Otras instrucciones de protección
Microsoft Entra ID cumple los requisitos de prácticas relacionadas con la identidad para implementar la Ley de responsabilidad y portabilidad de seguros de salud de 1996 (HIPAA). Para ser compatible con HIPAA, es responsabilidad de las empresas implementar medidas de seguridad usando esta guía junto con cualquier otra configuración o procesos necesarios. Este artículo contiene instrucciones para lograr el cumplimiento de HIPAA de los tres controles siguientes:
- Protección de integridad
- Protección de autenticación de personas o entidades
- Protección de seguridad de transmisión
Guía de protección de integridad
Microsoft Entra ID cumple los requisitos de prácticas relacionadas con la identidad para implementar medidas de seguridad HIPAA. Para ser compatible con HIPAA, implemente medidas de seguridad usando esta guía junto con cualquier otra configuración o procesos necesarios.
Para la protección de modificación de datos:
Proteja los archivos y correos electrónicos en todos los dispositivos.
Detectar y clasificar datos confidenciales.
Cifre documentos y correos electrónicos que contengan datos confidenciales o personales.
El siguiente contenido proporciona las instrucciones de HIPAA, seguidas de una tabla con las recomendaciones e instrucciones de Microsoft.
HIPAA: integridad
Implement security measures to ensure that electronically transmitted electronic protected health information isn't improperly modified without detection until disposed of.
| Recomendación | Acción |
|---|---|
| Habilitar Microsoft Purview Information Protection (IP) | Descubra, clasifique, proteja y controle datos confidenciales, abarcando el almacenamiento y los datos transmitidos. Proteger los datos a través de Microsoft Purview IP ayuda a determinar el panorama de datos, revisar el marco y realizar pasos activos para identificar y proteger los datos. |
| Configurar la retención local de Exchange | Exchange Online proporciona varias opciones de configuración para admitir eDiscovery. La retención local usa parámetros específicos sobre qué elementos se deben mantener. La matriz de decisiones se puede basar en palabras clave, remitentes, recibos y fechas. Las soluciones de Microsoft Purview eDiscovery forman parte del portal de cumplimiento Microsoft Purview y cubren todos los orígenes de datos de Microsoft 365. |
| Configuración de la extensión de correo de internet seguro/multipropósito en Exchange Online | S/MIME es un protocolo que se usa para enviar mensajes cifrados y firmados digitalmente. Se basa en el emparejamiento de claves asimétricas, una clave pública y privada. Exchange Online proporciona cifrado y protección del contenido del correo electrónico y las firmas que comprueban la identidad del remitente. |
| Habilite la supervisión y el registro. | El registro y la supervisión son esenciales para proteger un entorno. La información se usa para admitir investigaciones y ayudar a detectar posibles amenazas mediante la identificación de patrones inusuales. Habilite el registro y la supervisión de los servicios para reducir el riesgo de acceso no autorizado. La auditoría de Microsoft Purview proporciona visibilidad sobre las actividades auditadas en los servicios de Microsoft 365. Ayuda a las investigaciones al aumentar la retención del registro de auditoría. |
Guía sobre protección de la autenticación de personas o entidades
Microsoft Entra ID cumple los requisitos de prácticas relacionadas con la identidad para implementar medidas de seguridad HIPAA. Para ser compatible con HIPAA, implemente medidas de seguridad usando esta guía junto con cualquier otra configuración o procesos necesarios.
Para la auditoría y protección de personas y entidades:
Asegúrese de que la notificación del usuario final sea válida para el acceso a datos.
Identifique y mitigue los riesgos de los datos almacenados.
El siguiente contenido proporciona las instrucciones de HIPAA, seguidas de una tabla con las recomendaciones e instrucciones de Microsoft.
