Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
O Microsoft 365 é compatível com o HIPAA?

O Microsoft 365 é compatível com o HIPAA?

Jul 30, 2020

O Microsoft 365 pode suportar a conformidade com a HIPAA por meio de seus controles de segurança integrados, acordo de associado comercial (BAA) e ferramentas do Compliance Center. As entidades cobertas devem habilitar recursos como criptografia, controles de acesso, registros de auditoria e autenticação multifator, garantindo que a equipe siga práticas rigorosas de manuseio de dados. A conformidade não é automática; a responsabilidade final recai sobre a organização de saúde que utiliza o Microsoft 365.

Conformidade com o HIPAA no Office 365 é uma preocupação crescente para um número cada vez maior de empresas de saúde. A robusta solução em nuvem da Microsoft permite que os provedores mantenham registros e se comuniquem com facilidade — mas será demasiado fácil? As informações sensíveis podem realmente ser protegidas se estiverem armazenadas na nuvem?

A computação em nuvem vem ganhando espaço na indústria da saúde há vários anos. Ela oferece inúmeros benefícios como estratégia, permitindo que organizações e prestadores de cuidados expandam onde e como podem usar a tecnologia. Ao facilitar para os prestadores manterem e consultarem os registros dos pacientes, mesmo quando estão em movimento, a computação em nuvem melhora e simplifica a experiência do paciente.

Conteúdo relacionado selecionado:

Esta mudança para a nuvem é positiva para a área da saúde como um todo, mas coloca uma responsabilidade adicional sobre os especialistas em conformidade e segurança. Felizmente, a tarefa de encontrar software em nuvem compatível com a HIPAA está se tornando mais fácil à medida que mais fornecedores e desenvolvedores reconhecem a demanda do mercado. Muitos provedores de soluções agora adaptaram suas ofertas para atender às necessidades da HIPAA das organizações de saúde.

O Microsoft 365, possivelmente o serviço de nuvem mais utilizado, é um exemplo notável. Ele oferece conformidade com a HIPAA para todas as organizações de saúde que possuem e usam adequadamente um business associate agreement (BAA). Neste artigo, você aprenderá mais sobre o que a Microsoft fez para permitir que seu pacote 365 atenda aos requisitos da HIPAA e quais aspectos da proteção de dados permanecem sob a responsabilidade dos provedores.

Conteúdo relacionado selecionado:

HIPAA BAA e Microsoft 365

O nível de conformidade com a HIPAA de qualquer solução em nuvem depende do BAA da organização usuária. Uma das características mais convenientes do Microsoft 365 para o cliente da área de saúde é que ele fornece um BAA como um elemento padrão do serviço.

O que é um BAA?

Um acordo de associado comercial é um contrato entre uma entidade coberta pela HIPAA (como um consultório médico ou hospital) e um negócio associado. Assim que qualquer informação de saúde protegida (PHI) é carregada para a nuvem, ambas as partes ficam automaticamente sujeitas às regulamentações da HIPAA. Por essa razão, você precisa ter um BAA em vigor com um fornecedor de nuvem antes de implementar qualquer solução relacionada a dados de pacientes.

Como funciona o BAA da Microsoft?

Por padrão, a Microsoft oferece seu BAA como parte de seus Termos de Serviços Online para usuários que são entidades cobertas ou associados comerciais conforme definido pelo HIPAA. O BAA abrange o Dynamics 365, Office 365 e alguns outros serviços na nuvem.

Se você está considerando a Microsoft como fornecedora de soluções, revise o BAA em detalhes para garantir que os serviços cobertos e os termos do BAA atendam às suas necessidades. A Microsoft não modifica seu BAA a pedido do cliente, portanto, os termos precisam ser suficientes como estão escritos.

Controles de Segurança do Microsoft 365 e Requisitos da HIPAA

Para confirmar que suas práticas de segurança estão alinhadas com as recomendações do publicador oficial da HIPAA, o Departamento de Saúde e Serviços Humanos dos EUA (HHS), a Microsoft passou por auditorias de segurança da informação sob o padrão ISO 27001 . Este padrão avalia múltiplos aspectos da segurança de TI de uma organização, incluindo se segue as recomendações do HHS.

