Domov > Článek > Obavy vlády USA v oblasti cloud computingu

Obavy vlády USA v oblasti cloud computingu

Obsah SekceO editoruPokyny k HIPaa Cloud Computing7Cloud Computing pro veterány AdministratiCloud Computing Obavy v GSANIST SeomputingDoD Pokyny ke komerční cloudové službě Studie cloud computingu od gAod)Cloud Computing Průvodce požadavky na zabezpečení (srG

Pokud kontrolujete, kdo je schopen prohlížet ePHi spravované CsP, mohou být určité kontroly přístupu, jako je autentizace nebo jedinečná identifikace uživatele, v odpovědnosti zákazníka, zatímco jiné, jako je šifrování, může být v odpovědnosti obchodního sdružení csp Které řízení přístupu má zákazník implementovat a které má být doplněno poskytovatelem služeb, může záviset na příslušných plánech řízení bezpečnostních rizik I, protože podmínky přiměřených a vhodných kontrol ověřování uživatelů a souhlasí s tím, že poskytovatel služeb noview nemusí poskytovat služby noview. implementovat další postupy pro autentizaci (ověření identity) osoby nebo subjektu usilujícího o přístup k ePhl, tyto odpovědnosti za řízení přístupu k pravidlům zabezpečení by byly splněny pro obě strany jednáním zákazníka, nicméně jako obchodní partner je CsP stále odpovědný podle zabezpečení pravidla zavádějící další přiměřené a vhodné kontroly k omezení přístupu, které udržují zákaznické ePHI, například, i když se strany dohodly, že zvláštní přístup k ePhIvhodné vnitřní kontrole oprávněna administrativa spravuje zdroje (např.

g, úložiště, paměť, síťová rozhraní, CPU) kritické pro provoz jeho informačních systémů Například CSP, který je přidruženým pracovníkem, musí zvážit a v rámci své analýzy rizik a procesu řízení rizik řešit problémy se škodlivým účastník, který má neoprávněný přístup k jeho nástrojům pro správu systémů, což by mohlo mít dopad na provoz systému a na důvěrnost, integritu a dostupnost zákazníků ePHCSP by také měli zvážit rizika používání neopravených nebo zastaralých administrativních nástrojů TheCSP a zákazník by měli každý písemně potvrdit baa nebo jiné docume, jak každá část řeší požadavky na bezpečnostní pravidla Všimněte si, že pokud smluvní ujednání mezi CSP a zákazníkem stanoví, že zákazník bude kontrolovat a implementovat určité bezpečnostní funkce cloudové služby v souladu s bezpečnostním pravidlem, a zákazník tak neučiní, OCR tento faktor zváží jako důležité a důležité během jakéhokoli vyšetřování dodržování požadavků zákazníka nebo PA CSP je, že lze přičíst výhradně jednání zákazníka, jak je určeno fakty a okolnostmi konkrétního případu Pravidlo ochrany soukromí Zvažte používání a zveřejňování PHI pouze tak, jak je povoleno jeho BAA a pravidlem ochrany osobních údajů , nebo jak jinak vyžaduje zákon I když CSP, který poskytuje pouze služby bez zobrazení krytému zákazníkovi nebo obchodnímu partnerovi, nemůže kontrolovat, kdo si prohlíží ePhl, CSP stále

Pokud pouze používá a šíří zašifrované informace tak, jak to povoluje BAA a pravidlo ochrany osobních údajů nebo jak to vyžaduje zákon. Patří sem například zajištění, aby csp nepoužil ePHI nedovoleně tím, že zablokuje nebo ukončí přístup zákazníka k ePHl, a Baa musí obsahovat ustanovení, která vyžadují, aby obchodní partner mimo jiné zpřístupnil PHI tak, jak je to nezbytné pro zahrnutou entitu, aby splnila své závazky vůči osobám s jejich právy na přístup, změnu a obdržení účtování o určitých zveřejněních 45 CfR& 164504(e)(2)(1)(E)-(G) Baa mezi aCSP a zahrnutou entitou nebo obchodním partnerem zákazníkem by měla popisovat, jakým způsobem by se povinnosti bez zobrazení CSP mohly dohodnout v baa, že zpřístupní ePhI zákazníkovi za účelem začlenění změn do ePH požadovaných jednotlivcem, ale pouze zákazník provede tyto změny s ohledem na každé pravidlo oznamování. Jako obchodní partner, CSP, který nabízí pouze služby bez zobrazení zahrnutému subjektu nebo obchodnímu partnerovi. musí splňovat požadavky na oznamování porušení hiPaa, které se vztahují na obchodní partnery Obchodní partner je zejména odpovědný za informování kryté entity (nebo obchodního partnera, se kterým byla uzavřena smlouva) o porušení nezabezpečených PHI Viz45 CFR8164410

