HIPAA compliance recurso
Databricks conta com o recurso integrado do GKE para impor a criptografia em repouso e a criptografia em trânsito dentro de um cluster.
Esse recurso exige que o site workspace esteja no nível Premium preços. A compra do complemento de conformidade HIPAA é necessária se o senhor processar dados PHI em seu account.
Certifique-se de que informações confidenciais nunca sejam inseridas em campos de entrada definidos pelo cliente, como nomes de workspace, nomes de clustering e nomes de trabalhos.
Quais recursos do compute recebem segurança aprimorada
Os aprimoramentos do perfil de segurança compliance para HIPAA se aplicam a compute recurso no plano clássico compute e a serverless SQL warehouse em todas as regiões. serverless compute para Notebook e fluxo de trabalho não é compatível com HIPAA. Para obter mais informações sobre os planos clássico e serverless compute , consulte a visão geral da arquiteturaDatabricks.
Visão geral da HIPAA
O Health Insurance Portability and Accountability Act de 1996 (HIPAA), o Health information tecnología for Economic and Clinical Health (HITECH) e as regulamentações emitidas pelo HIPAA são um conjunto de leis de saúde dos EUA. Entre outros dispositivos, essas leis estabelecem requisitos para o uso, a divulgação e a proteção de informações de saúde protegidas (PHI).
A HIPAA se aplica a entidades cobertas e associados comerciais que criam, recebem, mantêm, transmitem ou acessam PHI. Quando uma entidade coberta ou um associado comercial contrata o serviço de um provedor de serviços em nuvem (CSP), como o Databricks, o CSP se torna um associado comercial nos termos do HIPAA.
As normas da HIPAA exigem que as entidades cobertas e seus associados comerciais celebrem um contrato denominado Business Associate Agreement (BAA) para garantir que os associados comerciais protejam adequadamente as PHI. Entre outras coisas, um BAA estabelece os usos e divulgações permitidos e exigidos de PHI pelo associado comercial, com base no relacionamento entre as partes e nas atividades e serviços que estão sendo executados pelo associado comercial.
A Databricks permite o processamento de dados PHI na Databricks?
A Databricks permite o processamento de dados PHI se o senhor tiver um contrato BAA com a Databricks. Entre em contato com a equipe do Databricks account para obter mais informações. É de sua responsabilidade, antes de processar dados PHI, ter um contrato BAA com a Databricks.
Habilite o site HIPAA em um workspace
HIPAA compliance Os recursos na plataforma Google Cloud são ativados no nível account.
Se o senhor tiver um Google Cloud account e o seu account não estiver habilitado para HIPAA, entre em contato com a sua equipe Databricks account para atualizar o seu account e incluir o HIPAA compliance recurso. Observe que a ativação do recurso HIPAA compliance para um account é permanente.
Depois que seu Databricks account estiver habilitado para HIPAA no Google Cloud, o espaço de trabalho no account terá HIPAA compliance recurso para todas as regiões. Para implantar um workspace sem HIPAA compliance recurso, o senhor deve criar um Databricks account separado.
- O senhor é totalmente responsável por garantir sua própria compliance com todas as leis e regulamentos aplicáveis. as informações fornecidas na documentação on-line Databricks não constituem aconselhamento jurídico, e o senhor deve consultar seu consultor jurídico em caso de dúvidas relacionadas à regulamentação compliance.
- Databricks não oferece suporte ao uso de recurso de visualização para o processamento de PHI na plataforma HIPAA on Google Cloud, com exceção dos recursos listados em Recurso de visualização que são compatíveis com o processamento de dados de PHI.
Recurso de visualização suportado para o processamento de dados do site PHI
Os seguintes recursos de visualização são suportados para o processamento de PHI:
-
em nível de espaço de trabalho SCIM provisionamento
workspace-level SCIM provisionamento é legado. Databricks recomenda o uso do account-level SCIM provisionamento, que geralmente está disponível.