Os resultados confirmam que o Office 365 inclui todos os controles de segurança e privacidade da HIPAA necessários para a conformidade. Você pode acessar esses controles por meio do Microsoft 365 Compliance Center.

O Microsoft Compliance Center

O Microsoft Compliance Center oferece aos clientes acesso às ferramentas e informações necessárias para gerenciar a conformidade. Inclui recursos como:

  • Seu Compliance Score, uma métrica baseada em risco que mede o progresso em direção à redução de riscos
  • Um cartão de alertas ativos, que lista suas notificações de segurança e indica onde encontrar informações mais detalhadas
  • Uma seção de classificação de dados para ajudar você a organizar corretamente informações importantes
  • Uma seção de relatórios com informações sobre aplicativos de terceiros, arquivos compartilhados e muito mais
  • Uma seção de permissões que permite gerenciar o acesso dentro da sua organização
  • Uma seção de soluções com informações detalhadas sobre as estratégias de conformidade da sua organização
  • Uma ferramenta de proteção contra perda de dados para permitir que você acompanhe informações sensíveis

O Centro de Conformidade é um recurso robusto. Está disponível para todos os clientes empresariais da Microsoft, mas alguns recursos — como gerenciamento avançado de ameaças, rótulos de sensibilidade para classificação de dados e algumas funcionalidades de DLP — podem não estar disponíveis, a menos que você tenha uma licença de nível superior.

Recursos de segurança do Microsoft 365 para a HIPAA

A Microsoft oferece diversos recursos de segurança para ajudar as empresas a manter a conformidade com regulamentações específicas. Aqueles particularmente relevantes para a HIPAA são:

  • Acesso com privilégios mínimos: Este recurso limita o risco e o impacto de vazamentos de dados ao conceder acesso elevado apenas às pessoas que realmente precisam dele.
  • Leitores de Privacidade: A Microsoft recomenda que os clientes com um BAA designem representantes como Leitores de Privacidade HIPAA, o que lhes dá acesso às notificações do Centro de Mensagens sobre possíveis violações envolvendo informações eletrônicas de saúde protegidas (ePHI).
  • Criptografia de ponta a ponta: A Microsoft criptografa todos os dados quando são carregados ou armazenados nos servidores da empresa. Eles também são criptografados quando transferidos para fora das instalações da Microsoft (criptografia em trânsito); no entanto, algumas informações, incluindo dados nas linhas de assunto de e-mails e nos campos de endereço, não podem ser criptografadas devido aos protocolos padrão da internet. Por isso, a Microsoft recomenda que todos os usuários treinem suas equipes para nunca incluir ePHI nos campos Para, De ou Assunto de um e-mail.
  • Prevenção contra perda de dados: As ePHI são protegidas contra compartilhamento com visualizadores não autorizados.
  • Autenticação multifatorial: Os usuários devem fornecer informações enviadas para outro dispositivo ou conta antes de poderem fazer login.
  • Registros de auditoria: Os administradores podem visualizar quem acessou, abriu, compartilhou ou excluiu documentos.
  • Backups de dados: Este recurso é exigido pela HIPAA para que cópias exatas das ePHI possam ser restauradas quando necessário.
  • Configuração de segurança: A Microsoft permite que os clientes alterem suas configurações de segurança em muitos dos serviços cobertos pelo BAA. Para estar em conformidade com a HIPAA, a estratégia mais segura pode ser definir os parâmetros mais rigorosos possíveis. Instruções detalhadas de configuração estão disponíveis no guia de implementação da HIPAA da Microsoft.

Como a Microsoft lida com violações de segurança

O BAA da Microsoft estabelece que, caso ocorra uma violação de segurança, a empresa notificará todos os administradores globais da sua conta e todos os usuários que tenham a designação de Leitor de Privacidade no prazo de 30 dias.