Nezabezpečené PHI je PHI, které nebylo zničeno nebo není zašifrováno u Nečitelných nebo Nesrozumitelných pro neoprávněné osoby 12 Pokud je porušený ephi zašifrován v souladu se standardy HIPAA uvedenými v 45 CFR 8 164402(2) and HHS Guidance [13 incident spadá do bezpečného přístavu a csp businesssociate není povinen hlásit incident svému zákazníkovi. Pokud však byl porušen i ePhIencrypted, ale ne na úrovni, která splňuje standardy HIPAa nebo dešifrovací klíč, pak incident musí být nahlášen svému zákazníkovi jako porušení, platí výjimky z definice ""porušení" Viz 45 CFR$ 164 402 Další informace o povinnosti oznamovat porušení pro obchodní partnery viz také 45 CFR S1644103 Může být csp považován za "podmínit poštovní službu, a tedy nikoli obchodního partnera, který musí splňovat pravidla HIPAA?" Obecně platí, že žádní poskytovatelé internetových služeb, kteří poskytují cloudové služby zahrnutému subjektu nebo obchodnímu partnerovi, kteří zahrnují vytváření, přijímání nebo údržbu (např. zpracování a/nebo obchod) chráněný před elektronikou

zdravotní informace (ePHi) splňují požadavky obchodního partnera csp může ePhi předávat, protože je zašifrováno a csp nemá dešifrovací klíč Jak bylo vysvětleno v předchozích pokynech, 14] výjimka vedení je omezena na přenosové služby pro PhI (ať už v elektronická nebo papírová forma), včetně jakéhokoli dočasného uložení PHIdent k takovému přenosu Jakýkoli přístup k PHI kanálem má pouze dočasný charakter Incontrast, CsP, který udržuje ePHI za účelem jeho uložení, bude považován za obchodního společníka, a nikoli za kanál , a to i v případě, že csp ve skutečnosti neprohlíží informace, protože trvalý přístup k ephi Dále, kde CsP poskytuje entitu pokrytou službami přenosu nebo obchodní partner s ePHI pro účely proformace, csp je stále obchodním partnerem s ohledem na takový přenos ephl thenduit výjimky platí, že pouze služby poskytované zahrnutému subjektu nebo obchodnímu zákazníkovi jsou pro přenos ePhi, které nezahrnují žádné jiné ukládání informací než na dočasném základě incidentu s přenosovou službou4 Kteří poskytovatelé internetových služeb nabízejí cloudové služby v souladu s HIPAA?ocr nepodporuje, necertifikuje nebo doporučit konkrétní technologii nebo produkt5, co když chráněná hiPaa nebo obchodní partner) používá CSP k udržování ephi, aniž by s tímto CsFI nejprve uzavřel dohodu o obchodním partnerovi, pokud krytá entita (nebo obchodní partner) používá CSP k údržbě (např. ke zpracování nebo obchod) elektronické chráněné zdravotní informace (ePHl) bez uzavření BAa s CsP, krytým e nebo autobusovým spolupracovníkem) je v rozporu s pravidly hipaa 45 C

F R64308(b)(1) a $164502(e) OCr uzavřela dohodu o řešení problémů a plán nápravy se zahrnutou entitou, která ocr určila uložené ePHI 3 000 jednotlivců na cloudovém serveru, aniž by uzavřela baa s CSP [15Dále CSP, že definitibusiness partner – tedy CSP, který vytváří, přijímá, udržuje nebo přenáší PHI jménem zahrnutého subjektu nebo jiného obchodního partnera, musí splňovat všechna platná ustanovení pravidel HIPAA, bez ohledu na to, zda s daným subjektem provedl Baa pomocí jejích služeb Viz 78 Fed Reg 5565, 5598 (25. ledna

