SisällysluetteloosioTietoja toimittajastaOhjeet HIPaa Cloud Computingista7Cloud Computing veteraaneille AdministratiCloud Computing Concerns at GSANIST SeomputingDoD Ohjeet kaupalliseen pilvipalveluun gAodin pilvilaskentatutkimukset)Cloud Computing Securements Guide (srG)
Se, kuka voi tarkastella CsP:n ylläpitämää ePHi:tä, tietyt pääsynhallintalaitteet, kuten todennus tai yksilöllinen käyttäjän tunniste, voivat olla asiakkaan vastuulla, kun taas toiset, kuten salaus, voivat olla csp:n liikekumppanin vastuulla. Mitkä pääsynvalvontatoimenpiteet asiakkaan tulee toteuttaa ja mitkä CSP:n tulee perustua, voivat riippua I:n vastaavista turvallisuusriskien hallintasuunnitelmista, koska ehdoissa on kohtuullinen ja asianmukainen käyttäjien todennushallinta ja suostuu siihen, että noview-palveluita tarjoavan csP:n ei tarvitse ottaa käyttöön lisämenettelyjä ePhl:ään pääsyä hakevan henkilön tai yhteisön todentamiseksi (varmentaakseen henkilöllisyyden), nämä suojaussäännön käytönvalvontavastuut täyttyisivät molemmilla osapuolilla asiakkaan toimesta. Kuitenkin liikekumppanina CsP on edelleen vastuussa suojauksen alaisuudessa. sääntö muiden kohtuullisten ja asianmukaisten valvontatoimien rajoittamiseksi asiakkaan ePHI:n ylläpitämiseksi Esimerkiksi silloinkin, kun osapuolet ovat sopineet, että ePhI:n mukauttaminen valtuutettuun sisäiseen valvontaan hallinnoi resursseja (esim.
g, tallennus, muisti, verkkoliitännät, prosessorit), jotka ovat tärkeitä tietojärjestelmiensä toiminnalle Esimerkiksi varmenteen palveluntarjoajan, joka on kumppanijäsen, on otettava huomioon ja osoitettava osana riskianalyysiään ja riskinhallintaprosessiaan haitallisen palvelun kyselyt. toimija, jolla on luvaton pääsy järjestelmiensä hallintatyökaluihin, mikä voi vaikuttaa järjestelmän toimintaan ja vaikuttaa asiakkaiden luottamuksellisuuteen, eheyteen ja käytettävyyteen. ePHCSP:n tulee myös ottaa huomioon korjaamattomien tai vanhentuneiden hallintatyökalujen käytön riskit. CSP:n ja asiakkaan tulee kumpikin vahvistaa kirjallisesti BAA tai muu documehow kukin osa käsittelee turvallisuussäännön vaatimuksiaHuomaa, että jos CSP:n ja asiakkaan välisissä sopimussopimuksissa määrätään, että asiakas hallitsee ja ottaa käyttöön tiettyjä pilvipalvelun suojausominaisuuksia tietoturvasäännön mukaisesti, mutta asiakas ei tee niin, OCR ottaa tämän tekijän huomioon. yhtä tärkeänä ja merkityksellisenä kaikissa asiakkaan tai PA CSP:n noudattamista koskevissa tutkimuksissa on ne, jotka johtuvat yksinomaan asiakkaan toiminnasta, joka määräytyy tietyn tapauksen tosiasioiden ja olosuhteiden perusteella. , tai muuten lain edellyttämällä tavalla Vaikka CSP, joka tarjoaa vain ei-katselupalveluita suojatulle asiakkaalle tai liikekumppaniasiakkaalle, ei voi hallita sitä, kuka näkee ePhl:n, CSP silti
Jos käyttää ja purkaa salattuja tietoja vain BAA:n ja tietosuojasäännön sallimalla tavalla tai muuten lain edellyttämällä tavalla. Tämä sisältää esimerkiksi sen varmistamisen, että csp ei käytä luvatta ePHI:tä estämällä tai lopettamalla asiakkaan pääsyn ePHl-palveluun, Baa:n on sisällettävä määräykset, jotka edellyttävät, että liikekumppanin on muun muassa asetettava saataville PHI, jos se on tarpeen, jotta katettu yksikkö voi täyttää velvoitteensa henkilöitä kohtaan, joilla on oikeudet päästä, muuttaa ja saada kirjanpito tietyistä 45 CfR& 164504(e)(2)(1)(E)-(G) ACSP:n ja suojatun yksikön tai liikekumppaniasiakkaan välisen BA:n tulee kuvata, millä tavalla no-viewCSP:n velvoitteet – esimerkiksi CSP voi sopia baa:ssa, että se asettaa ePhI:n asiakkaan saataville, jotta se voi sisällyttää yksityishenkilön pyytämiä muutoksia ePHI:hen, mutta vain asiakas tekee kyseiset muutokset ilmoitussäännössä. Liikekumppanina CSP tarjoaa vain ei-view-palveluita suojatulle taholle tai liikekumppanille. on noudatettava hiPaa-loukkausilmoitusvaatimuksia, jotka koskevat liikekumppaneita. Liikekumppani on erityisesti vastuussa siitä, että se ilmoittaa suojatulle taholle (tai liikekumppanille, jonka kanssa on solmittu) suojaamattoman PHI:n rikkomuksista See45 CFR8164410
Suojaamaton PHI on PhI, jota ei ole tuhottu tai jota ei ole salattu lukukelvottomassa tai luvattomille henkilöille hajoamattomille 12 Jos rikottu ephi on salattu kohdassa 45 CFR 8 164402(2) ja ohjeissa esitettyjen HIPAA-standardien mukaisesti. [13 tapaus kuuluu "safe harbor" -rikkomukseen eikä csp-yrityskumppanin tarvitse ilmoittaa tapauksesta asiakkaalleen. Jos ePhIensalattu, mutta ei HIPAa-standardien mukaisella tasolla tai salauksenpurkuavain on myös rikottu, tapaus on raportoitava asiakkaalleen rikkomuksena, poikkeukset ""rikkomuksen" määritelmään pätevät Katso 45 CFR 164 402 $ Katso myös 45 CFR S164410 saadaksesi lisätietoja liikekumppaneiden rikkomisesta ilmoittamisvelvollisuuksista3 Voidaanko csp katsoa "hoitaa postipalvelua ja siksi ei liikekumppania, jonka on noudatettava HIPAA-sääntöjä? &Yleensä mikään CSP-palvelu, joka tarjoaa pilvipalveluja piiriin kuuluvalle taholle tai liikekumppanille, joka edellyttää luomista, vastaanottamista tai ylläpitoa (esim. käsittely ja/tai myymälä) elektronisesti suojattu
Terveystiedot(ePHi)täyttävät ePhi:n liikekumppanin uhman, koska se on salattu eikä csp:llä ole salauksenpurkuavainta.Kuten edellisessä ohjeessa selitettiin, 14] kanavapoikkeus rajoittuu PhI:n siirtopalveluihin (olipa sähköisessä tai paperimuodossa), mukaan lukien PHIdentin tilapäinen tallentaminen tällaiseen lähetykseen. Kaikki pääsy PHI:iin kanavan kautta on luonteeltaan vain ohimenevää. , vaikka CSP ei itse asiassa katselisi tietoja, koska ephi-tietoihin on jatkuva pääsy. Lisäksi, jos CsP tarjoaa siirtopalveluita kattaman yksikön tai liikekumppanin, joka sisältää ePHI:n tiedotustarkoituksiin, csp on edelleen liikekumppani tällaisen ephl thenduit -poikkeuksen lähettämisen suhteen. koskee ainoat kattamalle taholle tai yritysasiakkaalle tarjotut palvelut ovat ePhi-lähetyksiä, joihin ei liity tietojen tallentamista muutoin kuin tilapäisesti siirtopalveluun liittyvän tapahtuman vuoksi4 Mitkä CSP:t tarjoavat HIPAA-yhteensopivia pilvipalveluita?ocr ei tue, sertifioi , tai suosittele tiettyä teknologiaa tai tuotetta5 entä jos hiPaan piirissä oleva e tai liikekumppani) käyttää CSP:tä ephin ylläpitoon ilman, että se on ensin solminut liikekumppanisopimuksen kyseisen CsFI:n kanssa, jos katettu yksikkö (tai liikekumppani) käyttää CSP:tä ylläpitääkseen (esim. tallentaa) elektronisia suojattuja terveystietoja (ePHl) tekemättä BAa:ta CsP:n, katetun e tai väyläkumppanin kanssa) rikkoo hipaa-sääntöjä 45 C
F R64308(b)(1) ja $164502(e) OCr on tehnyt ratkaisusopimuksen ja korjaussuunnitelman suojatun tahon kanssa, joka määritti 3 000 henkilön tallennetun ePHI:n pilvipohjaiselle palvelimelle tekemättä BAA-sopimusta csP:n kanssa. [15. Vaihtoehtoisesti varsinaisen liikekumppanin, joka on CSP, joka luo, vastaanottaa, ylläpitää tai lähettää PHI:n piiriin kuuluvan yksikön tai muun liikekumppanin puolesta, on noudatettava kaikkia soveltuvia HIPAA-sääntöjen säännöksiä riippumatta siitä, onko se suorittanut BAA-sopimuksen yhteisön kanssa. käyttää palveluitaan Katso 78 Fed Reg 5565, 5598 (25. tammikuuta
2013) OCR tunnustaa, että ne ovat kuitenkin tilanteita, joissa varmentajan palveluntarjoaja ei välttämättä todellisuudessa tai rakentavasti tiedä, että suojattu taho tai muu liikekumppani käyttää sen palveluita vastaanottaa, ylläpitää tai lähettää ephi. tapaukset, joissa varmentajan palveluntarjoaja ryhtyy toimenpiteisiin korjatakseen minkä tahansa noudattamatta jättämisen 30 prosentin kuluessa siitä ajankohdasta, jolloin se tiesi tai sen olisi pitänyt tietää sinusta, esimerkiksi silloin, kun varmentaja tietää tai hänen olisi pitänyt tietää, että katettu yksikkö tai pHiLd-liiketoimintaa harjoittava yritys ) 45 CFR 160410 Tämä myönteinen puolustus ei kuitenkaan päde tapauksissa, joissa CSP ei ollut tietoinen rikkomuksesta sen omasta tahallisesta laiminlyönnistä.Jos CSP saa tietää, että se ylläpitää ePHl:a, sen on noudatettava HIPAA-sääntöjä tai palattava turvallisesti. ePHI asiakkaalle tai, jos asiakas niin suostuu, tuhota epHl turvallisesti
