면책 조항 : 나는 변호사가 아닙니다.
먼저, 몇 가지 필요한 독서 :
Microsoft Azure 보안 센터
HIPAA 사업 제휴 계약 (BAA)
HIPAA 및 HITECH 법은 환자 정보 (PHI (Protected Health Information))에 액세스 할 수있는 의료 기관에 적용되는 미국 법률입니다. 대부분의 경우, 적용 대상 의료 회사가 Azure와 같은 클라우드 서비스를 사용하려면 서비스 제공자가 HIPAA 및 HITECH Act에 명시된 특정 보안 및 개인 정보 보호 조항을 준수하기 위해 서면 계약에 동의해야합니다. 고객이 HIPAA 및 HITECH 법을 준수 할 수 있도록 Microsoft는 고객에게 계약 부록으로 BAA를 제공합니다.
Microsoft는 현재 볼륨 라이선싱 / 기업 계약 (EA)을 보유한 고객 또는 Microsoft에 범위 내 서비스를 위해 Azure 전용 EA를 등록한 고객에게 BAA를 제공합니다. Azure 전용 EA는 좌석 크기에 의존하지 않고 고객이 가격을 책정 할 때 지불에 대한 할인을 얻을 수있는 Azure에 대한 연간 금전적 약속에 의존합니다.
BAA에 서명하기 전에 고객은 Azure HIPAA 구현 지침을 읽어야합니다. 이 문서는 HIPAA 및 HITECH 법에 관심이있는 고객이 Azure의 관련 기능을 이해하도록 돕기 위해 개발되었습니다. 대상 독자는 개인 정보 담당자, 보안 담당자, 규정 준수 담당자 및 HIPAA 및 HITECH Act 이행 및 규정 준수를 담당하는 고객 조직의 기타 담당자를 포함합니다. 이 문서는 HIPAA 호환 응용 프로그램을 구축하기위한 모범 사례 중 일부를 다루고 보안 위반 처리를위한 Azure 규정을 자세히 설명합니다. Azure에는 고객의 개인 정보 보호 및 보안 준수를 지원하는 기능이 포함되어 있지만 고객은 Azure의 특정 사용이 HIPAA, HITECH 법 및 기타 해당 법률 및 규정을 준수하는지 확인해야합니다.
고객은 Microsoft 계정 담당자에게 문의하여 계약에 서명해야합니다.
클라우드 공급자 (Azure)와 BAA에 서명해야 할 수도 있습니다. 규정 준수 담당자에게 문의하십시오.
Azure HIPAA 구현 지침 은 다음과 같습니다 .Here is the Azure HIPAA Implementation Guidance .
HIPAA 및 HITECH Act 요구 사항을 준수하는 방식으로 Azure를 사용할 수 있습니다.
Azure VM, Azure SQL 및 Azure VM 내에서 실행되는 SQL Server 인스턴스는 모두 범위가 있으며 여기서 지원됩니다.
Bitlocker는 유휴 데이터를 암호화하기에 충분합니다. 미사용 데이터의 암호화에 대한 HIPAA 요구 사항 (및 기타 유사한 조직의 요구 사항)을 충족시키는 방식으로 AES 암호화를 사용합니다.
또한 SQL Server는 예를 들어 TempDB를 OS 드라이브에 저장하도록 구성하는 것과 같이 SQL을 구성 하지 않는 한 암호화되지 않은 민감한 데이터를 OS 드라이브에 저장하지 않습니다 .
TDE 또는 Bitlocker와 같은 다른 방법으로 유휴 데이터의 암호화 요구 사항을 이미 충족 했다고 가정 하면 개별 데이터베이스 내의 셀 / 필드 / 열의 암호화는 엄격하게 요구되지 않습니다 .
Bitlocker 암호화 키 관리 방법은 실제 컴퓨터에 액세스 할 수 없으므로 TPM 칩 또는 이동식 USB 드라이브에 들어 있지 않으므로 나타날 수 있습니다. (시스템 관리자가 수동으로 암호를 입력하여 서버를 재부팅 할 때마다 데이터 드라이브의 잠금을 해제하는 것을 고려하십시오.) 이러한 암호화 키를 관리하는 CloudLink와 같은 서비스의 주요 유형입니다.