HIPAA
Esta página descreve HIPAA compliance controles em Databricks.
Visão geral da HIPAA
HIPAA é uma lei de saúde dos EUA que estabelece padrões nacionais para proteger a privacidade e a segurança das informações de saúde protegidas (PHI).
pontos-chave:
- Aplica-se a prestadores de serviços de saúde, seguradoras e fornecedores que lidam com PHI.
- Inclui regras para privacidade, segurança e notificação de violações.
- Requer proteções administrativas, técnicas e físicas para as PHI.
- Aplica-se a provedores de serviços em nuvem que armazenam ou processam PHI.
Exigência de Contrato de Associado Comercial (BAA) para o processamento de PHI
HIPAA e regulamentos relacionados exigem que as organizações que lidam com informações de saúde protegidas (PHI) cumpram salvaguardas específicas. Quando uma entidade coberta ou um associado comercial usa um provedor de serviços em nuvem (CSP) como Databricks, o CSP também é considerado um associado comercial.
Como resultado, a Databricks permite o processamento de dados PHI somente se o senhor tiver um Contrato de Associado Comercial (BAA) ativo com a Databricks. O senhor deve ter esse contrato em vigor antes de processar quaisquer dados PHI. Entre em contato com a equipe do Databricks account para obter mais informações.
Habilitar HIPAA compliance controles
HIPAA compliance Os controles exigem a ativação do perfil de segurança compliance, que adiciona agentes de monitoramento, fornece uma imagem compute reforçada e muito mais. Somente recursos de visualização específicos são suportados para o processamento de dados regulamentados. Para obter detalhes sobre o perfil de segurança compliance e o recurso de visualização compatível, consulte perfil de segurança de conformidade.
Para ativar os controles HIPAA compliance , consulte Configure enhanced security and compliance settings.
É responsabilidade do senhor confirmar que cada workspace tem o perfil de segurança compliance ativado. O senhor também deve ter um contrato BAA ativo com a Databricks antes de processar quaisquer dados PHI.
Responsabilidade compartilhada de HIPAA compliance
A conformidade com a HIPAA tem três áreas principais, com responsabilidades diferentes. Embora cada parte tenha inúmeras responsabilidades, abaixo enumeramos key responsabilidades de Databricks, juntamente com as responsabilidades do senhor.
Esta seção usa a terminologia plano de controle e planocompute , que são duas partes principais da arquitetura Databricks:
- O plano de controle Databricks inclui o serviço de backend que Databricks gerenciar em seu próprio AWS account.
- O plano compute é onde o seu data lake é processado. O plano clássico compute inclui um VPC em seu AWS account e o agrupamento de compute recurso para processar seu Notebook, Job e armazém pro ou clássico SQL.
Para obter mais informações, consulte Databricks visão geral da arquitetura.
Certifique-se de que informações confidenciais nunca sejam inseridas em campos de entrada definidos pelo cliente, como nomes de workspace, nomes de clustering, tags e nomes de trabalhos.
- O senhor é totalmente responsável por garantir sua própria compliance com todas as leis e regulamentos aplicáveis. as informações fornecidas na documentação on-line Databricks não constituem aconselhamento jurídico, e o senhor deve consultar seu consultor jurídico em caso de dúvidas relacionadas à regulamentação compliance.
- Databricks não suporta o uso de recurso de visualização para o processamento de PHI na plataforma HIPAA em AWS, com exceção do recurso listado em Recurso de visualização suportado.
As principais responsabilidades do site AWS incluem:
- Cumprir suas obrigações como associado comercial nos termos do seu BAA com a AWS.
- Fornecer ao senhor as máquinas EC2 sob seu contrato com AWS que suportam HIPAA compliance.
- Fornecer criptografia acelerada por hardware em repouso e criptografia em trânsito nas instâncias do AWS Nitro que seja adequada de acordo com a HIPAA.
- Exclua a chave de criptografia e os dados quando Databricks liberar as instâncias de EC2.
As principais responsabilidades do site Databricks incluem:
- Criptografe os dados PHI em trânsito enviados para ou do plano de controle.
- Criptografe os dados PHI em repouso no plano de controle.
- Use somente os tipos de instância do AWS Nitro, que impõem a criptografia em trânsito e em repouso. Databricks aplica isso tanto no site workspace quanto no API.
- Desprovisione as instâncias do EC2 quando indicado no Databricks (por exemplo, por meio de encerramento automático ou encerramento manual) para que o AWS possa limpá-las.
principais responsabilidades do senhor:
- Configure o site workspace para usar a chave gerenciar-cliente para o serviço gerenciado ou os resultados do Store interactive Notebook no cliente account recurso.
- Não use o recurso de visualização em Databricks para processar PHI, exceto os listados em Recurso de visualização suportado.
- Siga as práticas recomendadas de segurança, como desativar a saída desnecessária do compute plano e usar os segredos Databricks de para armazenar a chave de acesso PHI para.
- Celebrar um acordo de associação comercial com AWS para cobrir todos os dados processados dentro do VPC onde as instâncias do EC2 são implantadas.
- Não execute ações em uma máquina virtual que possam violar a HIPAA. Por exemplo, não instrua a Databricks a enviar PHI não criptografada para um endpoint.
- Certifique-se de que todos os dados que possam conter PHI estejam criptografados em repouso em qualquer local de armazenamento com o qual a plataforma Databricks interaja. Isso inclui a configuração da criptografia na conta de armazenamento workspace durante a criação do workspace. O senhor é responsável pela criptografia e pelos backups desse armazenamento e de todas as outras fontes de dados.
- Assegure-se de que todos os dados que possam conter PHI sejam criptografados em trânsito entre a Databricks e qualquer armazenamento de dados conectado ou sistemas externos. Por exemplo, o site APIs usado no Notebook deve usar criptografia para todas as conexões de saída.