes de uma entidade coberta poder usar um serviço de armazenamento em nuvem, ela deve assinar um acordo BAA com o serviço. Este acordo:

  • Especifica qual PHI o associado de negócios pode acessar
  • Indica como o PHI pode ser utilizado
  • Estabelece como as informações de saúde protegidas (PHI) serão devolvidas ou destruídas após a conclusão da tarefa para a qual eram necessárias

Ter um BAA garante a conformidade da minha organização com o HIPAA e o HITECH Act?

Não. Cabe a você, a entidade de saúde, estabelecer configurações apropriadas, criar políticas necessárias e realizar a devida diligência para alcançar e manter a conformidade com a HIPAA.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Dirk Schrader

VP de Pesquisa de Segurança

Dirk Schrader é um Resident CISO (EMEA) e VP de Pesquisa de Segurança na Netwrix. Com 25 anos de experiência em segurança de TI e certificações como CISSP (ISC²) e CISM (ISACA), ele trabalha para promover a ciberresiliência como uma abordagem moderna para enfrentar ameaças cibernéticas. Dirk trabalhou em projetos de cibersegurança ao redor do mundo, começando em funções técnicas e de suporte no início de sua carreira e, em seguida, passando para posições de vendas, marketing e gestão de produtos em grandes corporações multinacionais e pequenas startups. Ele publicou numerosos artigos sobre a necessidade de abordar a gestão de mudanças e vulnerabilidades para alcançar a ciberresiliência.

Saiba mais sobre este assunto

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança