Съдържание Раздел За редактора на Ръководство за HIPaa Cloud Computing7Cloud Computing при ветерани AdministratiCloud Computing Concerns в GSANIST SeomputingDoD Ръководство за комерсиална облачна услугаCloud Computing Studies by the gAod)Cloud Computing SecuritRequirements Guide (srG
Той контролира кой може да преглежда ePHi, поддържан от CsP, определени контроли за достъп, като удостоверяване или уникална идентификация на потребителя, може да са отговорност на клиента, докато други, като криптиране, може да са отговорност на csp бизнес партньор Кои контроли за достъп трябва да бъдат въведени от клиента и кои трябва да бъдат подкрепени от csp може да зависят от съответните планове за управление на риска за сигурността на I като условията на baareasonable и подходящи контроли за удостоверяване на потребителя и се съгласява, че csP, предоставящ услуги noview, не е необходимо прилагане на допълнителни процедури за удостоверяване (потвърждаване на самоличността на) лице или юридическо лице, търсещо достъп до ePhl, тези отговорности за контрол на достъпа на правилата за сигурност ще бъдат изпълнени и за двете страни чрез действие на клиента Въпреки това, като бизнес партньор, CsP все още е отговорен съгласно сигурността правило за прилагане на други разумни и подходящи контроли за ограничаване на достъпа, които поддържат ePHI на клиента Например, дори когато страните са се споразумели, че пазителството на достъпа до ePhI е подходящ вътрешен контрол, упълномощено действие, което администраторът управлява ресурсите (д.
g, съхранение, памет, мрежови интерфейси, централни процесори) от решаващо значение за функционирането на неговите информационни системи Например CSP, който е основен сътрудник, трябва да вземе предвид и да адресира, като част от своя процес на анализ на риска и управление на риска, въпроси за злонамерен участник има неупълномощен достъп до административни инструменти на своите системи, което би могло да повлияе на системните операции и да повлияе на поверителността, целостта и наличността на клиентите ePHCSP трябва също така да обмислят рисковете от използване на непоправени или остарели административни инструменти. CSP и клиентът трябва всеки да потвърди писмено baa или друго документирайте как всяка част отговарям на изискванията на правилата за сигурност Имайте предвид, че когато договорните споразумения между Csp и клиент предвиждат, че клиентът ще контролира и прилага определени функции за сигурност на облачната услуга в съответствие с Правилото за сигурност, а клиентът не го направи, OCR ще вземе предвид този фактор като важни и уместни по време на всяко разследване на съответствието на клиента или PA CSP са, които се дължат единствено на действието на клиента, както е определено от фактите и обстоятелствата на конкретния случай. Правило за поверителност Убедително използвайте и разкривайте PHI само както е разрешено от BAA и Правилото за поверителност , или както се изисква по друг начин от закона Докато CSP, който предоставя само услуги без преглед на обхванат клиент или бизнес партньор, може да не контролира кой преглежда ePhl, CSP все още
Ако използва и скрие шифрованата информация само както е разрешено от BAA и правилото за поверителност, или както се изисква по друг начин от закона. Това включва, например, гарантиране, че csp не използва непозволено ePHI чрез блокиране или прекратяване на достъпа на клиента до ePHl llurther, a Baa трябва да включва разпоредби, които изискват от бизнес сътрудника, наред с други неща, да предоставя PHI, както е необходимо, за да може покритото лице да изпълни задълженията си да предоставя на лицата техните права за достъп, изменение и получаване на счетоводство за определени оповестявания на 45 CfR& 164504(e)(2)(1)(E)-(G) Baa между aCSP и покрито юридическо лице или бизнес партньор клиент трябва да опише по какъв начин задълженията за забрана на преглед на CSPese - например CSP може да се съгласи в baa, че той ще направи ePhI достъпен за клиента с цел включване на изменения в ePH, поискани от физическото лице, но само клиентът ще направи тези изменения съображения за всяко правило за уведомяване. трябва да отговаря на изискванията за уведомяване за нарушение на hiPaa, които се прилагат за бизнес сътрудници. По-специално, бизнес сътрудникът е отговорен за уведомяването на обхванатото лице (или бизнес съдружника, с когото е сключен договор) за нарушения на незащитена PHI See45 CFR8164410
Незащитеният PHI е PhI, който не е бил унищожен или не е шифрован на Нечетим, или Неразрешим за неупълномощени лица 12 Ако ephi, който е бил пробит, е шифрован в съответствие със стандартите HIPAA, посочени в 45 CFR 8 164402(2) и HHS Guidance [13 инцидентът попада в обхвата на нарушението „безопасно пристанище“ и бизнес партньорът на csp не е длъжен да докладва инцидента на своя клиент. Въпреки това, ако ePhIencrypted, но не на ниво, което отговаря на стандартите HIPAa, или ключът за декриптиране също е бил нарушен, тогава инцидентът трябва да бъде докладван на клиента като нарушение, освен изключения от дефиницията на "нарушение" се прилага. Вижте 45 CFR $ 164 402 Вижте също 45 CFR S164410 за повече информация относно задълженията за уведомяване за нарушение на бизнес партньори3 Може ли csp да се счита за "използва пощенската услуга и следователно не е бизнес сътрудник, който трябва да спазва правилата на HIPAA?&По принцип няма CSP, които предоставят облачни услуги на обхванато лице или бизнес сътрудник, които включват създаване, получаване или поддържане (напр. за обработка и/или магазин) електронно защитени
здравна информация (ePHi) отговаря на изискванията на бизнес сътрудник, csp може да използва ePhi, защото е криптиран и csp няма ключ за декриптиране, както е обяснено в предишните указания, 14] изключението за канал е ограничено до услуги за предаване за PhI (независимо дали в електронна или хартиена форма), включително всяко временно съхранение на PHIdent до такова предаване. Всеки достъп до PHI чрез канал е само преходен по природа. За разлика от това, CsP, който поддържа ePHI за целите на съхраняването му, ще се квалифицира като бизнес партньор, а не като канал , дори ако csp действително не преглежда информацията, тъй като има постоянен достъп до ephi. Освен това, когато CsP предоставя услуги за предаване, обхванат субект или бизнес съдружник, съхраняващ ePHI за целите на проинформацията, csp все още е бизнес партньор по отношение на такова предаване на ephl thenduit изключение се прилага единствените услуги, предоставяни на обхванато юридическо лице или бизнес-асоцииран клиент, са за предаване на ePhi, които не включват никакво съхранение на тогавашна информация, освен на временна основа, инцидент с услугата за предаване4 Кои CSP предлагат облачни услуги, съвместими с HIPAA?ocr не одобрява, сертифицира , или препоръчайте конкретна технология или продукт5 какво ще стане, ако покрито от hiPaa или бизнес сътрудник) използва csp, за да поддържа ephi, без първо да сключи споразумение за бизнес партньор с този CsFI, ако покрит субект (или бизнес съдружник) използва CSP за поддържане (напр. g, за обработка или магазин)електронно защитена здравна информация (ePHl) без влизане в BAa с CsP, обхванатият или автобусен сътрудник) е в нарушение на правилата на hipaa 45 C
F R64308(b)(1) и $164502(e) OCr е сключил споразумение за преструктуриране и корективен план с обхваната организация, която ocr е определила съхранен ePHI на 3 000 индивида сървър, базиран на облак, без да влиза в baa с csP [15или друг CSP, който той е определен бизнес сътрудник - това е CSP, който създава, получава, поддържа или предава PHI от името на покрито юридическо лице или друг бизнес съдружник, трябва да спазва всички приложими разпоредби на правилата на HIPAA, независимо дали е изпълнил Baa с юридическото лице използване на неговите услуги Вижте 78 Fed Reg 5565, 5598 (25 януари
2013) OCR признава, че те обаче са обстоятелства, при които CsP може да няма действителна или конструктивна информация, че покрит субект или друг бизнес съдружник използва неговите услуги за създаване на получаване, поддържане или предаване на ephi. Правилата на hipaa предоставят утвърдителна защита в случаи, в които CsP предприема действия за коригиране на всяко несъответствие в рамките на 30 пъти от несъответствието) от момента, в който е знаел или е трябвало да знае за тях, напр., в момента, в който CSP знае или е трябвало да знае, че обхванато лице или бизнес свързано pHiLd ) 45 CFR 160410 Тази утвърдителна защита обаче не се прилага в случаите, когато Csp не е знаел за нарушението поради собственото си умишлено небрежност. Ако Csp разбере, че поддържа ePHl, той трябва да влезе в съответствие с Правилата на HIPAA или да се върне безопасно ePHI на клиента или, ако клиентът е съгласен, да унищожи надеждно epHl
След като CsP върне или унищожи сигурно ePHI (предметно споразумение с клиента), той вече не е бизнес партньор, препоръчва CSPshile a Csp поддържа ePHl, правилата на HIPAa забраняват на Csp да използва или разкрива данните по начин, който е непоследователен с правилата6 Ако CSP срещне вътрешна информация за сигурността, ePHl на обхванати от HIPaa субекти или бизнес партньор, трябва ли да докладва за инцидента на покрития субект или бизнес партньор Да Правилото за сигурност в 45 CFR 8 164308(a)(6(ii) изисква бизнес партньорите да идентифициране на наблюдавани или известни инциденти със сигурността; смекчаване, доколкото практиките на инциденти със сигурността са свързани с инциденти и техните резултати В допълнение, правилото за сигурност в 45 CFR 8 164314(a)(2)(i)(C), че споразумението за бизнес партньори трябва да изисква бизнес сътрудник, който да докладва на обхванатия субект или бизнес съдружник, чиято електронна защитена здравна информация (ePhi) поддържа, всички инциденти със сигурността, за които стане известен Инцидент със сигурността съгласно 45 CFR8164304 означава опит или успешен неоторизиран достъп, използване, разкриване, модифициране или унищожаване на информация или намеса в системните операции в информационна система. CSP на сътрудника трябва да прилага политики и процедури за адресиране и документиране на инциденти, свързани със сигурността, и трябва да докладва за инциденти, свързани със сигурността, на обхванатия субект или бизнес партньор
Правилото за сигурност обаче е гъвкаво и не предписва нивото на детайлност, freqtormat на докладите за инциденти със сигурността, които могат да бъдат разработени между страните по споразумението за бизнес партньори (BAA). Например, baa може да предписва различни нива подробности, честота и форматиране на отчетите въз основа на естеството на инцидентите със сигурността - eghreat или експлоатация на уязвимости и риска за ePHi, те poBAa също могат да посочат отговорите на определени инциденти и дали идентифицирането на модели на опити за инциденти със сигурността е разумно и подходящо Забележка, въпреки че , че Правилото за уведомяване за нарушения уточнява графика и други изисквания за бизнес сътрудник за докладване на инциденти, които са незащитени PHI на обхванатия субект (или биоциат от името на bВижте 45 CFR8 164 410 BAA може да посочи повече стрингери
, по-навременни )изисквания за докладване от тези, изисквани от Уведомленията за нарушение, все още отговарят на изискванията на правилата, но не може по друг начин да отменят изискванията на Правилата за уведомяване за нарушения на незащитена PHI Или повече информация по тази тема вижте ЧЗВ за докладване на инциденти със сигурността( въпреки че са предназначени за планиране на спорове, насоките са приложими и за бизнес партньори): [16] както и насоки за уведомяване за нарушения на ocr [171 Правилата на HiPAa позволяват ли на доставчиците на здравни услуги да използват мобилни устройства за достъп до ephl в a Да Доставчици на здравни услуги, други обхванати субекти, и бизнес сътрудниците могат да използват мобилни физически, административни и технически предпазни мерки за защита на целостта на поверителността и наличността на ePHl на мобилното устройство и в облака, както и подходящи BAAS са налице с всички доставчици на услуги на трети страни за устройството и/или облака, които ще имат достъп до e-PHI Правилата на HIPAA не одобряват или изискват специфични типове технологии, а по-скоро установяват стандартите за това как обхванатите субекти и бизнес партньори могат да използват или разкриват ePHI чрез определена технология, като същевременно защитават сигурността на ePHI чрез разумни и подходящи административни, технически и физически предпазни мерки за справяне с рисковете OCR и onc издадоха насоки за използването на мобилни устройства и съвети за защита на жлъчни устройства 1&