Kun CsP palauttaa tai tuhoaa turvallisesti ePHI:n (asiakkaan kanssa tehty sopimus), se ei ole enää liikekumppani suosittelee CSPshile CSP ylläpitää ePHl:ää, HIPAa-säännöt kieltävät CSP:tä käyttämästä tai paljastamasta tietoja epäjohdonmukaisella tavalla. sääntöjen mukaan6 Jos varmentajan palveluntarjoaja kokee tietoturvan sisäpiirissä HIPaa-suojan piiriin kuuluvissa yksiköissä tai liikekumppanin ePHl:ssä, täytyy sen ilmoittaa tapahtumasta suojatulle taholle tai liikekumppanilleKyllä Turvallisuussääntö kohdassa 45 CFR 8 164308(a)(6(ii) edellyttää liikekumppaneiden tunnistettuja tai tunnettuja tietoturvaloukkauksia; lieventää turvavälikohtausten käytäntöjä siinä määrin kuin tapahtumat ja niiden seuraukset. Lisäksi turvasääntö 45 CFR 8 164314(a)(2)(i)(C), jonka mukaan liikekumppanisopimuksen on vaadittava liikekumppanin on raportoitava suojatulle taholle tai liikekumppanille, jonka sähköisiä suojattuja terveystietoja (ePhi) ylläpitää, kaikista tietoturvahäiriöistä, joista se tulee tietoonsa. Turvahäiriö 45 CFR8164304 tarkoittaa luvatonta pääsyä, käyttöä, paljastamista, muokkaamista tai tuhoamista. tietojärjestelmässä tapahtuvat tiedot tai häiriöt järjestelmän toimintoihin TE-assosioituneen CSP:n on otettava käyttöön käytännöt ja menettelyt suojatakseen ja dokumentoidakseen tietoturvahäiriöitä, ja sen on raportoitava tietoturvahäiriöistä kattamalleen entiteetilleen tai liikekumppanille.
Turvallisuussääntö on kuitenkin joustava, eikä siinä määrätä tietoturvapoikkeamien ilmoitusten tarkkuuden tasoa, tiheyttä, joka voidaan sovittaa liikekumppanisopimuksen (BAA) osapuolten kesken. BAA voi esimerkiksi määrätä erilaisia tasoja raporttien yksityiskohdat, tiheys ja muotoilu, jotka perustuvat tietoturvahäiriöiden luonteeseen - haavoittuvuuksien uhkaaminen tai hyödyntäminen, sekä ePHi:lle aiheutuva riski, jonka ne poBAa voivat myös määrittää tiettyjen tapahtumien kohdat ja onko tietoturvaloukkausyritysten mallien tunnistaminen järkevää ja tarkoituksenmukaista. , että rikkomusilmoitussääntö määrittelee ajoituksen ja muut vaatimukset liikekumppanille raportoida suojattomalle taholle vaaratilanteista, jotka eivät ole suojaaneet PHI:tä (tai biosaattaneet bKatso 45 CFR8 164 410 BAA voi määrittää tiukempia
, oikea-aikaisemmat )raportointivaatimukset kuin rikkomuksen edellyttämät Ilmoitukset täyttävät myös sääntöjen vaatimukset, mutta eivät voi muuten ohittaa Säännöt suojaamattomien PHI-rikkomusten ilmoittamiselle tai lisätietoja tästä aiheesta, katso FAQ tietoturvahäiriöiden ilmoittamisesta( vaikka ohjeistus on tarkoitettu sporaanien suunnitteluun, ohjeet koskevat myös liikekumppaneita): [16] sekä opastus rikkomuksista ilmoittamiseen [171 Sallivatko HiPAa-säännöt terveydenhuollon tarjoajien käyttää mobiililaitteita päästäkseen ephl:iin kyllä Terveydenhuollon tarjoajat, muut suojan piiriin kuuluvat tahot, ja liikekumppanit voivat käyttää mobiilifyysisiä, hallinnollisia ja teknisiä turvatoimia ePHl:n luottamuksellisuuden eheyden ja saatavuuden turvaamiseksi mobiililaitteessa ja pilvessä, ja asianmukaiset BAAS-järjestelmät ovat käytössä minkä tahansa kolmannen osapuolen palveluntarjoajan kanssa laitteelle ja/tai pilvelle, jolla on pääsy e-PHI:iin HIPAA-säännöt eivät tue tai vaadi tietyntyyppistä teknologiaa, vaan pikemminkin määrittävät standardit sille, kuinka kattamat tahot ja liikekumppanit voivat käyttää tai paljastaa ePHI:tä tietyn tekniikan avulla, samalla kun ePHI:n turvallisuus suojellaan kohtuullisella ja asianmukaisella hallinnollisella, teknisellä , ja fyysiset suojatoimenpiteet riskeille OCR ja onc ovat julkaisseet ohjeita mobiililaitteiden käytöstä ja vinkkejä kannettavien laitteiden suojaamiseen 1&
8 Onko hiPaa-yhtiö tai liikekumppani? aika sen jälkeen, kun CSPaintain ePhI on lopettanut palvelun tarjoamisenEi, HiPAA-säännöt eivät yleensä edellytä liikekumppaneita ylläpitämään sähkösuojattuja terveystietoja (ePHI) sen ajan jälkeen, kun se tarjoaa palveluita kattamalle yksikölle. Yksityisyyssäännön mukaan liikekumppanisopimus (BAA) murehtia liikekumppania palauttamaan tai tuhoamaan kaikki PHI:t Baa:n päättyessä. Jos palauttaminen tai tuhoaminen ei ole mahdollista, BAA:n on laajennettava BAA:n yksityisyyttä ja turvallisuussuojaa ja rajoitettava myöhempää käyttöä ja paljastamista niihin tarkoituksiin, jotka edellyttävät palautusta tai tietojen tuhoaminen mahdotonta fple, palauttaminen tai tuhoaminen katsottaisiin "mahdottomaksi", jos jokin muu laki edellyttää liikekumppanin CSP:n säilyttävän ePHI:n liikekumppanisopimuksen päättymisen jälkeen [199 Sallivatko HIPAA-säännöt suojatun yksikön tai yrityksen kumppani käyttää CSP:tä, joka tallentaa PHI:n yhdysvaltojen ulkopuolisille palvelimilleKyllä, edellyttäen, että suojattu taho (tai liikekumppani) tekee liikekumppanisopimuksen (BAA) CsP:n kanssa ja muuten noudattaa soveltuvia HIPAA-sääntöjä
Vaikka hipaa-säännöt vaativat CsP:n tai muun Yhdysvaltojen ulkopuolella sijaitsevan liikekumppanin käsittelemien tai tallentamien elektronisten suojattujen terveystietojen (ePHl) erityissuojaa, OCr huomauttaa, että tällaiselle ePHI:lle aiheutuvat riskit saattavat riippua suuresti sen maantieteellisestä sijainnista. Erityisesti ePHl:n tallennustilan tai muiden palvelujen ulkoistaminen ulkomaille voi lisätä tietoon liittyviä riskejä ja haavoittuvuuksia tai yksityisyyden ja tietojen täytäntöönpanokelpoisuuteen liittyviä erityisiä näkökohtia. Suojattujen tahojen (ja liikekumppaneiden, mukaan lukien CSP) tulee ottaa nämä asiat huomioon riskianalyysiä tehdessään. ja turvallisuussäännön edellyttämä riskienhallinta Katso 45 CFR88 164308(a)(1)(1)(A)ja (a)(ii)(B) Esimerkiksi jos ePHI:tä ylläpidetään maassa, jossa on dokumentoituja lisääntynyttä yritystä hakkerointi tai muut haittaohjelmahyökkäykset, tällaiset riskit on otettava huomioon, ja yksiköiden on otettava käyttöön kohtuulliset ja asianmukaiset tekniset suojatoimenpiteet tällaisten uhkien torjumiseksi10 Vaadivatko HIPAa-säännöt liikekumppaneita varmentajan palveluntarjoajia toimittamaan dokumentaatiota tai sallimaan suojan piiriin kuuluvien asiakkaidensa tietoturvakäytäntöjen tarkastamisen yhteisöjä tai yritystä
Ei HIPAA-säännöt edellyttävät, että kattamat yksiköt ja liikekumppaniasiakkaat saavat tyydyttävät takeet CSP:n kanssa tehdyn liikekumppanisopimuksen (BAA) muodossa siitä, että CSP muun muassa suojaa asianmukaisesti luomansa suojatut terveystiedot (PHD). , vastaanottaa, ylläpitää tai lähettää AA-säännöissä katetun yksikön tai liikekumppanin puolesta, csp on myös vakava tai epäonnistuu turvaamaan sähköisen yhteensopivuuden turvallisuussäännön [20] ja PHI:n [21] kanssa. HIPAA-säännöt eivät nimenomaisesti edellytä, että Csp. tarjota käytännöt Asiakkaat voivat kuitenkin vaatia CSP:ltä (BAA:n kautta palvelumaksukäytännöt, jotka muutoin sallivat asiakkaan tarkastaa erillissopimuksensa tai muun dokumentaation) lisävakuutuksia PHl:n suojasta, kuten turvatoimien tai auditointien dokumentointia, oman riskinsä perusteella. analyysi ja riskienhallinta11 Jos CSP vastaanottaa ja ylläpitää vain tietoja, joiden tunnistaminen on poistettu HIPAA-tietosuojasäännön mukaisesti, onko se liikekumppani. CSP ei ole liikekumppani, jos se vastaanottaa ja ylläpitää (esim. käsitellä ja/tai tallentaa vain henkilöllisyyden poistaminen tietosuojasäännön edellyttämien prosessien mukaisesti
Katso oCr-ohjeet identifioinnin poistamisesta, 22[1]Katso http://nvlpubsnistgpubs/Legacy/SP/nistspecialpublication800-145PcKatsohttp://wwwhhsgov/hipaa/for-professionals/covered-ssociate-ebuusinesse-sample
Tietoja toimittajaMichael Erbschloe on työskennellyt yli 30 vuoden ajan analysoiden tietotekniikan taloustiedettä, teknologiaan liittyvää julkista politiikkaa ja hyödyntäen teknologiaa organisaatioprosessien uudelleensuunnittelussa. Hän on kirjoittanut useita kirjoja tietotekniikan sosiaalisista ja johtamiskysymyksistä, joita julkaisivat Mc Graw Hill ja muut suuret kustantajat. Hän on myös opettanut useissa yliopistoissa ja kehittänyt teknologiaan liittyviä opetussuunnitelmia
Hänen uransa on keskittynyt useisiin toisiinsa liittyviin alueisiin Teknologiastrategia, analyysi ja ennustaminen Opetus- ja opetussuunnitelmien kehitystyöt ja artikkelitJulkaiseminen ja editointiJulkisen politiikan analyysi ja ohjelmien arviointiMichael erbschloen kirjat Uhkatason punainen: Yhdysvaltain hallituksen kyberturvallisuustutkimusohjelmat(CRC Press)Social Media Warfarape: Pääsy organisaatioiden parantamiseen kaikille (auerbach-julkaisut) Turvallisuus (Auerbach-julkaisut) IT:n fyysinen turvallisuus (Elsevier SciTroijalaiset, madot ja vakoiluohjelmat (Butterworth-Heinemann) Kotimaan turvallisuuden toteuttaminen yrityksen IT:ssä (Digital Press) Opas katastrofipalautukseen (kurssivastaava teknologia) IT-hallinta (Digital PressInformation Warfare: Kuinka selviytyä kyberhyökkäyksistä (McGraw Hill) Johtajan opas yksityisyyden hallintaan (McGraw Hill) Net Privacy: Opas e-bl-tietosuojasuunnitelman toteuttamiseen (McGraw Hill)
esittelypalvelut), jotka voidaan valmistaa ja vapauttaa nopeasti minimaalisella hallintatyöllä eCloud computing on malli, joka mahdollistaa kätevän, on-demand-verkkoyhteyden jaettaviin laskentaresursseihin (esim. verkot, palvelimet, palveluntarjoajan vuorovaikutus Cloud Computing -malli tarjoaa lupaus massiivisista kustannuksista yhdistettynä lisääntyneeseen IT-ketteryyteen. Tämän tekniikan käyttöönotto vaikeiden taloudellisten rajoitteiden vuoksi on ollut kriittistä. Pilvitietotekniikka kuitenkin haastaa monet perinteiset lähestymistavat datakeskusten ja yrityssovellusten suunnitteluun ja hallintaan Pilvilaskentaa käytetään tällä hetkellä, kuitenkin turvallisuus, yhteentoimivuus ja siirrettävyys. mainitaan suurimpana esteenä laajemmalle käyttöönotolle National Institute of Standards and Technology (nist) on määritellyt pilvilaskentaa malliksi, joka mahdollistaa kaikkialla läsnä olevan, kätevän, on-demand-verkkoyhteyden jaettuun pooliin määritettävissä oleviin laskentaresursseihin (esim. verkot, palvelimet, tallennustila, sovellukset). , ja palvelut nopeutuvat mahdollisimman pienellä vaivalla tai palveluntarjoajaltaOsaiset ominaisuudet Tilausitsepalvelu Kuluttaja voi yksipuolisesti tarjota laskentaominaisuuksia, kuten palvelinaikaa ja verkkoa kunkin palveluntarjoajan kanssa. Laaja verkkoyhteys
Ominaisuudet ovat saatavilla verkon yli ja niihin pääsee standardimekanismeilla, jotka edistävät heterogeenisten ohuiden tai paksujen asiakasalustojen käyttöä (esim. mobiililähteiden yhdistäminen Palveluntarjoajan laskentaresurssit yhdistetään palvelemaan useita kuluttajastenanttimalleja, joissa on erilaisia fyysisiä ja virtuaalisia resursseja, jotka dynaamisesti kohdistetaan ja jaetaan uudelleen sen mukaan kuluttajien kysyntään Aistiriippumattomuus on siinä mielessä, että asiakas ei yleensä tiedä tarjottujen resurssien sijaintia, mutta hän saattaa pystyä määrittämään sijainnin korkeammalla abstraktiotasolla (esim. maa, osavaltio, tietokeskus). Esimerkkejä resursseista ovat tallennus, käsittely, muisti , ja verkkoNopea elastisuus Ominaisuudet voivat olla elastisia ja vapautua joissakin tapauksissa automaattisesti skaalautuvasti nopeasti ulos ja sisäänpäin kysynnän mukaan.
Kuluttaja, tarjontaan käytettävissä olevat ominaisuudet näyttävät usein olevan rajattomat ja niitä voidaan ottaa käyttöön missä tahansa määrässä milloin tahansa. Mitattu palvelu Pilvijärjestelmät ohjaavat ja optimoivat resurssien käyttöä automaattisesti hyödyntämällä mittauskykyä I jossain palvelun tyyppiin sopivassa paikassa (esim. prosessointi, kaistanleveys ja aktiiviset resurssit) Resurssien käyttöä voidaan valvoaohjata ja raportoida, mikä tarjoaa läpinäkyvyyttä sekä Palvelutilan tarjoajalle että kuluttajalle Ohjelmisto palveluna (SaaS) Kuluttajalle tarjottu mahdollisuus on käyttää pilviinfrastruktuurissa toimivia palveluntarjoajan sovelluksia. Sovellukset ovat käytettävissä eri asiakaslaitteista joko ohuen asiakasliittymän, kuten verkkoselaimen (esim
g web-pohjainen sähköposti) tai ohjelmarajapinta Kuluttaja ei hallitse tai hallitse taustalla olevaa pilviinfrastruktuuria, mukaan lukien verkkoa, palvelimia, käyttöjärjestelmiä, tallennustilaa tai jopa yksittäisten sovellusten ominaisuuksia, lukuun ottamatta mahdollisesti rajoitettuja käyttäjäkohtaisia sovelluskokoonpanoasetuksia. Palvelu (PaaS) Kuluttajalle tarjottu kyky on ottaa käyttöön pilviinfrastruktuuriin kuluttajien luomia tai hankkimia sovelluksia, jotka on luotu käyttämällä palveluntarjoajan tukemia ohjelmakieliä, kirjastoja, palveluita ja työkaluja 3 Kuluttaja ei hallitse tai ohjaa taustalla olevaa pilviinfrastruktuuria, mukaan lukien verkkoa. , palvelimia, käyttöjärjestelmiä tai tallennustilaa, mutta hallitsee käytössä olevia sovelluksia ja mahdollisesti konfigurointia, joka on soveltuva kuluttajan käsittelyyn, tallennustilaan, verkkoihin ja muihin perustavanlaatuisiin laskentaresursseihin, joissa kuluttaja ottaa käyttöön ja käyttää mielivaltaisia ohjelmistoja, jotka voivat sisältää käyttöjärjestelmiä ja joita kuluttaja ei hallitse tai hallitse hallita taustalla olevaa pilviinfrastruktuuria, mutta hallitsee käyttöjärjestelmiä, tallennustilaa ja käyttöön otettuja sovelluksia; ja mahdollisesti rajoitettu tiettyjen verkkokomponenttien (esim. isäntäpalomuurit) hallinta , tai jokin niiden yhdistelmä, ja se voi olla päällä tai pois päältä
Yhteisön pilvi Pilviinfrastruktuuri on pakotettu kuluttajayhteisö organisaatioista, joilla on yhteisiä huolenaiheita (esim. tehtävä, turvallisuusvaatimukset, politiikka ja vaatimustenmukaisuusnäkökohdat). Se voi olla yhden tai useamman yhteisön organisaation omistama, hallinnoima ja kolmas osapuoli tai jokin niiden yhdistelmä, ja se voi esiintyä tiloissa tai sen ulkopuolella. Julkinen pilvi Pilviinfrastruktuuri on tarkoitettu suuren yleisön avoimeen käyttöön. Sen voi omistaa, hallinnoida ja ylläpitää yritys, akateeminen tai valtion organisaatio tai yhdistelmä. heistä
Se on olemassa pilvipalvelun tarjoajan tiloissa. Hybridipilvi Pilviinfrastruktuuri on yhdistelmä kahdesta tai useammasta erillisestä pilviinfrastruktuurista (yksityinen, yhteisöllinen tai julkinen), jotka pysyvät ainutlaatuisina kokonaisuuksina, mutta joita yhdistää standardoitu tai patentoitu tekniikka, joka mahdollistaa datan ja sovellusten siirrettävyys (esim. pilven purkaminen kuormituksen tasapainottamiseksi pilvien välillä) ttps: //csrc nist gov/publications/detail/sp/800-145final #tpubs-abstract-heade
Ohjeita HIPAA-pilvipalveluun Pilvilaskentaratkaisujen yleistymisen ja laajamittaisen käyttöönoton myötä HIPAA:n piiriin kuuluvat tahot ja liikekumppanit pohtivat, voivatko he hyödyntää pilvilaskentaa ja noudattaa samalla säädöksiä, jotka suojaavat elektronisesti suojattujen terveystietojen yksityisyyttä ja turvallisuutta (ePHI-apuopas). tällaiset entiteetit, mukaan lukien pilvipalveluntarjoajat (CSP:t), ymmärtäessään HIPAaCloud-laskennan saa monia muotoja. Nämä ohjeet keskittyvät pilviresursseihin, joita tarjoaa CSht, joka on oikeudellisesti erillinen kokonaisuus katetusta kokonaisuudesta palveluidensa vuoksi. eritasoiset toiminnallisuudet käyttäjien vaatimuksista riippuen täydelliset ohjelmistoratkaisut (esim. sähköinen sairauskertomusjärjestelmä), alustat, jotka yksinkertaistavat sovelluskehittäjien mahdollisuuksia luoda uusia tuotteita, ja ohjelmistoohjelmoijat ottamaan käyttöön ja testaamaan ohjelmia
Yhteinen pilvipalvelun Internet-yhteys tietojenkäsittelypalveluihin (esim. verkot, palvelimet, tallennustila, sovellukset) Suosittelemme piiriin kuuluvia tahoja ja liikekumppaneita, jotka etsivät tietoa pilvipalveluiden tyypeistä ja teknisistä järjestelyvaihtoehdoista kansallisen standardiinstituutin tarjoamien resurssien ja Teknologia; SP 800-145, NIST DefiIof CloudComputing-PDF HIPAA:n tietosuoja-, turvallisuus- ja rikkomusilmoitussäännöt (HIPAA-säännöt) määrittävät tietoja tai lähettävät, vastaanottavat, ylläpitävät tai lähettävät HIPAA-suojan piiriin kuuluvan tai liikekumppanin, mukaan lukien käyttö- ja paljastamisrajoitukset. tällaisten tietojen turvataan tarkoituksenmukainen käyttö ja paljastaminen sekä yksilöiden oikeudet terveyttä koskevien tietojen suhteen. Suojattujen tahojen ja liikekumppaneiden on noudatettava HIPAA-sääntöjen soveltuvia määräyksiä. Suojattu yksikkö on terveyssuunnitelma, terveydenhuollon selvitystoimisto tai terveydenhuollon tarjoaja, joka suorittaa tietyn laskutuksen ja maksuihin liittyvät tapahtumat sähköisesti liikekumppani on yhteisö tai henkilö, joka ei ole kattaman yksikön henkilöstön jäsen ja joka suorittaa toimintoja tai toimintoja suojatun yksikön puolesta tai tarjoaa sille palveluja, joihin sisältyy liikekumppanin luominen, vastaanottaminen ja ylläpito. on myös mikä tahansa alihankkija, joka luo, vastaanottaa, ylläpitää tai lähettää toisen liikekumppanin puolesta.Kun katettu yksikkö käyttää CSP:n palveluita luodakseen, vastaanottaakseen ePHI:n (kuten käsitelläkseen ja/tai tallentaakseen ePHI:n) sen puolesta, Csp on liikekumppani
HIPAA Lisäksi kun liikemies tekee alihankintasopimuksen csP:n kanssa ephi:n luomiseksi tai lähettämiseksi sen puolesta, csp-alihankkija itse on liikekumppani Tämä pätee, vaikka csp käsittelee tai tallentaa vain salatun ePHI:n ja siltä puuttuu tietojen salausavain. Puuttuu salausavain ei vapauta CSP:tä liikekumppanin asemasta ja velvoitteista (tai liikekumppanista) eikä csPHIPAAgiant b(BAA:sta), ja CSP on sekä sopimusperusteisesti vastuussa BAA:n ehtojen noudattamisesta että suoraan sovellettavien vaatimusten noudattamisesta. ja vastauksia, jotka auttavat HIPAa:n sääntelemiä CSP:itä ja heidän asiakkaitaan ymmärtämään hiPaa-sääntöjen mukaiset velvollisuutensa, kun he luovat, ylläpitävät tai lähettävät ePHI:tä käyttämällä pilvituotteita ja -palveluita. Voiko HIPAa:n piiriin kuuluva yhteisö tai liikekumppani käyttää pilvipalvelua, jonka suojattu yhteisö tai liikekumppani tekee HIPAA:n -yhteensopiva liikekumppanisopimus tai sopimus (BAA) CsP:n kanssa, joka luo, vastaanottaa ylläpitää tai lähettää sähköisiä suojattuja terveystietoja (ePHi) sen puolesta ja noudattaa siten HIPAa-sääntöjä. BAa määrittää muun muassa testatut ja vaaditut käyttötarkoitukset ja ePHi-ilmoitukset, jotka teatteri suorittaa toimintoja tai palveluita kattaman yksikön tai liikekumppanin puolesta, osapuolten välisen suhteen ja liikekumppanin suorittamien toimintojen tai palvelujen perusteella. BAA edellyttää myös sopimuksessa, että liikekumppani suojaa asianmukaisesti ePHi:tä, mukaan lukien täytäntöönpanolain vaatimukset. Turvallisuussääntö
OCr on luonut ohjeita BAA:n osista. 2Suojatun yksikön (tai liikekumppanin), joka käyttää CSP:tä, tulee ymmärtää tietyn CSP:n tarjoama cloudcomputing-ympäristö tai -ratkaisu, jotta suojattu taho (tai liikekumppani) voi asianmukaisesti hoitaa oman riskinsä. 45 CFR SS164308(a(1(i)(A): 164308(a)1(i1)(B))) ja 164502 Sekä kattamien tahojen että liikekumppaneiden on toimittava. riskianalyysit mahdollisten uhkien ja haavoittuvuuksien tunnistamiseksi ja arvioimiseksi kaikkien niiden luomien, vastaanottamien, ylläpitämien tai luovuttamien ePHI-tietojen luottamuksellisuuteen, eheyteen ja saatavuuteen. Esimerkiksi, vaikka katettu yksikkö tai liikekumppani voi käyttää pilvipohjaa
