Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Esta página descreve os controles de conformidade HIPAA no Azure Databricks.
Descrição geral da HIPAA
A HIPAA é uma lei de saúde dos EUA que estabelece padrões nacionais para proteger a privacidade e a segurança das informações de saúde protegidas (PHI).
Pontos principais:
- Aplica-se a prestadores de cuidados de saúde, seguradoras e fornecedores que lidam com PHI.
- Inclui regras de privacidade, segurança e notificação de violação.
- Requer salvaguardas administrativas, técnicas e físicas para PHI.
- Aplica-se a provedores de serviços de nuvem que armazenam ou processam PHI.
Habilite os controles de conformidade com a HIPAA
A Databricks recomenda enfaticamente que os clientes que desejam usar o controle de conformidade HIPAA habilitem o perfil de segurança de conformidade, que adiciona agentes de monitoramento, fornece uma imagem de computação reforçada e outros recursos. Apenas funcionalidades de pré-visualização específicas são suportadas para o processamento de dados regulamentados. Para obter detalhes sobre o perfil de segurança de conformidade e os recursos de visualização suportados, consulte Perfil de segurança de conformidade.
Para habilitar os controles de conformidade com a HIPAA, consulte Configurar configurações aprimoradas de segurança e conformidade.
Responsabilidade compartilhada da conformidade com a HIPAA
A conformidade com a HIPAA tem três áreas principais, com responsabilidades diferentes. Embora cada parte tenha inúmeras responsabilidades, abaixo enumeramos as principais responsabilidades da Databricks, juntamente com suas responsabilidades.
Esta seção usa a terminologia plano de controle e plano de computação, que são duas partes principais da arquitetura do Azure Databricks.
- O plano de controle do Azure Databricks inclui os serviços de back-end que o Azure Databricks gerencia em sua própria conta do Azure.
- O plano de computação é onde seu data lake é processado. O plano de computação clássico inclui uma VNet em sua conta do Azure e clusters de recursos de computação para processar seus blocos de anotações, trabalhos e armazéns SQL profissionais ou clássicos.
Para obter mais informações, consulte Arquitetura de alto nível.
É o único responsável por verificar que informações sensíveis nunca são inseridas em campos de entrada definidos pelo cliente, como nomes de espaços de trabalho, nomes de recursos de computação, etiquetas, nomes de trabalhos, nomes de execução de trabalhos, nomes de rede, nomes de credenciais, nomes de contas de armazenamento e IDs ou URLs de repositórios Git. Esses campos podem ser armazenados, processados ou acessados fora do limite de conformidade.
Importante
- Você é totalmente responsável por garantir sua própria conformidade com todas as leis e regulamentos aplicáveis. As informações fornecidas na documentação online do Azure Databricks não constituem aconselhamento jurídico e deve consultar o seu consultor jurídico para quaisquer questões relacionadas com a conformidade regulamentar.
- O Azure Databricks não suporta a utilização de funcionalidades de pré-visualização para o processamento de PHI na plataforma HIPAA no Azure, com exceção das funcionalidades listadas em Funcionalidades de pré-visualização suportadas.
As principais responsabilidades da Microsoft incluem:
Cumprir as suas obrigações como associado comercial ao abrigo do seu BAA com a Microsoft.
Fornecer VMs sob o seu contrato com a Microsoft que ofereçam suporte à conformidade com HIPAA.
Exclua as chaves de criptografia e dados quando o Azure Databricks liberta as instâncias de VM.
As principais responsabilidades do Azure Databricks incluem:
- Criptografe dados PHI em trânsito enviados de ou para o plano de controle.
- Criptografe dados PHI em repouso no plano de controle.
- Use apenas os tipos de instância suportados usando o perfil de segurança de conformidade. O Azure Databricks impõe isso no espaço de trabalho e na API.
- Desprovisione instâncias de VM quando você indicar no Azure Databricks (por exemplo, por meio de terminação automática ou terminação manual) para que o Azure possa limpá-las.
Principais responsabilidades suas:
- Configure o seu espaço de trabalho para usar chaves geridas pelo cliente para serviços geridos ou a funcionalidade de guardar resultados de blocos de notas interativos na conta do cliente.
- Não use recursos de visualização no Azure Databricks para processar PHI, exceto aqueles listados em Recursos de visualização com suporte.
- Siga as práticas recomendadas de segurança, como desabilitar saídas desnecessárias do plano de computação e usar segredos do Azure Databricks para armazenar chaves de acesso para PHI.
- Entre em um contrato de associado comercial com a Microsoft para cobrir todos os dados processados na VNet onde as instâncias de VM são implantadas.
- Não execute ações em uma máquina virtual que violem a HIPAA. Por exemplo, não direcione o Azure Databricks para enviar PHI não criptografada para um ponto de extremidade.
- Verifique se todos os dados que podem conter PHI estão criptografados em repouso em qualquer local de armazenamento com o qual a plataforma Azure Databricks interage. Isso inclui definir a criptografia nas contas de armazenamento do espaço de trabalho durante a criação do espaço de trabalho. Você é responsável pela criptografia e backups deste armazenamento e de todas as outras fontes de dados.
- Verifique se todos os dados que podem conter PHI estão criptografados em trânsito entre o Azure Databricks e qualquer armazenamento de dados conectado ou sistemas externos. Por exemplo, as APIs usadas em blocos de anotações devem usar criptografia para todas as conexões de saída.