HIPAA: autenticación de personas o entidades
Implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
Asegúrese de que los usuarios y dispositivos que accedan a los datos de ePHI estén autorizados. Deberá asegurarse de que los dispositivos sean compatibles y las acciones se auditen para marcar los riesgos a los propietarios de los datos.
| Recomendación | Acción |
|---|---|
| Habilitación de la autenticación multifactor | La autenticación multifactor de Microsoft Entra protege las identidades añadiendo una capa adicional de seguridad. La capa adicional proporciona una manera eficaz de evitar el acceso no autorizado. MFA habilita el requisito de más validación de las credenciales de inicio de sesión durante el proceso de autenticación. La configuración de la aplicación Authenticator proporciona verificación con un solo clic o puede configurar la configuración sin contraseña de Microsoft Entra. |
| Habilitar directivas de acceso condicional | Las directivas de acceso condicional ayudan a restringir el acceso solo a las aplicaciones aprobadas. Microsoft Entra analiza las señales del usuario, el dispositivo o la ubicación para automatizar las decisiones y aplicar directivas organizativas para el acceso a los recursos y los datos. |
| Configurar una directiva de acceso condicional basada en dispositivos | El acceso condicional con Microsoft Intune para la administración de dispositivos y las directivas de Microsoft Entra puede usar el estado del dispositivo para conceder acceso denegado a los servicios y datos. Al implementar directivas de cumplimiento de dispositivos, se determina si cumple los requisitos de seguridad para tomar decisiones para permitir el acceso a los recursos o denegarlos. |
| Uso del control de acceso basado en rol (RBAC) | RBAC en Microsoft Entra ID proporciona seguridad a nivel empresarial con separación de tareas. Ajuste y revise los permisos para proteger la confidencialidad, privacidad y administración de acceso a recursos y datos confidenciales, con los sistemas. Microsoft Entra ID proporciona compatibilidad con roles integrados, que es un conjunto fijo de permisos que no se pueden modificar. También es posible crear sus propios roles personalizados, donde podrá agregar una lista preestablecida. |
Guía de protección de seguridad de transmisión
Microsoft Entra ID cumple los requisitos de prácticas relacionadas con la identidad para implementar medidas de seguridad HIPAA. Para ser compatible con HIPAA, implemente medidas de seguridad usando esta guía junto con cualquier otra configuración o procesos necesarios.
Para el cifrado:
Proteger la confidencialidad de los datos.
Evitar el robo de datos.
Impedir el acceso no autorizado a PHI.
Asegurarse del nivel de cifrado de los datos.
Para proteger la transmisión de datos PHI:
Proteger el uso compartido de datos PHI.
Proteger el acceso a los datos PHI.
Asegurarse de que los datos transmitidos estén cifrados.
El siguiente contenido proporciona una lista de las instrucciones de protección de seguridad de auditoría y transmisión de la guía HIPAA y las recomendaciones de Microsoft para permitirle cumplir los requisitos de implementación de protección con Microsoft Entra ID.
HIPAA: cifrado
Implement a mechanism to encrypt and decrypt electronic protected health information.
Asegúrese de que los datos de ePHI estén cifrados y descifrados con la clave o proceso de cifrado compatibles.