yksi konfiguraatio (julkinen, hybridi, yksityinen jne. BAA:ksi csP:n kanssa, käytettävä pilvikokoonpanon tyyppi voi vaikuttaa kaikkien osapuolten riskianalyysiin ja riskinhallintasuunnitelmiin ja siitä seuraaviin baa:n säännöksiin. Lisäksi palvelutaso Sopimusta (SLA)[4] käytetään yleisesti määrittämään enemmän CSP:n välisiä eritelmiä, ja ne voivat myös olla merkityksellisiä HIPAA-yhteensopivuuden kannalta. Esimerkiksi SLA-sopimukset voivat sisältää määräyksiä, jotka koskevat sellaisia HIPAA-asioita, kuten järjestelmän saatavuuden parantamista ja tietojen palauttamista (esim. tarpeen mukaan, jotta voidaan vastata kiristysohjelmahyökkäykseen tai Mannerhich-tiedot palautetaan asiakkaalle palvelun käytön lopettamisen jälkeen turvallisuusvastuu; ja käytön säilyttäminen ja ero katettu taho tai liikekumppani tekee palvelusopimuksen csP:n kanssa sen tulee varmistaa, että palvelusopimuksen ehdot ovat yhdenmukaisia BAA- ja HIPAa-säännöt Esimerkiksi suojatun yhteisön tai liikekumppanin tulee varmistaa, että sla:n ja baa:n ehdot sekä 45CFR§§164:n esto
308(b)(364502(c)(2),jal64504(e)(1)[6lisäksi sopimuksiinsa, CsP:llä liikekumppanina on sääntelyvelvoitteet ja se on suoraan vastuussa hipaa-sääntöjen mukaisesti, jos se tekee Pht:n käyttöä ja paljastamista ei ole valtuutettu sen sopimuksella, lain edellyttämällä tai yksityisellä sektorilla. CSPa:n liikekumppani on myös suoraan vastuussa, jos se ei turvaa ePHI:tä turvallisuussäännön mukaisesti tai ei ilmoita suojatulle taholle tai liikekumppani, joka havaitsi suojaamattoman phi:n rikkomisen rikkomusilmoituksen mukaisesti riLisätietoja suojaussäännöstä, katso OCr and onc toolsOCR-ohjeet SR-yhteensopivuudesta [18
2 Jos CSP tallentaa vain salatun ePhI:n eikä sillä ole salauksenpurkuavainta, ylläpitääkö se HIPAAYes-kaista (esim. käsitellä ja/tai tallentaa) elektronisia suojattuja terveystietoja (ePhld-suojattu entiteetti tai muu liikekumppani Puuttuu salausavain salattu data, jonka se vastaanottaa ja nns tekee CSP:n frobusiness-kumppanin tilan ja siihen liittyvät velvollisuudet HIPAA-sääntöjen mukaisesti Yksikkö, joka ylläpitää ePHI:tä suojatun yksikön (tai muun liikekumppanin) puolesta, on businesshe ephi
9 Siten suojatun tahon (tai muun liikekumppanin) puolesta toimiva csp-salattu ePHl on liikekumppani. Mukavuussyistä näissä ohjeissa käytetään termiä no-viewservices, jonka avulla CSP ylläpitää salattua ePhI:tä suojatun tahon puolesta ( tai muu liikekumppani) ilman pääsyä salauksenpurkuavaimeen. Vaikka salaus suojaa epHi:tä vähentämällä merkittävästi riskiä, että asiattomat henkilöt pääsevät tarkastelemaan tietoja, tällaiset suojaukset eivät yksinään voi riittävällä tavalla taata ePHI:n luotettavuutta, eheyttä ja saatavuutta suojauksen edellyttämällä tavalla, ei ylläpidä eheyttä ja ePha:n saatavuus varmistaen, että tiedot eivät ole haittaohjelmien korruptoituneet, tai varmistetaan valmiussuunnittelun avulla, että tiedot ovat valtuutettujen henkilöiden saatavilla myös hätä- tai katastrofitilanteissa. Lisäksi salaus ei koske muita suojatoimia, jotka ovat myös tärkeitä luottamuksellisuuden säilyttämisen kannalta, kuten hallinnollisia suojatoimia. analysoidakseen ePHl:lle aiheutuvia riskejä tai fyysisiä suojatoimia järjestelmille ja palvelimille, joissa ePhia voi olla liikekumppanina, ei-view-palveluita tarjoava CSP ei ole vapautettu mistään muutoin sovellettavista HIPAA-sääntöjen vaatimuksista. Sääntöjen vaatimukset ovat kuitenkin joustavia ja skaalautuvia ottaa huomioon csp:n tarjoamien palvelujen näkymätön luonne. Turvallisuussääntönäkökohdat Kaikkien liikekumppaneiden varmentajan palveluntarjoajien on noudatettava sovellettavia standardeja ja turvallisuussäännön toteutusmäärityksiä ePHI:n osalta. Tapauksissa, joissa varmentajan palveluntarjoaja tarjoaa kuitenkin vain ei-näkymän palvelut katetulle taholle (tai liikekumppanille, joka on tyytyväinen molempiin osapuoliin jommankumman osapuolen toimien kautta erityisesti