2013) OCR uznává, že se však jedná o okolnosti, kdy CsP nemusí mít skutečné nebo konstruktivní znalosti o tom, že krytá entita nebo jiný obchodní partner používá své služby k vytváření přijímání, udržování nebo přenosu ephi Pravidla hipaa poskytují nesouhlasnou obranu v případy, kdy CSP podnikne kroky k nápravě jakéhokoli nesouladu do 30x od neshody) od doby, kdy o něm věděl nebo měl vědět, např. v okamžiku, kdy ověřovatel ví nebo měl vědět, že krytá entita nebo podnikající pHiLd ) 45 CFR 160410 Tato kladná obrana se však nevztahuje na případy, kdy si CSP nebyl vědom porušení z důvodu vlastního úmyslného zanedbání Pokud Csp zjistí, že udržuje ePHl, musí se dostat do souladu s pravidly HIPAA nebo bezpečně vrátit ePHI zákazníkovi nebo, pokud s tím zákazník souhlasí, epHl bezpečně zničit

Jakmile CSP bezpečně vrátí nebo zničí ePHI (předmětné ujednání se zákazníkem), již není obchodním partnerem doporučujícím CSPshile a CSP udržuje ePHl, pravidla HIPAa zakazují CSP používat nebo zveřejňovat data způsobem, který je nekonzistentní. s pravidly6 Pokud se CSP setká s bezpečnostním zasvěcencem subjektů pokrytých HIPaa nebo ePHl obchodního partnera, musí incident nahlásit zahrnutému subjektu nebo obchodnímu partnerovi Ano Bezpečnostní pravidlo na 45 CFR 8 164308(a)(6(ii) vyžaduje, aby obchodní partneři identifikovat kontrolované nebo známé bezpečnostní incidenty; zmírnit, v rozsahu praktik bezpečnostních incidentů, thaknotincidenty a jejich výsledky Kromě toho bezpečnostní pravidlo v 45 CFR 8 164314(a)(2)(i)(C), že smlouva o obchodním partnerovi musí vyžadovat obchodnímu partnerovi hlásit příslušnému subjektu nebo obchodnímu partnerovi, jehož elektronické chráněné zdravotní informace (ePhi) uchovávají, jakékoli bezpečnostní incidenty, o kterých se dozví Bezpečnostní incident podle 45 CFR8164304 znamená pokus nebo úspěšný neoprávněný přístup, použití, zveřejnění, úpravu nebo zničení informace nebo zasahování do systémových operací v informačním systému TEassociate CSP musí zavést zásady a postupy pro řešení a dokumentování bezpečnostních incidentů a musí hlásit bezpečnostní incidenty svému zahrnutému subjektu nebo obchodnímu partnerovi.

Bezpečnostní pravidlo je však flexibilní a nepředepisuje úroveň podrobností, četnost hlášení bezpečnostních incidentů, které mohou být vypracovány mezi stranami dohody o obchodním partnerovi (BAA) Například baa může předepisovat různé úrovně podrobností, četnosti a formátování zpráv na základě povahy bezpečnostních incidentů – například ohrožení nebo zneužití zranitelnosti a rizika pro ePHi, které poBAa může také specifikovat reakce na určité incidenty a zda je identifikace vzorů pokusů o bezpečnostní incidenty rozumné a vhodné. , že Pravidlo pro oznamování porušení specifikuje načasování a další požadavky na obchodního partnera, aby hlásil incidenty, které neobsahují zabezpečenou PHI, pokrytému subjektu (nebo biociateose jménem bViz 45 CFR8 164 410 BAA může specifikovat přísnější pravidla).

, včasnější )požadavky na hlášení než ty, které vyžaduje oznámení o narušení, stále také splňují požadavky pravidel, ale nemusí jinak převážit požadavky pravidel pro oznamování porušení nezabezpečených PHI nebo více informací o tomto tématu najdete v nejčastějších dotazech o hlášení bezpečnostních incidentů( i když se plánují sporany, pokyny jsou relevantní také pro obchodní společnosti): [16] stejně jako pokyny pro oznamování porušení ocr [171Umožňují pravidla HiPAa poskytovatelům zdravotní péče používat mobilní zařízení pro přístup k ephl u poskytovatelů zdravotní péče aYes, dalších zahrnutých subjektů, a obchodní partneři mohou používat mobilní fyzické, administrativní a technické zabezpečení k zajištění důvěrnosti a dostupnosti ePHl na mobilním zařízení a v cloudu a příslušné BAAS jsou uplatňovány u jakýchkoli poskytovatelů služeb třetích stran pro zařízení a/nebo cloud, kteří budou mít přístup k e-PHI Pravidla HIPAA neschvalují ani nevyžadují specifické typy ochnologie, ale spíše stanovují standardy pro to, jak mohou kryté subjekty a obchodní partneři používat nebo zveřejňovat ePHI prostřednictvím určité technologie a zároveň chránit bezpečnost ePHI vhodnou a vhodnou administrativní, technickou , a fyzické zabezpečení proti adresným rizikům OCR a onc vydaly pokyny k používání mobilních zařízení a tipy pro zabezpečení bilálních zařízení 1&

8 Získala hiPaa entitu nebo obchodního partnera? doba po tom, co CSPaintain ePhI ukončil poskytování služebNe, pravidla HiPAA obecně nevyžadují, aby obchodní partner uchovával elektrochráněné zdravotní informace (ePHI) po uplynutí doby, kdy poskytuje služby zahrnutému subjektubusiness partnerovi Pravidlo ochrany soukromí stanoví, že smlouva o obchodním partnerovi (BAA) požadovat od obchodního partnera, aby vrátil nebo zničil všechny PHI při ukončení Baa, kde Pokud takové vrácení nebo zničení není možné, musí baa rozšířit ochranu soukromí a bezpečnosti Baa a omezit další použití a zveřejnění na ty účely, které umožňují vrácení nebo zničení informací je neproveditelné, vrácení nebo zničení by bylo považováno za „neproveditelné“, pokud jiný zákon vyžaduje, aby obchodní partner CSP uchovával ePHI po dobu po ukončení smlouvy s obchodním partnerem [199 Dovolují pravidla HIPAA pokrytý subjekt nebo podnik přidružení k použití csp, které ukládáPHI na serverech mimo Spojené státyAno, za předpokladu, že zahrnutá entita (nebo obchodní partner) uzavře smlouvu o obchodním přidružení (BAA) s CsP a jinak splňuje příslušná požadovaná pravidla HIPAA

Ačkoli pravidla hipaa snižují požadavky na specifickou ochranu elektronických chráněných zdravotních informací (ePHl) zpracovávaných nebo uchovávaných CsP nebo jakýmkoli jiným obchodním partnerem mimo Spojené státy, OCr poznamenává, že rizika pro takový ePHI mohou značně záviset na jeho geografické poloze. Zejména outsourcing úložiště nebo jiných služeb pro ePHl v zámoří může zvýšit rizika a zranitelnost vůči informacím nebo zvláštním úvahám s ohledem na vymahatelnost soukromí a dat Zahrnuté subjekty (a obchodní partneři, včetně CSP) by měli při provádění analýzy rizik vzít tyto otázky v úvahu. a řízení rizik vyžadované bezpečnostním pravidlem Viz 45 CFR88 164308(a)(1)(1)(A)a (a)(ii)(B) Například pokud je ePHI udržováno v zemi, kde jsou zdokumentovány zvýšené pokusy o hackerské nebo jiné malwarové útoky, taková rizika by měla být zvážena a subjekty musí zavést přiměřená a vhodná technická ochranná opatření k řešení takových hrozeb? subjekty nebo podniky

Ne Pravidla HIPAA vyžadují, aby zahrnutí zákazníci a obchodní partneři získali dostatečné ujištění ve formě smlouvy o obchodním partnerovi (BAA) s CSP, že CSP bude mimo jiné náležitě chránit chráněné zdravotní informace (PHD), které vytváří , přijímá, udržuje nebo přenáší pro zahrnutou entitu nebo obchodního partnera v pravidlech AA, CSP je také dire nebo nezabezpečení elektronické phicordance s bezpečnostním pravidlem [20] a prozrazení PHI [21] Pravidla HIPAA výslovně nevyžadují, aby Csp poskytovat postupy Zákazníci však mohou požadovat od CSP (prostřednictvím BAA, poplatek za služby, jinak umožnit zákazníkovi audit jeho tajné smlouvy nebo jiné dokumentace) další ujištění o ochraně pro PHl, jako je dokumentace záruk nebo auditů, na základě jejich vlastního rizika analýza a řízení rizik11 Pokud CSP přijímá a uchovává pouze informace, které byly zbaveny identifikace v souladu s pravidlem ochrany soukromí HIPAA, jedná se o obchodního partnera? CSP není obchodním partnerem, pokud přijímá a uchovává (např. za účelem zpracování a/nebo uložení pouze deidentifikováno v souladu s procesy vyžadovanými pravidlem Privacy riPrivacy Rule neomezuje použití nebo zpřístupnění deidentifikovaných informací, ani požadavek na deidentifikované informace, protože informace nejsou považovány za chráněné zdravotní informace

Viz pokyny oCr o deidentifikace forformace, 22[1]Viz http://nvlpubsnistgpubs/Legacy/SP/nistspecialpublication800-145PcSeehttp://wwwhhsgov/hipaa/for-professionals/covered-entities/sample-buusgreeme-associa

nt-provisions/index htmAs přizpůsobený ze speciální publikace NIST 800-144, viPublic cloud je otevřený pro použití širokou veřejností a může být vlastněn, spravován a provozován jakoukoli organizací. Příklady jsou služby ukládání zpráv nabízené hlavními poskytovateli e-mailů, sdílení fotografií weby a někteří poskytovatelé EMR Mnoho velkých organizací používá privátní cloudy, které výlučně fungují jako sebebusiness. Komunitní cloud slouží výhradně konkrétní komunitě uživatelů z organizací, které sdílely hybridní cloudovou kombinaci čehokoli z výše uvedeného, ​​propojené standardizovanou nebo proprietární technologií

O editorMichael Erbschloe pracoval více než 30 let na analýze ekonomiky informačních technologií, veřejné politiky týkající se technologií a využití technologií v reengineeringu organizačních procesů Je autorem několika knih o sociálních a manažerských otázkách informačních technologií, které vydal Mc Graw Hill a další významní vydavatelé. Vyučoval také na několika univerzitách a vytvořil učební osnovy související s technologiemi

Jeho kariéra se soustředila na několik vzájemně propojených oblastí Technologická strategie, analýza a prognózyVýuka a vývoj učebních osnov a článkyPublikování a publikování analýzy veřejné politiky a hodnocení programůKnihy od michaela erbschloe Úroveň ohrožení červená: Výzkumné programy kybernetické bezpečnosti vlády USA(CRC Press)Válka v sociálních médiích: Přístup ke zlepšení organizace pro všechny(Publikace auerbach)Zabezpečení(Publikace Auerbach)Fyzické zabezpečení pro IT(Elsevier SciTrojans, Worms a Spyware(Butterworth-Heinemann)Implementace vnitřní bezpečnosti v podniku IT(Digitální tisk)Příručka k obnově po havárii(Technologie kurzuSpolečensky odpovědná Správa IT (Digital PressInformation Warfare: Jak přežít kybernetické útoky (McGraw Hill) Příručka výkonného ředitele pro správu soukromí (McGraw Hill) Soukromí na síti: Průvodce rozvojem implementace plánu ochrany osobních údajů e-bl (McGraw Hill)

ntroductionslužby), které lze rychle zřídit a uvolnit s minimálním úsilím správy. eCloud computing je model pro umožnění pohodlného síťového přístupu na vyžádání ke sdíleným výpočetním zdrojům (např. příslib masivních nákladů v kombinaci se zvýšenou agilitou IT Je kritické, že přijetí této technologie průmyslem v reakci na obtížná ekonomická omezení Technologie cloudomputingu však zpochybňuje mnoho tradičních přístupů k návrhu a správě datových center a podnikových aplikací V současnosti se používá cloud computing; nicméně bezpečnost, interoperabilita a přenositelnost jsou uváděny jako hlavní překážky širšího přijetí Národní institut pro standardy a technologie (nist) definoval cloud computing jako aodel pro umožnění všudypřítomného, ​​pohodlného síťového přístupu na vyžádání ke sdíleným sestavitelným výpočetním zdrojům (např. sítě, servery, úložiště, aplikace). a služby mohou být rychlé s minimálním úsilím nebo poskytovatel služeb Základní charakteristiky Samoobsluha na vyžádání Spotřebitel může jednostranně poskytovat výpočetní schopnosti, jako je čas serveru a síť s každým poskytovatelem služeb Široký přístup k síti

Možnosti jsou dostupné přes síť a přistupují k nim prostřednictvím standardních mechanismů, které podporují použití heterogenními platformami tenkých nebo tlustých klientů (např. sdružování mobilních zdrojů Výpočetní zdroje poskytovatele jsou sdruženy, aby obsluhovaly model více zákazníků, s různými fyzickými a virtuálními zdroji dynamicky přiřazenými a přeřazenými podle na spotřebitelskou poptávku Existuje pocit nezávislosti v tom, že zákazník obecně nemá žádné znalosti o umístění poskytovaných zdrojů, ale může být schopen specifikovat umístění na vyšší úrovni abstrakce (např. země, stát, datové centrum) Příklady zdrojů zahrnují úložiště, zpracování, paměť a síť Rychlá elasticita Schopnosti mohou být elastické a v některých případech uvolňovány automaticky rychle směrem ven a dovnitř úměrně poptávce.

Spotřebiteli se možnosti dostupné pro poskytování často zdají být neomezené a lze si je kdykoli přivlastnit v libovolném množství. Měřená služba Cloudové systémy automaticky řídí a optimalizují využití zdrojů pomocí využití možností měření I v určitém rozsahu vhodném pro daný typ služby (např. zpracování, šířka pásma a aktivní prvky) Využití zdrojů lze monitorovat, řídit a hlásit, což poskytuje transparentnost pro poskytovatele i spotřebitele režimu služby Software jako služba (SaaS) Možnost poskytovaná spotřebiteli je používat aplikace poskytovatele běžící na cloudové infrastruktuře aplikace jsou přístupné z různých klientských zařízení buď prostřednictvím rozhraní tenkého klienta, jako je webový prohlížeč (např

g web-basedemail) nebo programové rozhraní Spotřebitel nespravuje ani neřídí základní cloudovou infrastrukturu včetně sítě, serverů, operačních systémů, úložiště nebo dokonce možností jednotlivých aplikací, s možnou výjimkou omezených uživatelských nastavení konfigurace aplikací Služba (PaaS) Možnost poskytovaná zákazníkovi je nasadit do cloudové infrastruktury spotřebitelem vytvořené nebo získané aplikace vytvořené pomocí programovacích jazyků, knihoven, služeb a nástrojů podporovaných poskytovatelem 3 Spotřebitel nespravuje nebo řídí základní cloudovou infrastrukturu včetně sítě , servery, operační systémy nebo úložiště, ale má kontrolu nad nasazenými aplikacemi a případně konfiguraci přizpůsobenou spotřebiteli, zpracování, úložiště, sítě a další základní výpočetní zdroje, kde spotřebitel nasazuje a spouští libovolný software, který může zahrnovat operační systémy a spotřebitel nespravuje nebo ovládat základní cloudovou infrastrukturu, ale mít kontrolu nad operačními systémy, úložištěm a nasazenými aplikacemi; a možná omezená kontrola vybraných síťových komponent (např. hostitelské firewally) Soukromý cloud Infrastruktura cloudu je poskytována pro výhradní použití jedinou organizací zahrnující více spotřebitelů (např. obchodní jednotky) Může být vlastněna, spravována a provozována organizací, třetí stranou , nebo nějakou jejich kombinaci a může existovat zapnuto nebo vypnuto

Komunitní cloud Infrastruktura cloudu je vynucená komunitou spotřebitelů z organizací, které sdílejí zájmy (např. poslání, požadavky na zabezpečení, zásady a ohledy na shodu) Může být vlastněna, spravována a může být vlastněna, spravována a řízena jednou nebo více organizacemi v komunitě, třetí strana nebo nějaká jejich kombinace a může existovat v prostorách nebo mimo ně Veřejný cloud Infrastruktura cloudu je poskytována pro otevřené použití širokou veřejností Může být vlastněna, řízena a provozována obchodní, akademickou nebo vládní organizací, nebo jde o kombinaci z nich

Existuje v prostorách poskytovatele clouduHybridní cloud Cloudová infrastruktura je složením dvou nebo více odlišných cloudových infrastruktur (soukromé, komunitní nebo veřejné), které zůstávají jedinečnými entitami, ale jsou spojeny standardizovanou nebo proprietární technologií, která umožňuje data a přenositelnost aplikací (např. cloud bursting pro vyrovnávání zátěže mezi cloudy) ttps: //csrc nist gov/publications/detail/sp/800-145final #tpubs-abstract-heade

Pokyny pro cloud computing HIPAA S rozšiřováním a širokým zaváděním řešení cloud computingu se subjekty a obchodní partneři chránění HIPAA ptají, zda a jak mohou využívat cloud computing a zároveň dodržovat předpisy na ochranu soukromí a bezpečnosti elektronicky chráněných zdravotních informací (ePHI Tento návod pomáhá takové subjekty, včetně poskytovatelů cloudových služeb (CSP), při chápání jejich HIPAaCloud computing má mnoho podob Tento návod se zaměřuje na cloudové zdroje nabízené CSh, který je právně oddělenou entitou od krytých entit s ohledem na její služby. Poskytovatelé služeb obecně nabízejí online přístup ke sdíleným výpočetním zdrojům s různé úrovně funkčnosti v závislosti na požadavcích uživatelů úplná softwarová řešení (např. systém elektronických lékařských záznamů), platformy pro zjednodušení schopnosti vývojářů aplikací vytvářet nové produkty a programátoři softwaru pro nasazování a testování programů

Běžná cloudová služba internetový přístup ke službám výpočetní techniky (např. sítím, serverům, úložištím, aplikacím), podporujeme kryté subjekty a obchodní partnery, kteří hledají informace o typech cloudových služeb a možnostech technického uspořádání, aby nahlédli do zdroje nabízeného Národním institutem pro standardy a Technika; SP 800-145, The NIST DefiIof CloudComputing-PDFPravidla ochrany osobních údajů, zabezpečení a oznamování porušení HIPAA (pravidla HIPAA) stanovují informace nebo falšují, přijímají, udržují nebo přenášejí pokrytí HIPAA nebo obchodního partnera, včetně omezení použití a zveřejnění Tyto informace zaručují vhodné použití a zveřejnění a práva jednotlivců s ohledem na jejich zdravotní informace Zahrnuté subjekty a obchodní partneři musí dodržovat platná ustanovení pravidel HIPAA Zahrnutým subjektem je zdravotní plán, středisko zdravotní péče nebo poskytovatel zdravotní péče, který provádí určité fakturační a transakce související s platbami elektronicky obchodní partner je subjekt nebo osoba jiná než zaměstnanec zahrnutého subjektu, která vykonává funkce nebo činnosti jménem zahrnutého subjektu nebo mu poskytuje služby, které zahrnují vytváření, přijímání a udržování PHI obchodního společníka je také jakýkoli subdodavatel, který vytváří, přijímá, udržuje nebo předává jménem jiného obchodního partnera. Když krytá entita využije služeb CSP k vytvoření, přijetí ePHI (jako je zpracování a/nebo uložení ePHI), jeho jménem, Csp je obchodním společníkem pod

HIPAA Dále, když obchodní partner uzavírá subdodavatelskou smlouvu s poskytovatelem služeb, aby vytvořil nebo přenesl ephi jeho jménem, ​​samotný subdodavatel poskytovatele platebních služeb je obchodním partnerem. To platí, i když poskytovatel poskytovatelů služeb zpracovává nebo ukládá pouze šifrované ePHI a postrádá šifrovací klíč pro data, chybí šifrovací klíč nezbavuje CSP statutu a závazků obchodního partnera (nebo obchodního partnera) a csPHIPAAgiant b(BAA) a CSP je oba smluvně odpovědný za splnění podmínek baa a přímo odpovědný za soulad s příslušnými požadavky Pravidla HIPAA představují klíčové otázky a odpovědi, které pomáhají poskytovatelům služeb regulovaným podle zákona HIPAa a jejich zákazníkům porozumět jejich odpovědnosti podle pravidel hiPaa, když vytvářejí, udržují nebo přenášejí ePHI pomocí cloudových produktů a služeb Může subjekt pokrytý zákonem HIPAa nebo obchodní partner používat cloudPHId krytý subjekt nebo obchodní partner vstoupí do HIPAA - v souladu se smlouvou nebo dohodou obchodního partnera (BAA) s CsP, která bude jeho jménem vytvářet, přijímat, udržovat nebo přenášet elektronické chráněné zdravotní informace (ePHi), a jinak je v souladu s pravidly HIPAa Mimo jiné BAa stanoví předpokládaná a požadovaná použití a zveřejnění ePHi prostřednictvím divadelních činností nebo služeb pro zahrnutou entitu nebo obchodního partnera na základě vztahu mezi stranami a činností nebo služeb vykonávaných obchodním partnerem TheBAA také smluvně vyžaduje, aby obchodní partner náležitě chránil ePHIcluding implementující požadavky Bezpečnostní pravidlo

Společnost OCr vytvořila pokyny k prvkům chráněné entity (nebo obchodního partnera) BAA 2A, která zapojuje CSP, by měla rozumět prostředí cloud computingu nebo řešení nabízenému konkrétním CSP, aby krytá entita (nebo obchodní partner) mohl náležitě nést své vlastní riziko. analýzu a stanovení zásad řízení rizik, jakož i uzavření příslušných dohod BAA Viz 45 CFR SS164308(a(1(i)(A): 164308(a)(1(i1)(B); a 164502) Oba zahrnuté subjekty a obchodní partneři musí provádět analýzy rizik k identifikaci a posouzení potenciálních hrozeb a zranitelnosti vůči důvěrnosti, integritě a dostupnosti všech ePHI, které vytvářejí, přijímají, udržují nebo poskytují, například když krytá entita nebo obchodní partner může využívat cloudovou základnu