8 Разкритото от hiPaa лице или бизнес партньор ли е? време след което CSPaintain ePhI for е приключил с предоставянето на услугата Не, Правилата на HiPAA обикновено не изискват бизнес сътрудник да поддържа електрозащитена здравна информация (ePHI) след времето, в което предоставя услуги на обхванато юридическо лицебизнес сътрудник Правилото за поверителност предвижда споразумение за бизнес сътрудник (BAA) изискайте от бизнес съдружник да върне или унищожи всички PHI при прекратяването на Baa, където ако такова връщане или унищожаване не е осъществимо, baa трябва да разшири защитата на поверителността и сигурността на baa, за да ограничи по-нататъшното използване и разкриване на тези цели, които правят връщането или унищожаването на информацията е невъзможно fple, връщане или унищожаване би се считало за „неосъществимо“, ако друг закон изисква CSP на бизнес сътрудника да запази ePHI за период от време след прекратяването на договора за бизнес сътрудник [199 Правилата на HIPAA позволяват ли на покрито образувание или бизнес сътрудник за използване на csp, който съхранява PHI на сървъри извън Съединените щати Да, при условие че обхванатият субект (или бизнес сътрудник) сключи споразумение за бизнес партньор (BAA) с CsP и по друг начин отговаря на приложимите изисквани правила на HIPAA
Въпреки това, докато правилата на hipaa dolde изискват специфична защита на електронната защитена здравна информация (ePHl), обработвана или съхранявана от CsP или друг бизнес партньор извън Съединените щати, OCr отбелязва, че рисковете за такава ePHI може да зависят в голяма степен от нейното географско местоположение По-специално, възлагането на съхранение или други услуги за ePHl в чужбина може да увеличи рисковете и уязвимостите към информацията или специалните съображения по отношение на приложимостта на поверителността и върху данните. Обхванатите субекти (и бизнес партньори, включително csp) трябва да вземат предвид тези въпроси, когато извършват анализ на риска и управление на риска, изисквано от правилото за сигурност Вижте 45 CFR88 164308(a)(1)(1)(A)и (a)((ii)(B) Например, ако ePHI се поддържа в държава, където има документирани увеличени опити за хакерски или други злонамерени атаки, такива рискове трябва да бъдат взети под внимание и субектите трябва да прилагат разумни и подходящи технически предпазни мерки за справяне с такива заплахи10 Правилата на HIPAa изискват ли CSP, които са бизнес партньори, да предоставят документация или да разрешават одит на техните практики за сигурност от техните клиенти, които са обхванати субекти или бизнес
Не Правилата на HIPAA изискват обхванатите юридически лица и клиенти на бизнес партньори да получат задоволителни гаранции под формата на споразумение за бизнес партньор (BAA) с Csp, че CSP, наред с други неща, ще защитава по подходящ начин защитената здравна информация (PHD), която създава , получава, поддържа или предава за обхванатото юридическо лице или бизнес съдружник в Правилата на AA, csp също е лошо или не успява да защити електронната фикордация с Правилото за сигурност [20] и за разкриване на PHI [21] Правилата на HIPAA не изискват изрично Csp предоставят практики Въпреки това, клиентите могат да изискват от CSP (чрез BAA, service levey ity practicolaily позволяват на клиента да одитира своето споразумение или друга документация) допълнителни гаранции за защити за PHl, като например документация за предпазни мерки или одити, въз основа на техен собствен риск анализ и управление на риска11 Ако CSP получава и поддържа само информация, която е деидентифицирана в съответствие с Правилото за поверителност на HIPAA, дали той е бизнес партньор. CSP не е бизнес партньор, ако получава и поддържа (напр. да обработва и/или съхранява само деидентифицирана след процесите, изисквани от Правилото за поверителност riPrivacy Rule не ограничава използването или разкриването на деидентифицирана информация, нито изискваната за деидентифицирана информация, тъй като информацията не се счита за защитена здравна информация
Вижте ръководството на oCr относно формирането на деидентификация, 22[1]Вижтеhttp://nvlpubsnistgpubs/Legacy/SP/nistspecialpublication800-145PcВижтеhttp://wwwhhsgov/hipaa/for-professionals/covered-entities/sample-buusiness-associateagreeme
nt-provisions/index htmКакто е адаптиран от NIST Special Publication 800-144, viPublic cloud е отворен за използване от широката общественост и може да бъде притежаван, управляван и опериран от всяка организация. Примери за това са услугите за съхранение на съобщения, предлагани от големи доставчици на имейли, споделяне на снимки сайтове и определени доставчици на EMR. Много големи организации използват Privateclouds, които функционират изключително за sebusiness. Облакът на общността обслужва изключително специфична общност от потребители от организации, които имат споделени conceA. редактор Майкъл Ербшло е работил повече от 30 години, извършвайки анализи на икономиката на информационните технологии, публичната политика, свързана с технологиите, и използването на технологии в процесите на реинженеринг на организацията. Той е автор на няколко книги по социални и управленски въпроси на информационните технологии, които са публикувани от Mc Graw Hill и други големи издатели Той също така е преподавал в няколко университета и е разработил учебна програма, свързана с технологиитеКариерата му е фокусирана върху няколко взаимосвързани области Технологична стратегия, анализ и прогнозиране Преподаване и разработване на учебни програми документи и статии Публикуване и редакция Анализ на публична политика и оценка на програми Книги от Майкъл Ербшло Червено ниво на заплаха: Програми за изследване на киберсигурността на правителството на САЩ (CRC Press) Война в социалните медии: Равно оръжие Достъп за подобряване на организационните условия за всички (auerbach Publications) Сигурност (Auerbach Publications) Физическа сигурност за IT (Elsevier SciTrojans, Worms и Spyware (Butterworth-Heinemann) Implementing Homeland Security in Enterprise IT (Digital Press) Ръководство за Disaster Recovery (Course Technology Социално отговорен ИТ мениджмънт (Digital PressInformation Warfare: Как да оцелеем при кибер атаки (McGraw Hill) Ръководство на изпълнителния директор за управление на поверителността (McGraw hill) Мрежова поверителност: Ръководство за разработване на внедряване на e-blPrivacy Plan (McGraw Hill)
ntroductionervices), които могат бързо да бъдат осигурени и освободени с минимални усилия за управление. eCloud computing е модел за позволяване на удобен мрежов достъп при поискване до споделяеми изчислителни ресурси (напр. мрежи, сървъри, взаимодействие с доставчик на услуги. Моделът Cloud Computing предлага обещанието за огромни разходи, съчетани с повишена гъвкавост на ИТ. Това беше критично за индустрията приемане на тази технология в отговор на трудни икономически ограничения Въпреки това, технологията за компютърни облаци предизвиква много традиционни подходи към дизайна и управлението на центрове за данни и корпоративни приложения. Понастоящем се използват изчислителни облаци; въпреки това сигурност, оперативна съвместимост и преносимост се цитират като основни пречки пред по-широкото възприемане. Националният институт за стандарти и технологии (nist) определи облачните изчисления като модел за позволяване на повсеместен, удобен мрежов достъп при поискване до споделен пул изчислителни ресурси (напр. мрежи, сървъри, съхранение, приложения и услугите да се ускоряват с минимално усилие или доставчик на услуги Основни характеристики Самообслужване при поискване Потребителят може едностранно да предостави изчислителни възможности, като сървърно време и мрежово превключване с всеки доставчик на услуги Широк мрежов достъп
Възможностите са достъпни в мрежата и достъпни чрез стандартни механизми, които насърчават използването от хетерогенни тънки или дебели клиентски платформи (напр. обединяване на мобилни източници). Компютърните ресурси на доставчика се обединяват, за да обслужват множество потребителски потребителски модел, с различни физически и виртуални ресурси, динамично присвоени и преназначени според към потребителското търсене Има усещане за независимост в това, че клиентът обикновено няма познания за местоположението на предоставените източници, но може да е в състояние да посочи местоположение на по-високо ниво на абстракция (напр. държава, държава, център за данни) Примери за ресурси включват съхранение, обработка, памет и мрежова бърза еластичност Възможностите могат да бъдат еластични и освободени в някои случаи автоматично, бързо навън и навътре, пропорционално на търсенето
потребител, възможностите, налични за осигуряване, често изглеждат неограничени и могат да бъдат присвоени в произволно количество по всяко време. Измерена услуга Облачните системи автоматично контролират и оптимизират използването на ресурси чрез използване на възможност за измерване I при някаква астракция, подходяща за типа услуга (напр. съхранение, обработка, честотна лента и активни елементи) Използването на ресурси може да бъде наблюдавано, контролирано и докладвано, осигурявайки прозрачност както за доставчика, така и за потребителя на режима на услугата Софтуер като услуга (SaaS) Възможността, предоставена на потребителя, е да използва приложенията на доставчиците, работещи в облачна инфраструктура прилага са достъпни от различни клиентски устройства чрез интерфейс на тънък клиент, като например уеб браузър (напр
g уеб-базиран имейл), или програмен интерфейс. Потребителят не управлява или контролира основната облачна инфраструктура, включително мрежа, сървъри, операционни системи, съхранение или дори възможности на отделни приложения, с възможното изключение на ограничените специфични за потребителя настройки за конфигурация на приложенияm като услуга (PaaS) Възможността, предоставена на потребителя, е да внедри в инфраструктурата на облака, създадени или придобити от потребителя приложения, създадени с помощта на програмни езици, библиотеки, услуги и инструменти, поддържани от доставчика 3 Потребителят не управлява или контролира основната инфраструктура на облака, включително мрежа , сървъри, операционни системи или хранилище, но има контрол върху внедрените приложения и евентуално възможност за конфигуриране, свързана с потребителската обработка, съхранение, мрежи и други основни изчислителни ресурси, където потребителят внедрява и изпълнява произволен софтуер, който може да включва операционни системи и потребителят не управлява или контролира основната облачна инфраструктура, но има контрол върху операционните системи, съхранението и внедрените приложения; и евентуално ограничен контрол на избрани мрежови компоненти (напр. защитни стени на хост) Частен облак Инфраструктурата на облака е предоставена за изключително използване от една организация, включваща множество потребители (напр. бизнес единици) Тя може да бъде притежавана, управлявана и управлявана от организацията, трета страна , или някаква комбинация от тях и може да съществува включен или изключен
Облачен облак Инфраструктурата на облака се използва за принудителна общност от потребители от организации, които имат споделени притеснения (напр. мисия, изисквания за сигурност, политика и съображения за съответствие). Тя може да бъде притежавана, управлявана и от една или повече от организациите в общността, трета страна или някаква комбинация от тях и може да съществува в или извън помещения Публичен облак Инфраструктурата на облака е осигурена за отворена употреба от широката общественост Може да е собственост, управлявана и управлявана от бизнес, академична или правителствена организация или комбинация от тях от тях
Съществува в помещенията на доставчика на облак Хибриден облак Инфраструктурата на облака е комбинация от две или повече отделни облачни инфраструктури (частни, общностни или публични), които остават уникални единици, но са обвързани чрез стандартизирана или патентована технология, която позволява данни и преносимост на приложението (напр. разрушаване на облак за балансиране на натоварването между облаци)ttps: //csrc nist gov/publications/detail/sp/800-145final #tpubs-abstract-heade
Насоки за HIPAA облачни изчисления С разпространението и широкото приемане на облачни изчислителни решения, обхванатите от HIPAA субекти и бизнес партньори се питат дали и как могат да се възползват от облачните изчисления, като същевременно спазват разпоредбите, защитаващи поверителността и сигурността на електронна защитена здравна информация (ePHI Това ръководство помага такива субекти, включително доставчици на облачни услуги (CSP), в разбирането на техния HIPAaCloud изчисленията приемат много форми. Това ръководство се фокусира върху облачните ресурси, предлагани от CSh, което е юридическо лице, отделно от обхванатия субект, което счита за своите услуги CSP обикновено предлагат онлайн достъп до споделени изчислителни ресурси с различни нива на функционалност в зависимост от изискванията на потребителите цялостни софтуерни решения (напр. система за електронни медицински досиета), платформи за опростяване на способността на разработчиците на приложения да създават нови продукти и програмисти на софтуер за внедряване и тестване на програми
Обща облачна услуга интернет достъп до компютърни (напр. мрежи, сървъри, съхранение, приложения) услуги, субекти и бизнес партньори, обхванати от Wencourage, търсещи информация относно видовете облачни услуги и опции за техническо подреждане, за да се консултират с ресурс, предлаган от Националния институт за стандарти и технология; SP 800-145, The NIST DefiIof CloudComputing-PDFПравилата за поверителност, сигурност и уведомяване за нарушения на HIPAA (Правилата на HIPAA) установяват или публикуват информация, получена, поддържана или предадена от HIPAA покритие или бизнес съдружник), включително ограничения за употреба и разкриване на такава информация, предпазни мерки, подходящи употреби и разкривания, както и права на лицата по отношение на тяхната здравна информация. Обхванатите субекти и бизнес партньори трябва да спазват приложимите разпоредби на правилата на HIPAA. Обхванатият субект е здравен план, клирингова къща за здравни грижи или доставчик на здравни услуги, който извършва определени сметки и трансакции, свързани с плащане по електронен път, бизнес сътрудник е юридическо лице или лице, различно от член на работната сила на обхванато образувание, което изпълнява функции или дейности от името на или предоставя услуги на покрито образувание, които включват създаване, получаване, поддържане на PHI на бизнес съдружник също така е всеки подизпълнител, който създава, получава, поддържа или предава от името на друг бизнес сътрудник. Когато покрит субект ангажира услугите на CSP за създаване, получаване на ePHI (като например за обработка и/или съхраняване на ePHI), от негово име, Csp е бизнес съдружник под
HIPAA Освен това, когато бизнес-подизпълнител сключи договор с csp за създаване или предаване на ephi от негово име, самият подизпълнител на csp е бизнес партньор. Това е вярно, дори ако csp обработва или съхранява само шифрован ePHI и му липсва ключ за шифроване за даннитеЛипсва ключ за шифроване не освобождава CSP от статута и задълженията на бизнес сътрудник (или бизнес съдружник) и csPHIPAAgiant b(BAA), а CSP носи както договорна отговорност за спазване на условията на baa, така и пряко отговорен за спазването на приложимите изисквания Насоките на HIPAA Ruless представят ключови въпроси и отговори за подпомагане на регулираните от HIPAa CSP и техните клиенти да разберат своите отговорности съгласно правилата на hiPaa, когато създават, поддържат или предават ePHI, използвайки облачни продукти и услуги. Може ли обхванато от HIPAa юридическо лице или бизнес партньор да използва облачен PHI, обхванато от облачно лице или бизнес съдружник влиза в HIPAA -съответстващ бизнес партньорски договор или споразумение (BAA) с CsP, който ще създава, получава, поддържа или предава електронна защитена здравна информация (ePHi) от негово име, и следователно отговаря на правилата на HIPAa. Наред с други неща, BAa установява целеви и необходими употреби и разкриване на ePHi от страна на извършващите дейности или услуги за покрития субект или бизнес сътрудник, въз основа на връзката между страните и дейностите или услугите, извършвани от бизнес сътрудника TheBAA също изисква по договор от бизнес сътрудника да защитава по подходящ начин ePHI, включително прилагане на изискванията на Правило за сигурност
OCr е създал насоки относно елементите на BAAs 2. Обхванато лице (или бизнес сътрудник), което ангажира CSP, трябва да разбира облачната среда или решението, предлагано от конкретен CSP, така че покритият субект (или бизнес сътрудник) да може по подходящ начин да поеме собствения си риск анализ и създаване на политики за управление на риска, както и сключване на подходящи BAA Вижте 45 CFR SS164308(a(1(i)(A): 164308(a)(1(i1)(B); и 164502) Както обхванатите субекти, така и бизнес партньорите трябва да провеждат анализи на риска за идентифициране и оценка на потенциални заплахи и уязвимости към поверителността, целостта и наличността на всички ePHI, които те създават, получават, поддържат или предават Например, докато покрит субект или бизнес съдружник може да използва облачна база