A Microsoft não notifica seus clientes sobre a violação. Essa responsabilidade recai sobre você, de acordo com a HIPAA, que exige que todas as entidades cobertas notifiquem os indivíduos afetados se a violação envolver ePHI não protegidas. A Microsoft também não envia nenhuma notificação obrigatória ao Secretário do HHS (Departamento de Saúde e Serviços Humanos dos EUA) nem à mídia.

No caso de uma violação em um repositório potencial de ePHI, a Microsoft não é responsável por analisar os dados armazenados para determinar se alguma ePHI foi realmente comprometida. Você receberá uma notificação informando que ocorreu uma violação. Em seguida, será sua responsabilidade avaliar se houve comprometimento de ePHI e qual foi o grau do impacto, se houver.

Configuração de conformidade com a HIPAA no Office 365: Melhores práticas

A Microsoft deixa muito claro que, no fim das contas, a responsabilidade pela conformidade com a HIPAA recai sobre o cliente. A empresa recomenda que todas as organizações estabeleçam um conjunto de procedimentos e políticas para ajudar suas equipes a usar o Office 365 de forma a apoiar a conformidade. A seguir estão algumas das etapas mais importantes a serem seguidas durante o processo de configuração.

1. Verifique os detalhes do serviço.

  • Certifique-se de que os produtos que você planeja utilizar estão dentro do escopo dos Serviços de Conformidade com a HIPAA da Microsoft.
  • Revise o BAA para garantir que as práticas de segurança e privacidade incluídas atendem às suas necessidades.

2. Configure os procedimentos de controle de acesso.

  • No seu Centro de Mensagens do Microsoft 365, especifique quem serão os seus Leitores de Privacidade.
  • Ative o rastreamento de acesso para os administradores, para que você possa ver quando eles acessam as contas dos usuários.

3. Ofereça treinamento sobre a exclusão de PHI.

  • Os funcionários administrativos não devem inserir ePHI em diretórios, catálogos de endereços ou listas de endereços globais.
  • Nenhum membro da equipe deve compartilhar ePHI em conversas de suporte ou solução de problemas com a Microsoft.
  • Os usuários não devem fazer referência a ePHI em nomes de arquivos, cabeçalhos de e-mail ou em locais do SharePoint acessíveis ao público.
  • Os usuários não devem enviar ePHI por e-mail, exceto para usuários explicitamente autorizados.

4. Estabeleça procedimentos para a revisão de acesso.

  • Revise regularmente o acesso dos usuários a todos os repositórios de armazenamento de ePHI.
  • Examine periodicamente as permissões de acesso dos usuários, as alterações de senhas e as adições de recursos compartilhados.
  • Crie um protocolo para atualizar os direitos de acesso em caso de mudanças no quadro de pessoal.

Como a Netwrix ajuda os clientes do Microsoft 365

Estar em conformidade com a HIPAA não é uma tarefa simples, e adicionar requisitos de conformidade relacionados a serviços em nuvem pode sobrecarregar os recursos até mesmo das organizações mais robustas. A Netwrix pode aliviar grande parte desse peso dos seus ombros com sua solução para conformidade com a HIPAA.

Saiba exatamente onde você armazena ePHI

A solução da Netwrix pode identificar os repositórios específicos do OneDrive for Business, as caixas de correio do Exchange Online e os sites do SharePoint Online na sua conta que contêm ePHI. Esse é o primeiro passo para proteger essas informações contra ameaças internas e externas.

Reduza sua superfície de ataque minimizando as permissões

A solução da Netwrix também pode ajudar você a garantir que os privilégios corretos estejam configurados. Ela pode identificar e remover automaticamente permissões excessivas para dados sensíveis. Além disso, simplifica o processo de revisão de acesso e de certificação de privilégios, aumentando assim suas chances de passar em auditorias de conformidade já na primeira tentativa.

