HIPAA compliance recurso

HIPAA compliance O recurso requer a ativação do perfil de segurançacompliance , que adiciona agentes de monitoramento, impõe tipos de instância para criptografia entre nós, fornece uma imagem compute reforçada e outros recursos. Para obter detalhes técnicos, consulte o perfil de segurança de conformidade. É responsabilidade do senhor confirmar que cada workspace tem o perfil de segurança compliance ativado.

Para usar o perfil de segurança compliance, o site Databricks account deve incluir o complemento Enhanced Security and compliance. Para obter detalhes, consulte a página de preços.

important

Se o senhor adicionar HIPAA ao habilitar o perfil de segurança compliance, antes de processar os dados do PHI, é sua responsabilidade ter um acordo BAA com o Databricks.

Esse recurso exige que o site workspace esteja na camada Enterprise preços.

Certifique-se de que informações confidenciais nunca sejam inseridas em campos de entrada definidos pelo cliente, como nomes de workspace, nomes de clustering e nomes de trabalhos.

Quais recursos do compute recebem segurança aprimorada

Os aprimoramentos do perfil de segurança compliance para HIPAA se aplicam a compute recurso no plano clássico compute e no plano serverless compute em todas as regiões. Veja o perfil de segurança de conformidade compliance padrões com serverless compute disponibilidade. Para obter mais informações sobre os planos clássico e serverless compute , consulte a visão geral da arquiteturaDatabricks.

Visão geral da HIPAA

O Health Insurance Portability and Accountability Act de 1996 (HIPAA), o Health information tecnología for Economic and Clinical Health (HITECH) e as regulamentações emitidas pelo HIPAA são um conjunto de leis de saúde dos EUA. Entre outros dispositivos, essas leis estabelecem requisitos para o uso, a divulgação e a proteção de informações de saúde protegidas (PHI).

A HIPAA se aplica a entidades cobertas e associados comerciais que criam, recebem, mantêm, transmitem ou acessam PHI. Quando uma entidade coberta ou um associado comercial contrata o serviço de um provedor de serviços em nuvem (CSP), como o Databricks, o CSP se torna um associado comercial nos termos do HIPAA.

As normas da HIPAA exigem que as entidades cobertas e seus associados comerciais celebrem um contrato denominado Business Associate Agreement (BAA) para garantir que os associados comerciais protejam adequadamente as PHI. Entre outras coisas, um BAA estabelece os usos e divulgações permitidos e exigidos de PHI pelo associado comercial, com base no relacionamento entre as partes e nas atividades e serviços que estão sendo executados pelo associado comercial.

A Databricks permite o processamento de dados PHI na Databricks?

Sim, se o senhor ativar o perfil de segurança compliance e adicionar o padrão HIPAA compliance como parte da configuração do perfil de segurança compliance. Entre em contato com a equipe do Databricks account para obter mais informações. É de sua responsabilidade, antes de processar dados PHI, ter um contrato BAA com a Databricks.

Habilite o site HIPAA em um workspace

Para configurar seu workspace para suportar o processamento de dados regulamentados pelo padrão HIPAA compliance , o workspace deve ter o perfil de segurançacompliance ativado. O senhor pode ativá-lo e adicionar o padrão HIPAA compliance em todos os espaços de trabalho ou apenas em alguns deles.

• Para habilitar o perfil de segurança compliance e adicionar o padrão HIPAA compliance para um site existente workspace, consulte Habilitar segurança aprimorada e compliance recurso em um site existente workspace.
• Para definir uma accountconfiguração de nível para ativar o compliance perfil de segurança e HIPAA para o novo espaço de trabalho, consulte accountDefinir padrão de nível para todos os novos espaços de trabalho.

important

• A adição de um padrão compliance em um workspace é permanente.
• Se o senhor adicionar HIPAA ao habilitar o perfil de segurança compliance, é sua responsabilidade, antes de processar os dados PHI, ter um acordo BAA com Databricks.

important

• O senhor é totalmente responsável por garantir sua própria compliance com todas as leis e regulamentos aplicáveis. as informações fornecidas na documentação on-line Databricks não constituem aconselhamento jurídico, e o senhor deve consultar seu consultor jurídico em caso de dúvidas relacionadas à regulamentação compliance.
• Databricks não oferece suporte ao uso do recurso de visualização para o processamento de PHI na plataforma HIPAA em AWS, com exceção dos recursos listados em Recurso de visualização que são compatíveis com o processamento de dados de PHI.

Recurso de visualização suportado para o processamento de dados do site PHI

Os seguintes recursos de visualização são suportados para o processamento de PHI:

• em nível de espaço de trabalho SCIM provisionamento

  workspace-level SCIM provisionamento é legado. Databricks recomenda o uso do account-level SCIM provisionamento, que geralmente está disponível.

• Caminhos secretos em variável de ambiente

• Tabelas do sistema que estão em Pré-visualização pública

• Pipeline DLT habilitado para o Unity Catalog

• DLT Hive metastore para Unity Catalog clone API

• Gateway do Mosaic AI

• Hive metastore federação

• Conector do Salesforce LakeFlow Connect

• Conector do Workday LakeFlow Connect

• Conector ServiceNow LakeFlow Connect

• controle de saída sem servidor

• Passagem de credenciais do IAM

  A passagem de credenciais está obsoleta a partir do Databricks Runtime 15.0 e será removida em versões futuras do Databricks Runtime. A Databricks recomenda que o senhor atualize para o Unity Catalog. Unity Catalog simplifica a segurança e a governança de seus dados, fornecendo um local central para administrar e auditar o acesso aos dados em vários espaços de trabalho em seu site account. Consulte O que é o Unity Catalog?