-
DLT Hive metastore para Unity Catalog clone API
Responsabilidade compartilhada de HIPAA compliance
A conformidade com a HIPAA tem três áreas principais, com responsabilidades diferentes. Embora cada parte tenha inúmeras responsabilidades, abaixo enumeramos key nossas responsabilidades, juntamente com as responsabilidades dos senhores.
Este artigo usa a terminologia Databricks plano de controle e um planocompute , que são duas partes principais do funcionamento do Databricks:
- O Databricks plano de controle inclui o serviço de back-end que Databricks gerencia em seu próprio Google Cloud.account
- O plano compute é onde o seu data lake é processado. O plano clássico compute inclui um VPC em seu Google Cloud account e um clustering de compute recurso para processar seu Notebook, Job e armazém pro ou clássico SQL.
As principais responsabilidades do Google incluem:
- Cumpra suas obrigações como parceiro comercial de acordo com seu BAA com o Google.
- Fornecer ao senhor máquinas virtuais sob seu contrato com o Google Cloud que suportam HIPAA compliance.
- Forneça criptografia em repouso e criptografia em trânsito no clustering GKE que seja adequada em HIPAA.
- Exclua a chave de criptografia e os dados quando o site Databricks liberar as instâncias da VM.
As principais responsabilidades do site Databricks incluem:
- Criptografe os dados PHI em trânsito que são transmitidos de ou para o plano de controle.
- Criptografar dados PHI em repouso no plano de controle
- Desprovisione as instâncias de VM quando o senhor indicar no Databricks que elas devem ser desprovisionadas, por exemplo, encerramento automático ou encerramento manual, para que o Google Cloud possa limpá-las.
principais responsabilidades do senhor:
-
Não use o recurso de visualização em Databricks para processar PHI sem nossa permissão por escrito. No entanto, é possível usar o recurso de visualização listado em Recurso de visualização que é compatível com o processamento de dados do site PHI.
-
Siga as práticas recomendadas de segurança, como desativar a saída desnecessária do plano compute e usar o recurso Databricks secrets (ou outra funcionalidade semelhante) para armazenar a chave de acesso que fornece acesso a PHI.
-
Celebrar um contrato de associação comercial com o Google Cloud para cobrir todos os dados processados no site VPC, onde as instâncias de VM são implantadas.
-
Não faça nada em uma máquina virtual que possa ser uma violação da HIPAA. Por exemplo, direcionar a Databricks para enviar PHI não criptografada a um endpoint.
-
Certifique-se de que todos os dados que possam conter PHI estejam criptografados em repouso quando o senhor os armazenar em locais com os quais a plataforma Databricks possa interagir. O senhor é responsável por garantir a criptografia (bem como realizar backups) dos buckets que o Databricks cria no seu account para cada workspace e todas as outras fontes de dados.
-
Certifique-se de que todos os dados que possam conter PHI sejam criptografados em trânsito entre Databricks e qualquer um de seus locais de armazenamento de dados ou locais externos que o senhor acesse a partir de uma máquina de avião compute. Por exemplo, qualquer APIs que o senhor use em um notebook que possa se conectar a fontes de dados externas deve usar a criptografia adequada em todas as conexões de saída.
-
Certifique-se de que todos os dados que possam conter PHI estejam criptografados em repouso quando o senhor os armazenar em locais com os quais a plataforma Databricks possa interagir.
-
Garanta a criptografia (bem como a realização de backups) dos buckets do seu workspacee de todas as outras fontes de dados.
-
Certifique-se de que todos os dados que possam conter PHI sejam criptografados em trânsito entre Databricks e qualquer um de seus locais de armazenamento de dados ou locais externos que o senhor acesse a partir de uma máquina de avião compute. Por exemplo, qualquer APIs que o senhor use em um notebook que possa se conectar a fontes de dados externas deve usar a criptografia adequada em todas as conexões de saída.