Если я шифрую диск ОС с BitLocker для соответствия HIPAA

Отказ от ответственности: я не юрист.

Прежде всего, необходимо прочитать:

Центр управления безопасностью Microsoft Azure

Соглашение о бизнес-партнерстве HIPAA (BAA)

HIPAA и HITECH Act - это законы США, которые применяются к учреждения здравоохранения, имеющие доступ к информации о пациентах (называемые Защищенная медицинская информация или PHI). Во многих случаях для покрытая медицинская компания для использования облачного сервиса, такого как Azure, поставщик услуг должен согласиться в письменном соглашении соблюдать определенные положения о безопасности и конфиденциальности, изложенные в HIPAA и HITECH Act. Чтобы помочь клиентам соблюдать HIPAA и HITECH Act, Microsoft предлагает BAA клиентам в качестве дополнения к контракту.

В настоящее время Microsoft предлагает BAA клиентам, у которых есть Volume Лицензионное / корпоративное соглашение (EA) или регистрация EA только для Azure на месте с Microsoft для услуг в объеме. Советник только для Azure зависит не от размера места, а от ежегодных денежных обязательств по Azure, которая позволяет клиенту получить скидку сверх оплаты по мере использования цены.

Перед подписанием BAA клиенты должны прочитать Azure HIPAA Руководство по внедрению. Этот документ был разработан, чтобы помочь клиенты, которые заинтересованы в HIPAA и HITECH Act, чтобы понять соответствующие возможности Azure. Целевая аудитория включает офицеры по вопросам конфиденциальности, службы безопасности, комплаенс и другие в организациях-клиентах, ответственных за HIPAA и HITECH Act реализация и соблюдение. Документ охватывает некоторые из лучших методы создания приложений, совместимых с HIPAA, и подробные сведения об Azure положения по устранению нарушений безопасности. Хотя Azure включает функции, помогающие обеспечить соблюдение конфиденциальности и безопасности клиента, клиенты несут ответственность за обеспечение конкретного использования Azure соответствует HIPAA, Закону HITECH и другим применимым законам и правил, и должны проконсультироваться со своим юрисконсультом.

Клиенты должны связаться со своим представителем Microsoft по работе с клиентами, чтобы подпишите соглашение.

От вас могут потребовать подписать BAA с вашим облачным провайдером (Azure). Спросите своего представителя (ей) по соответствию.

Вот Руководство по внедрению HIPAA Azure .

Можно использовать Azure в соответствии с требованиями HIPAA и HITECH Act.

Виртуальные машины Azure, SQL Azure и экземпляры SQL Server, работающие на виртуальных машинах Azure, входят в сферу действия и поддерживаются здесь.

Bitlocker достаточно для шифрования данных в состоянии покоя. Он использует шифрование AES способом, который удовлетворяет требованиям HIPAA (а также требованиям других аналогичных организаций) для шифрования данных в состоянии покоя.

Кроме того, SQL Server не будет хранить незашифрованные конфиденциальные данные на диске ОС если только вы не настроите SQL для этого ... например, настройте TempDB для работы на диске ОС или что-то в этом роде.

Шифрование ячеек / полей / столбцов в отдельных базах данных строго не требуется при условии вы уже выполнили требования по шифрованию хранимых данных другими способами, например TDE или Bitlocker.

Может возникнуть вопрос о том, как вы решите управлять ключом шифрования Bitlocker, поскольку он не будет находиться внутри микросхемы TPM или на съемном USB-накопителе, поскольку у вас нет доступа к физическому компьютеру. (Подумайте о том, чтобы системный администратор вручную вводил пароль для разблокировки диска с данными при каждой перезагрузке сервера.) Это своего рода основная привлекательность таких служб, как CloudLink, поскольку они управляют этим священным ключом шифрования за вас.