Identifique e responda a ameaças

Graças à visibilidade detalhada entre sistemas, a solução da Netwrix pode detectar sinais de alerta que indiquem possíveis ameaças internas, como tentativas de acesso malsucedidas, elevação de privilégios e número anormalmente alto de leituras, além de identificar indícios de ransomware em andamento. Ela permite que você investigue facilmente atividades suspeitas em profundidade, para que possa bloquear ameaças antes que causem danos graves.

Se ocorrer uma violação — independentemente de sua origem —, a Netwrix pode ajudar você a determinar a gravidade do incidente, permitindo que cumpra todos os requisitos para notificar as autoridades e os usuários afetados.

Conteúdo relacionado selecionado:

Microsoft 365 e conformidade com a HIPAA – FAQ

Existem preocupações relacionadas à HIPAA ao usar o Office 365?

Desde que você revise cuidadosamente o BAA da Microsoft e compreenda o escopo de suas proteções de segurança e conformidade, confirme que essas proteções atendem às suas necessidades de conformidade com a HIPAA e implemente todos os controles de segurança necessários do seu lado, você deve ter poucas — se houver — preocupações em relação à conformidade com a HIPAA.

As proteções do Office 365 em relação à HIPAA são robustas, mas, em última análise, a responsabilidade pela conformidade é sua, como entidade coberta pela HIPAA.

Qual plano do Microsoft Office 365 é compatível com a HIPAA?

A Microsoft oferece seu BAA de conformidade com a HIPAA para usuários do Office 365 Business, Office 365 US Government e Office 365 US Government Defense. No entanto, licenças de nível inferior desses serviços (como Business Basic, Business Standard e Business Premium) podem não incluir todos os recursos de segurança avançados que você desejará utilizar para manter sua conformidade.

A Microsoft recomenda que os usuários que buscam conformidade com a HIPAA habilitem as proteções de segurança de nível mais alto. Algumas dessas proteções, incluindo exploradores de ameaças anti-phishing e prevenção contra perda de dados, estão disponíveis apenas para titulares de licenças Enterprise de nível superior.

Ter um BAA com a Microsoft garante conformidade com a HIPAA e o HITECH Act?

Não, ter um BAA não garante a conformidade. O objetivo do BAA é esclarecer quais requisitos de conformidade são de responsabilidade do associado comercial (business associate) da HIPAA. Por exemplo, se ocorrer uma violação na sua conta do Microsoft Office 365, a Microsoft notificará você sobre o ocorrido.

Mesmo sob um BAA altamente robusto, você, como cliente do serviço em nuvem, ainda tem responsabilidades para manter a conformidade. É necessário estabelecer e manter um programa interno de conformidade que aborde tudo o que é exigido de você como organização coberta pela HIPAA. Por exemplo, é preciso ter políticas, procedimentos e processos internos para garantir que sua equipe aja de forma a não violar os regulamentos da HIPAA.

O BAA da Microsoft ajuda você a aderir aos princípios da HIPAA ao usar os serviços da empresa, mas não faz tudo por você. Ainda é necessário garantir que sua equipe utilize o Office 365 de maneira alinhada a cada regra da HIPAA e do HITECH Act.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Dirk Schrader

VP de Pesquisa de Segurança

Dirk Schrader é um Resident CISO (EMEA) e VP de Pesquisa de Segurança na Netwrix. Com 25 anos de experiência em segurança de TI e certificações como CISSP (ISC²) e CISM (ISACA), ele trabalha para promover a ciberresiliência como uma abordagem moderna para enfrentar ameaças cibernéticas. Dirk trabalhou em projetos de cibersegurança ao redor do mundo, começando em funções técnicas e de suporte no início de sua carreira e, em seguida, passando para posições de vendas, marketing e gestão de produtos em grandes corporações multinacionais e pequenas startups. Ele publicou numerosos artigos sobre a necessidade de abordar a gestão de mudanças e vulnerabilidades para alcançar a ciberresiliência.

Saiba mais sobre este assunto

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança