recurso de conformidade HIPAA

Visualização

A capacidade de os administradores adicionarem recursos de Enhanced Security e compliance é um recurso no Public Preview. O perfil de segurança compliance e o suporte aos padrões compliance estão geralmente disponíveis (GA).

O recurso HIPAA compliance requer a ativação do perfil de segurançacompliance , que adiciona agentes de monitoramento, impõe tipos de instância para criptografia entre nós, fornece uma imagem compute reforçada e outros recursos. Para obter detalhes técnicos, consulte compliance security profile. É responsabilidade do senhor confirmar se cada workspace tem o perfil de segurança compliance ativado.

Para usar o perfil de segurança compliance , sua account Databricks deve incluir o complemento de segurança aprimorada e compliance . Para obter detalhes, consulte a página de preços.

Importante

Se o senhor adicionar HIPAA ao habilitar o perfil de segurança compliance, antes de processar os dados do PHI, é sua responsabilidade ter um acordo BAA com o Databricks.

Esse recurso exige que o site workspace esteja na camada Enterprise preços.

Certifique-se de que informações confidenciais nunca sejam inseridas em campos de entrada definidos pelo cliente, como nomes de workspace, nomes de clusters e nomes de Job.

Quais recursos de computação obtêm segurança aprimorada

Os aprimoramentos do perfil de segurança compliance para HIPAA se aplicam a compute recurso no plano clássico compute e no plano serverless compute em todas as regiões. Veja o perfil de segurança de conformidade compliance padrões com serverless compute disponibilidade. Para obter mais informações sobre os planos clássico e serverless compute , consulte a visão geral da arquiteturaDatabricks .

Visão geral da HIPAA

O Health Insurance Portability and Accountability Act de 1996 (HIPAA), o Health information tecnología for Economic and Clinical Health (HITECH) e as regulamentações emitidas sob o HIPAA são um conjunto de leis de saúde dos EUA. Entre outros dispositivos, essas leis estabelecem requisitos para o uso, a divulgação e a proteção de informações de saúde protegidas (PHI).

A HIPAA aplica-se a entidades cobertas e parceiros de negócios que criam, recebem, mantêm, transmitem ou acessam PHI. Quando uma entidade coberta ou parceiro comercial contrata os serviços de um provedor de serviços cloud (CSP), como Databricks, o CSP se torna um parceiro comercial sob a HIPAA.

Os regulamentos da HIPAA exigem que as entidades cobertas e seus parceiros de negócios celebrem um contrato chamado Acordo de Associado de Negócios (BAA) para garantir que os parceiros de negócios protejam as PHI adequadamente. Entre outras coisas, um BAA estabelece os usos e divulgações permitidos e exigidos de PHI pelo parceiro de negócios, com base no relacionamento entre as partes e nas atividades e serviços executados pelo parceiro de negócios.

O Databricks permite o processamento de dados PHI no Databricks?

Sim, se o senhor ativar o perfil de segurança compliance e adicionar o padrão HIPAA compliance como parte da configuração do perfil de segurança compliance. Entre em contato com a equipe da Databricks account para obter mais informações. É de sua responsabilidade, antes de processar dados PHI, ter um contrato BAA com a Databricks.

Habilitar o HIPAA em um espaço de trabalho

Para configurar o site workspace para suportar o processamento de dados regulamentados pelo padrão HIPAA compliance, o workspace deve ter o perfil de segurançacompliance ativado. O senhor pode ativá-lo e adicionar o padrão HIPAA compliance em todo o espaço de trabalho ou somente em alguns espaços de trabalho.

Importante

  • A adição de um padrão compliance em um workspace é permanente.

  • Se o senhor adicionar HIPAA ao habilitar o perfil de segurança compliance, é sua responsabilidade, antes de processar os dados PHI, ter um acordo BAA com Databricks.

Importante

  • Você é totalmente responsável por garantir sua própria compliance com todas as leis e regulamentos aplicáveis. As informações fornecidas na documentação on-line do Databricks não constituem aconselhamento jurídico e você deve consultar seu consultor jurídico para qualquer dúvida sobre compliance regulamentar.

  • Databricks não oferece suporte ao uso do recurso de visualização para o processamento de PHI na plataforma HIPAA em AWS, com exceção dos recursos listados em Recurso de visualização que são compatíveis com o processamento de dados de PHI .

Recurso de visualização com suporte para processamento de dados PHI

Os seguintes recursos de visualização são suportados para processamento de PHI:

  • Passagem de credenciais do IAM

    A passagem de credenciais está obsoleta a partir do Databricks Runtime 15.0 e será removida em versões futuras do Databricks Runtime. A Databricks recomenda que o senhor atualize para o Unity Catalog. Unity Catalog simplifica a segurança e a governança de seus dados, fornecendo um local central para administrar e auditar o acesso aos dados em vários espaços de trabalho em seu site account. Consulte O que é o Unity Catalog?

Responsabilidade compartilhada de conformidade com HIPAA

Cumprir com HIPAA tem três áreas principais, com diferentes responsabilidades. Embora cada parte tenha inúmeras responsabilidades, abaixo enumeramos key responsabilidades nossas, juntamente com as suas responsabilidades.

Estes artigos usam a terminologia do plano de controle do Databricks e um planocompute , que são duas partes principais de como o Databricks funciona:

  • O plano de controle do Databricks inclui os serviços de back-end que o Databricks gerencia em sua própria account da AWS.

  • O plano compute é onde o seu data lake é processado. O plano clássico compute inclui um VPC em seu AWS account, e clusters de compute recurso para processar seu Notebook, Job e armazém pro ou clássico SQL.

key responsabilidades da AWS incluem:

  • Desempenhar suas obrigações como parceiro comercial sob seu BAA com a AWS.

  • Fornecer a você as máquinas EC2 sob seu contrato com a AWS que oferecem suporte compliance com HIPAA.

  • Forneça criptografia acelerada por hardware em repouso e em trânsito nas instâncias Nitro da AWS que sejam adequadas de acordo com a HIPAA.

  • Exclua key de criptografia e os dados quando o Databricks liberar as instâncias do EC2.

key responsabilidades do Databricks incluem:

  • Criptografe os dados PHI em trânsito que são transmitidos de ou para o plano de controle.

  • Criptografar dados PHI em repouso no plano de controle

  • Limite o conjunto de tipos de instância aos tipos de instância do AWS Nitro que impõem criptografia em trânsito e criptografia em repouso. Para obter a lista de tipos de instância com suporte, consulte AWS Nitro System e recursos compliance HIPAA. O Databricks limita os tipos de instância no console account e por meio da API.

  • Desprovisione instâncias do EC2 quando você indicar no Databricks que elas devem ser desprovisionadas, por exemplo, encerramento automático ou encerramento manual, para que a AWS possa limpá-los.

key responsabilidades suas:

  • Configure seu espaço de trabalho para usar as chaves de gerenciamento do cliente para o serviço gerenciado ou o recurso Armazenar resultados Notebook interativo na account do cliente .

  • Não use o recurso de visualização no Databricks para processar PHI que não sejam os recursos listados no recurso de visualização que são suportados para o processamento de dados PHI

  • Siga as melhores práticas de segurança , como desabilitar a saída desnecessária do plano compute e usar o recurso de segredos do Databricks (ou outra funcionalidade semelhante) para armazenar key de acesso que fornece acesso a PHI.

  • Entre em um contrato de parceiro comercial com a AWS para cobrir todos os dados processados na VPC onde as instâncias do EC2 são aprimoradas.

  • Não faça algo em uma máquina virtual que seja uma violação do HIPAA. Por exemplo, direcione Databricks para enviar PHI não criptografado para um endpoint.

  • Certifique-se de que todos os dados que possam conter PHI sejam criptografados em repouso ao armazená-los em locais com os quais a plataforma Databricks possa interagir. Isso inclui definir as configurações de criptografia no bucket S3 raiz de cada workspaceque faz parte da criação workspace . Você é responsável por garantir a criptografia (bem como realizar backups) para este armazenamento e todas as outras fontes de dados.

  • Certifique-se de que todos os dados que possam conter PHI sejam criptografados em trânsito entre Databricks e qualquer um dos seus locais de armazenamento de dados ou locais externos que você acessa de uma máquina de plano compute . Por exemplo, quaisquer APIs usadas em um Notebook que possa se conectar a fontes de dados externas deverão usar criptografia apropriada em quaisquer conexões de saída.

  • Certifique-se de que todos os dados que possam conter PHI sejam criptografados em repouso ao armazená-los em locais com os quais a plataforma Databricks possa interagir. Isso inclui definir as configurações de criptografia no armazenamento raiz de cada workspaceque faz parte da criação workspace .

  • Garanta a criptografia (bem como a realização de backups) para seu bucket S3 raiz e todas as outras fontes de dados.

  • Certifique-se de que todos os dados que possam conter PHI sejam criptografados em trânsito entre Databricks e qualquer um dos seus locais de armazenamento de dados ou locais externos que você acessa de uma máquina de plano compute . Por exemplo, quaisquer APIs usadas em um Notebook que possa se conectar a fontes de dados externas deverão usar criptografia apropriada em quaisquer conexões de saída.

Observe o seguinte sobre a chave de gerenciar o cliente:

  • O senhor pode adicionar a chave gerenciadora de clientes ao seu bucket S3 raiz do workspaceusando a chave gerenciadora de clientes para o recurso de armazenamento workspace, mas a Databricks não exige que o senhor faça isso.

  • Como parte opcional do recurso de armazenamento workspace, o senhor pode adicionar a chave gerenciadora de clientes para volumes EBS, mas isso não é necessário para o HIPAA compliance.