Pular para o conteúdo principal

HIPAA

Esta página descreve HIPAA compliance controles em Databricks.

Visão geral da HIPAA

HIPAA é uma lei de saúde dos EUA que estabelece padrões nacionais para proteger a privacidade e a segurança das informações de saúde protegidas (PHI).

pontos-chave:

  • Aplica-se a prestadores de serviços de saúde, seguradoras e fornecedores que lidam com PHI.
  • Inclui regras para privacidade, segurança e notificação de violações.
  • Requer proteções administrativas, técnicas e físicas para as PHI.
  • Aplica-se a provedores de serviços em nuvem que armazenam ou processam PHI.

Exigência de Contrato de Associado Comercial (BAA) para o processamento de PHI

HIPAA e regulamentos relacionados exigem que as organizações que lidam com informações de saúde protegidas (PHI) cumpram salvaguardas específicas. Quando uma entidade coberta ou um associado comercial usa um provedor de serviços em nuvem (CSP) como Databricks, o CSP também é considerado um associado comercial.

Como resultado, a Databricks permite o processamento de dados PHI somente se o senhor tiver um Contrato de Associado Comercial (BAA) ativo com a Databricks. O senhor deve ter esse contrato em vigor antes de processar quaisquer dados PHI. Entre em contato com a equipe do Databricks account para obter mais informações.

Habilitar HIPAA compliance controles

HIPAA compliance Os controles exigem a ativação do perfil de segurança compliance, que adiciona agentes de monitoramento, fornece uma imagem compute reforçada e muito mais. Somente recursos de visualização específicos são suportados para o processamento de dados regulamentados. Para obter detalhes sobre o perfil de segurança compliance e o recurso de visualização compatível, consulte perfil de segurança de conformidade.

Para ativar os controles HIPAA compliance , consulte Configure enhanced security and compliance settings.

É responsabilidade do senhor confirmar que cada workspace tem o perfil de segurança compliance ativado. O senhor também deve ter um contrato BAA ativo com a Databricks antes de processar quaisquer dados PHI.

important

Se o HIPAA foi ativado no seu account antes do lançamento do perfil de segurança compliance, o senhor deve configurar o perfil de segurança compliance com HIPAA em todo o seu espaço de trabalho. Consulte Configurar segurança aprimorada e compliance settings.

Responsabilidade compartilhada de HIPAA compliance

A conformidade com a HIPAA tem três áreas principais, com responsabilidades diferentes. Embora cada parte tenha inúmeras responsabilidades, abaixo enumeramos key responsabilidades de Databricks, juntamente com as responsabilidades do senhor.

Esta seção usa a terminologia plano de controle e planocompute , que são duas partes principais da arquitetura Databricks:

  • O plano de controle Databricks inclui o serviço de back-end que Databricks gerencia em seu próprio Google Cloud account.
  • O plano compute é onde o seu data lake é processado. O plano clássico compute inclui um VPC em seu Google Cloud account e um clustering de compute recurso para processar seu Notebook, Job e armazém pro ou clássico SQL.

Para obter mais informações, consulte Databricks visão geral da arquitetura.

Certifique-se de que informações confidenciais nunca sejam inseridas em campos de entrada definidos pelo cliente, como nomes de workspace, nomes de clustering, tags e nomes de trabalhos.

important
  • O senhor é totalmente responsável por garantir sua própria compliance com todas as leis e regulamentos aplicáveis. as informações fornecidas na documentação on-line Databricks não constituem aconselhamento jurídico, e o senhor deve consultar seu consultor jurídico em caso de dúvidas relacionadas à regulamentação compliance.
  • Databricks não suporta o uso de recurso de visualização para o processamento de PHI na plataforma HIPAA on Google Cloud, com exceção do recurso listado em Recurso de visualização suportado.

As principais responsabilidades do Google incluem:

  • Cumpra suas obrigações como parceiro comercial de acordo com seu BAA com o Google.
  • Fornecer ao senhor máquinas virtuais sob seu contrato com o Google Cloud que suportam HIPAA compliance.
  • Forneça criptografia em repouso e criptografia em trânsito no clustering do GCE que seja adequada em HIPAA.
  • Exclua a chave de criptografia e os dados quando o site Databricks liberar as instâncias da VM.

As principais responsabilidades do site Databricks incluem:

  • Criptografe os dados PHI em trânsito que são transmitidos de ou para o plano de controle.
  • Criptografar dados PHI em repouso no plano de controle
  • Desprovisione as instâncias de VM quando o senhor indicar no Databricks (por exemplo, por meio de encerramento automático ou encerramento manual) para que o Azure possa limpá-las.

principais responsabilidades do senhor:

  • Não use o recurso de visualização em Databricks para processar PHI sem nossa permissão por escrito. No entanto, é possível usar o recurso de visualização listado em Recurso de visualização suportado.

  • Siga as práticas recomendadas de segurança, como desativar a saída desnecessária do plano compute e usar o recurso Databricks secrets (ou outra funcionalidade semelhante) para armazenar a chave de acesso que fornece acesso a PHI.

  • Celebrar um contrato de associação comercial com o Google Cloud para cobrir todos os dados processados no site VPC, onde as instâncias de VM são implantadas.

  • Não faça nada em uma máquina virtual que possa ser uma violação da HIPAA. Por exemplo, direcionar a Databricks para enviar PHI não criptografada a um endpoint.

  • Certifique-se de que todos os dados que possam conter PHI estejam criptografados em repouso quando o senhor os armazenar em locais com os quais a plataforma Databricks possa interagir. O senhor é responsável por garantir a criptografia (bem como realizar backups) dos buckets que o Databricks cria no seu account para cada workspace e todas as outras fontes de dados.

  • Certifique-se de que todos os dados que possam conter PHI sejam criptografados em trânsito entre Databricks e qualquer um de seus locais de armazenamento de dados ou locais externos que o senhor acesse a partir de uma máquina de avião compute. Por exemplo, qualquer APIs que o senhor use em um notebook que possa se conectar a fontes de dados externas deve usar a criptografia adequada em todas as conexões de saída.

  • Garanta a criptografia (bem como a realização de backups) dos buckets do seu workspace e de todas as outras fontes de dados.

  • Certifique-se de que todos os dados que possam conter PHI sejam criptografados em trânsito entre Databricks e qualquer um de seus locais de armazenamento de dados ou locais externos que o senhor acesse a partir de uma máquina de avião compute. Por exemplo, qualquer APIs que o senhor use em um notebook que possa se conectar a fontes de dados externas deve usar a criptografia adequada em todas as conexões de saída.

Última atualização em