Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta página descreve os controles de conformidade hipaa no Azure Databricks.
Visão geral da HIPAA
A HIPAA é uma lei de saúde dos EUA que estabelece padrões nacionais para proteger a privacidade e a segurança das informações de saúde protegidas (PHI).
Pontos principais:
- Aplica-se a prestadores de serviços de saúde, seguradoras e fornecedores que lidam com PHI.
- Inclui regras de privacidade, segurança e notificação de violação.
- Requer proteções administrativas, técnicas e físicas para o PHI.
- Aplica-se aos provedores de serviços de nuvem que armazenam ou processam o PHI.
Habilitar controles de conformidade HIPAA
O Databricks recomenda fortemente que os clientes que desejam usar o controle de conformidade HIPAA habilitem o perfil de segurança de conformidade, que adiciona agentes de monitoramento, fornece uma imagem de computação protegida e outros recursos. Há suporte apenas para recursos de visualização específicos para o processamento de dados regulamentados. Para obter detalhes sobre o perfil de segurança de conformidade e os recursos de visualização com suporte, consulte o perfil de segurança de conformidade.
Para habilitar controles de conformidade HIPAA, consulte Definir configurações avançadas de segurança e conformidade.
Responsabilidade compartilhada da conformidade com HIPAA
O cumprimento da HIPAA tem três áreas principais, com responsabilidades diferentes. Embora cada parte tenha várias responsabilidades, abaixo, enumeramos as principais responsabilidades do Databricks, juntamente com suas responsabilidades.
Esta seção usa a terminologia plano de controle e plano de computação, que são duas partes principais da arquitetura do Azure Databricks:
- O plano de controle do Azure Databricks inclui os serviços de back-end que o Azure Databricks gerencia em sua própria conta do Azure.
- O plano de computação é o local onde o data lake é processado. O plano de computação clássico inclui uma VNet em sua conta do Azure e clusters de recursos de computação, para processar seus notebooks, tarefas e armazéns SQL profissionais ou clássicos.
Para obter mais informações, consulte a arquitetura de alto nível.
Você é o único responsável por verificar se informações confidenciais nunca são inseridas em campos de entrada definidos pelo cliente, como nomes de workspace, nomes de recursos de computação, marcas, nomes de trabalho, nomes de execução de trabalho, nomes de rede, nomes de credencial, nomes de conta de armazenamento e IDs ou URLs do repositório Git. Esses campos podem ser armazenados, processados ou acessados fora do limite de conformidade.
Importante
- Você é totalmente responsável por garantir sua própria conformidade com todas as leis e regulamentos aplicáveis. As informações fornecidas na documentação online do Azure Databricks não constituem consultoria jurídica e você deve consultar seu consultor jurídico para obter dúvidas sobre conformidade regulatória.
- O Azure Databricks não dá suporte ao uso de recursos de visualização para o processamento de PHI no HIPAA na plataforma do Azure, com exceção dos recursos listados nos recursos de versão prévia com suporte.
As principais responsabilidades da Microsoft incluem:
Execute suas obrigações como um parceiro comercial sob seu BAA com a Microsoft.
Forneça VMs sob seu contrato com a Microsoft que dão suporte à conformidade HIPAA.
Exclua chaves de criptografia e dados quando o Azure Databricks liberar as instâncias de VM.
As principais responsabilidades do Azure Databricks incluem:
- Criptografar dados PHI em trânsito enviados de ou para o painel de controle.
- Criptografe dados PHI em repouso no plano de controle.
- Use apenas tipos de instância que sejam suportados pelo perfil de segurança de conformidade. O Azure Databricks impõe isso no workspace e na API.
- Desprovisionar instâncias de VM quando você indicar no Azure Databricks (por exemplo, por meio de terminação automática ou terminação manual) para que o Azure possa apagá-las.
Principais responsabilidades suas:
- Configure seu espaço de trabalho para usar chaves gerenciadas pelo cliente para serviços gerenciados ou o recurso Armazenar resultados do bloco de notas interativo na conta do cliente.
- Não use recursos de visualização no Azure Databricks para processar o PHI, exceto aqueles listados em recursos de versão prévia com suporte.
- Siga as práticas recomendadas de segurança, como desabilitar a saída desnecessária do plano de computação e usar segredos do Azure Databricks para armazenar chaves de acesso para PHI.
- Insira um contrato de associação comercial com a Microsoft para cobrir todos os dados processados na VNet em que as instâncias de VM são implantadas.
- Não execute ações em uma máquina virtual que violem o HIPAA. Por exemplo, não direcione o Azure Databricks a enviar informações de saúde protegidas (PHI) sem criptografia a um endpoint.
- Verifique se todos os dados que podem conter PHI são criptografados em repouso em qualquer local de armazenamento com o qual a plataforma do Azure Databricks interage. Isso inclui a configuração de criptografia nas contas de armazenamento do espaço de trabalho durante sua criação. Você é responsável pela criptografia e backups desse armazenamento e de todas as outras fontes de dados.
- Verifique se todos os dados que podem conter PHI são criptografados em trânsito entre o Azure Databricks e qualquer armazenamento de dados conectado ou sistemas externos. Por exemplo, as APIs usadas em notebooks devem usar criptografia para todas as conexões de saída.