lytická konfigurace (veřejná, hybridní, soukromá atd. do baa s csP, typ cloudové konfigurace, která se má použít, může ovlivnit analýzu rizik a plány řízení rizik všech stran a výsledná ustanovení baaKromě toho úroveň služeb Dohoda (SLA)[4 se běžně používá k řešení více specifikací mezi CSP a může být také relevantní pro soulad s HIPAA Například SLA mohou obsahovat ustanovení, která řeší takové obavy HIPAA, jako je zvýšení dostupnosti systému a obnova dat (např. reagovat na útok ransomwaru nebo data společnosti Mannerhich budou vrácena zákazníkovi po ukončení používání služby odpovědnost za zabezpečení; a použít uchování a rozdíl, pokud krytá entita nebo obchodní partner vstoupí do smlouvy Sla s CSP, mělo by zajistit, že podmínky smlouvy Sla jsou v souladu s baa a pravidla HIPAa Například krytá entita nebo obchodní partner by měl zajistit, aby podmínky sla a baa s depreventolací csp 45CFR§§164

308(b)(364502(c)(2),andl64504(e)(1)[6Kromě svých smluv má CsP jako obchodní partner regulační povinnosti a je přímo odpovědný podle pravidel hipaa, pokud použití a zveřejnění Pht není povoleno jeho smlouvou, vyžadováno zákonem nebo povoleno soukromým partnerem. Obchodní partner CSPa je také přímo odpovědný, pokud nezajistí ochranu ePHI v souladu s Pravidlem zabezpečení nebo neinformuje pokrytý subjekt nebo obchodní partner zjištění porušení nezabezpečených phi v souladu s oznámením o narušení riVíce informací o pravidle zabezpečení viz pokyny OCr a onc nástroje OCR o souladu se SR [18

2 Pokud CSP uchovává pouze zašifrované ePhI a nemá dešifrovací klíč, udržuje (např. ke zpracování a/nebo ukládání) elektronických chráněných zdravotních informací (např. ke zpracování a/nebo ukládání) elektronických chráněných zdravotních informací (ePhld coveed entita nebo jiný obchodní partner Chybí šifrovací klíč pro zašifrovaná data, která přijímá, a nns poskytuje CSP status obchodního partnera a související povinnosti podle pravidel HIPAA Subjekt, který spravuje ePHI jménem zahrnutého subjektu (nebo jiného obchodního společníka) je businesshe ephi

9 Csp jako zašifrovaný ePHl jménem chráněného subjektu (nebo jiného obchodního společníka) je tedy obchodním společníkem, pro účely pohodlí tyto pokyny používají termín služby bez zobrazení, aby CSP uchovává šifrované ePhI jménem zahrnutého subjektu( nebo jiného obchodního partnera) bez přístupu k dešifrovacímu klíčiZatímco šifrování chrání epHi tím, že významně snižuje riziko, že informace zhlédnou neoprávněné osoby, taková ochrana sama o sobě nemůže adekvátně zajistit pravost, integritu a dostupnost ePHI, jak to vyžaduje zabezpečení, nezachovává integritu a dostupnost ePhas zajišťující, že informace nejsou poškozeny malwarem, nebo zajištění prostřednictvím nouzového plánování, aby data zůstala dostupná oprávněným osobám i během nouzových nebo katastrofických situací. Dále, šifrování neřeší další záruky, které jsou také důležité pro zachování důvěrnosti, jako jsou administrativní záruky pro analýzu rizik pro ePHl nebo fyzické zabezpečení pro systémy a servery, které mohou ubytovat ePhIA obchodního partnera, CSP poskytující nezobrazené služby není osvobozen od jakýchkoliv jinak použitelných požadavků pravidel HIPAA Požadavky pravidel jsou však flexibilní a škálovatelné. vzít v úvahu neviditelnou povahu služeb poskytovaných csp Úvahy o pravidle zabezpečení Všichni CSP, kteří jsou obchodními partnery, musí splňovat platné standardy a implementační specifikace bezpečnostního pravidla s ohledem na ePHI Nicméně v případech, kdy CsP poskytuje pouze nezobrazení služby krytému subjektu (nebo obchodnímu partnerovi mohou být uspokojeny pro obě strany prostřednictvím jednání jedné ze stran, zejména