лична конфигурация (публична, хибридна, частна и т.н. в baa с csP, типът облачна конфигурация, която ще се използва, може да повлияе на анализа на риска и плановете за управление на риска на всички страни и произтичащите от това разпоредби на baa В допълнение, ниво на обслужване Споразумението (SLA)[4] обикновено се използва за справяне с повече спецификации между csp и също може да бъде от значение за спазването на HIPAA. Например, SLA могат да включват разпоредби, които адресират такива опасения на HIPAA като проверка на наличността на системата и възстановяване на данни (напр., ако е необходимо, за да можете да реагират на атака на ransomware или по начин, който данните ще бъдат върнати на клиента след прекратяване на използването на услугата отговорност за сигурност; и използване на задържане и разлики, ако покрито юридическо лице или бизнес съдружник сключи споразумение с csp, трябва да гарантира, че условията на споразумението са в съответствие с baa и правилата на HIPAa Например, покритото юридическо лице или бизнес съдружник трябва да гарантира, че условията на sla и baa с csp депревенция на 45CFR§§164
308(b)(364502(c)(2),andl64504(e)(1)[6 в допълнение към своите договори, CsP, като бизнес съдружник, има регулаторни задължения и носи пряка отговорност съгласно правилата на hipaa, ако направи употребите и разкриването на Pht не са разрешени от неговия договор, изисквани от закона или разрешени от поверителността. Бизнес сътрудник на CSPa също носи пряка отговорност, ако не успее да защити ePHI в съответствие с Правилото за сигурност или не уведоми покрития субект или бизнес сътрудник на откриването на пробив на незащитена phi в съответствие с уведомлението за пробив riЗа повече информация относно правилото за сигурност вижте OCr и onc toolsOCR ръководство за съответствие с SR [18
2 Ако CSP съхранява само криптиран ePhI и няма ключ за декриптиране, дали HIPAAYes лента поддържа (напр., за обработка и/или съхраняване) електронна защитена здравна информация (ePhld желаещ субект или друг бизнес съдружник Липсва ключ за криптиране за криптираните данни, които получава, и nns прави CSP за статут на бизнес сътрудник и свързаните задължения съгласно правилата на HIPAA Субект, който поддържа ePHI от името на покрит субект (или друг бизнес сътрудник) е бизнес
9 По този начин, csp thaencrypted ePHl от името на покрито юридическо лице (или друг бизнес съдружник) е бизнес сътрудник, за целите на удобството това ръководство използва термина no-viewservices, за да разбере кои CSP поддържа криптиран ePhI от името на покрито юридическо лице( или друг бизнес партньор), без да имат достъп до ключа за декриптиране Докато криптирането защитава epHi чрез значително намаляване на риска информацията да бъде прегледана от неоторизирани лица, такива защити сами по себе си не могат адекватно да защитят достоверността, целостта и наличността на ePHI, както се изисква от Сигурността, не поддържа целостта и наличност на ePhas, гарантираща, че информацията не е повредена от зловреден софтуер, или гарантиране чрез планиране при извънредни ситуации, че данните остават достъпни за упълномощени лица дори по време на извънредни ситуации или ситуации на бедствие Освен това, криптирането не се отнася до други предпазни мерки, които също са важни за поддържането на поверителността, като например административни предпазни мерки за анализиране на рисковете за ePHl или физическите предпазни мерки за системите и операторите, които могат да помещават ePhIAs бизнес съдружник, CSP, предоставящ услуги без преглед, не е освободен от никакви иначе приложими изисквания на правилата на HIPAA Въпреки това, изискванията на правилата са гъвкави и мащабируеми до вземете под внимание естеството на без изглед на услугите, предоставяни от csp Съображения за правилото за сигурност Всички CSP, които са бизнес партньори, трябва да спазват приложимите стандарти и спецификации за внедряване на правилото за сигурност по отношение на ePHI Въпреки това, в случаите, когато CsP предоставя само без изглед услуги за обхванато лице (или бизнес съдружник) да бъдат удовлетворени и за двете страни чрез действията на една от страните, по-специално