• LLM inferência de lotes com ai_query

• AI()

• AI juízes

• API do Genie Conversation

• Delta Sharing Plataforma cruzada view compartilhamento

Responsabilidade compartilhada de HIPAA compliance

A conformidade com a HIPAA tem três áreas principais, com responsabilidades diferentes. Embora cada parte tenha inúmeras responsabilidades, abaixo enumeramos key nossas responsabilidades, juntamente com as responsabilidades dos senhores.

Este artigo usa a terminologia Databricks plano de controle e um planocompute , que são duas partes principais do funcionamento do Databricks:

• O Databricks plano de controle inclui o serviço de backend que Databricks gerenciar em seu próprio AWS account.
• O plano compute é onde o seu data lake é processado. O plano clássico compute inclui um VPC em seu AWS account e o agrupamento de compute recurso para processar seu Notebook, Job e armazém pro ou clássico SQL.

As principais responsabilidades do site AWS incluem:

• Cumprir suas obrigações como associado comercial nos termos do seu BAA com a AWS.
• Fornecer ao senhor as máquinas EC2 sob seu contrato com AWS que suportam HIPAA compliance.
• Fornecer criptografia acelerada por hardware em repouso e criptografia em trânsito nas instâncias do AWS Nitro que seja adequada de acordo com a HIPAA.
• Exclua a chave de criptografia e os dados quando Databricks liberar as instâncias de EC2.

As principais responsabilidades do site Databricks incluem:

• Criptografe os dados PHI em trânsito que são transmitidos de ou para o plano de controle.
• Criptografar dados PHI em repouso no plano de controle
• Limite o conjunto de tipos de instância aos tipos de instância do AWS Nitro que impõem a criptografia em trânsito e a criptografia em repouso. Para obter a lista de tipos de instância compatíveis, consulte AWS Nitro System e HIPAA compliance recurso. Databricks limita os tipos de instância no console account e por meio do site API.
• Desprovisione as instâncias do EC2 quando o senhor indicar no Databricks que elas devem ser desprovisionadas, por exemplo, encerramento automático ou encerramento manual, para que o AWS possa limpá-las.

principais responsabilidades do senhor:

• Configure o site workspace para usar a chave gerenciar-cliente para o serviço gerenciado ou os resultados do Store interactive Notebook no cliente account recurso.
• Não use o recurso de visualização em Databricks para processar PHI além dos recursos listados em Recurso de visualização que são compatíveis com o processamento de dados de PHI
• Siga as práticas recomendadas de segurança, como desativar a saída desnecessária do plano compute e usar o recurso Databricks secrets (ou outra funcionalidade semelhante) para armazenar a chave de acesso que fornece acesso a PHI.
• Celebrar um acordo de associação comercial com AWS para cobrir todos os dados processados dentro do VPC onde as instâncias do EC2 são implantadas.
• Não faça nada em uma máquina virtual que possa ser uma violação da HIPAA. Por exemplo, direcionar a Databricks para enviar PHI não criptografada a um endpoint.
• Certifique-se de que todos os dados que possam conter PHI estejam criptografados em repouso quando o senhor os armazenar em locais com os quais a plataforma Databricks possa interagir. Isso inclui a definição das configurações de criptografia em cada bucket workspace's root S3 que faz parte da criação do workspace. O senhor é responsável por garantir a criptografia (bem como realizar backups) desse armazenamento e de todas as outras fontes de dados.
• Certifique-se de que todos os dados que possam conter PHI sejam criptografados em trânsito entre Databricks e qualquer um de seus locais de armazenamento de dados ou locais externos que o senhor acesse a partir de uma máquina de avião compute. Por exemplo, qualquer APIs que o senhor use em um notebook que possa se conectar a fontes de dados externas deve usar a criptografia adequada em todas as conexões de saída.
• Certifique-se de que todos os dados que possam conter PHI estejam criptografados em repouso quando o senhor os armazenar em locais com os quais a plataforma Databricks possa interagir. Isso inclui a definição das configurações de criptografia em cada armazenamento raiz do site workspaceque faz parte da criação do site workspace.
• Garanta a criptografia (bem como a realização de backups) do seu bucket raiz S3 e de todas as outras fontes de dados.
• Certifique-se de que todos os dados que possam conter PHI sejam criptografados em trânsito entre Databricks e qualquer um de seus locais de armazenamento de dados ou locais externos que o senhor acesse a partir de uma máquina de avião compute. Por exemplo, qualquer APIs que o senhor use em um notebook que possa se conectar a fontes de dados externas deve usar a criptografia adequada em todas as conexões de saída.

Observe o seguinte sobre a chave de gerenciar o cliente:

• O senhor pode adicionar a chave de gerenciar o cliente para o bucket workspaceraiz S3 usando a chave de gerenciar o cliente para o recurso de armazenamento workspace, mas o site Databricks não exige que o senhor faça isso.
• Como parte opcional da chave de gerenciar o cliente para o recurso de armazenamento workspace, o senhor pode adicionar a chave de gerenciar o cliente para os volumes do EBS, mas isso não é necessário para HIPAA compliance.