| Recomendación | Acción |
|---|---|
| Revisión de los puntos de cifrado de Microsoft 365 | El cifrado con Microsoft Purview en Microsoft 365 es un entorno altamente seguro que ofrece una amplia protección en varias capas: centro de datos físico, seguridad, red, acceso, aplicación y seguridad de los datos. Revise la lista de cifrado y modifique si se necesitara más control. |
| Revisión del cifrado de base de datos | El cifrado de datos transparente agrega una capa de seguridad para ayudar a proteger los datos en reposo frente al acceso no autorizado o sin conexión. Cifra la base de datos mediante el cifrado AES. Enmascaramiento de datos dinámico para datos confidenciales, que limita la exposición de datos confidenciales. Enmascara los datos a los usuarios no autorizados. El enmascaramiento incluye campos designados, que se definen en un nombre de esquema de base de datos, nombre de tabla y nombre de columna. Las bases de datos nuevas se cifran de forma predeterminada, y la clave de cifrado de la base de datos se protege mediante un certificado de servidor integrado. Se recomienda revisar las bases de datos para asegurarse de que el cifrado esté establecido en el patrimonio de datos. |
| Revisión de los puntos de Azure Encryption | La funcionalidad de cifrado de Azure abarca las áreas principales de los datos en reposo, los modelos de cifrado y la administración de claves mediante Azure Key Vault. Revise los distintos niveles de cifrado y cómo coinciden con los escenarios de su organización. |
| Evaluación de la recopilación de datos y la gobernanza de retención | La administración del ciclo de vida de Microsoft Purview permite aplicar directivas de retención. La administración de registros de Microsoft Purview permite aplicar etiquetas de retención. Esta estrategia le ayudará a obtener visibilidad de los recursos en todo el patrimonio de datos. Esta estrategia también le ayudará a proteger y administrar datos confidenciales en nubes, aplicaciones y puntos de conexión. Importante: como se indicó en 45 CFR 164.316: límite de tiempo (requerido). Conserve la documentación requerida por el párrafo (b)(1) de esta sección durante seis años a partir de la fecha de creación o la fecha en que estuvo en efecto por última vez, lo que sea posterior. |
HIPAA : para proteger la transmisión de datos PHI
Implement technical security measures to guard against unauthorized access to electronic protected health information that is being transmitted over an electronic communications network.
Establecer directivas y procedimientos para proteger el intercambio de datos que contenga datos PHI.
| Recomendación | Acción |
|---|---|
| Evaluación del estado de las aplicaciones locales | La implementación de Microsoft Entra Application Proxy publica aplicaciones web locales externamente y de forma segura. Microsoft Entra Application Proxy permite publicar de forma segura puntos de conexión de dirección URL externos en Azure. |
| Habilitación de la autenticación multifactor | La autenticación multifactor de Microsoft Entra protege las identidades añadiendo una capa de seguridad. Agregar más capas de seguridad es una manera eficaz de evitar el acceso no autorizado. MFA habilita el requisito de más validación de las credenciales de inicio de sesión durante el proceso de autenticación. Es posible configurar la aplicación Authenticator para proporcionar verificación con un solo clic o autenticación sin contraseña. |
| Habilitar directivas de acceso condicional para el acceso a aplicaciones | Las directivas de acceso condicional ayudan a restringir el acceso a las aplicaciones aprobadas. Microsoft Entra analiza las señales del usuario, el dispositivo o la ubicación para automatizar las decisiones y aplicar directivas organizativas para el acceso a los recursos y los datos. |
| Revisión de directivas de Exchange Online Protection (EOP) | La protección contra correo no deseado y malware de Exchange Online proporciona malware integrado y filtrado de correo no deseado. EOP protege los mensajes entrantes y salientes y está habilitado de forma predeterminada. Los servicios EOP también proporcionan protección contra la suplantación de identidad, los mensajes en cuarentena y la capacidad de notificar mensajes en Outlook. Las directivas se pueden personalizar para ajustarse a la configuración de toda la empresa. Tienen prioridad sobre las directivas predeterminadas. |
| Configurar etiquetas de confidencialidad | Las etiquetas de confidencialidad de Microsoft Purview permiten clasificar y proteger los datos de las organizaciones. Las etiquetas proporcionan configuración de protección en la documentación de los contenedores. Por ejemplo, la herramienta protegerá los documentos almacenados en sitios de Microsoft Teams y SharePoint para establecer y aplicar la configuración de privacidad. Amplíe las etiquetas a archivos y recursos de datos, como SQL, Azure SQL, Azure Synapse, Azure Cosmos DB y AWS RDS. Más allá de los 200 tipos de información confidencial estándar, hay clasificadores avanzados, como entidades de nombres, clasificadores entrenables y EDM para proteger tipos confidenciales personalizados. |
| Evaluar si se requiere una conexión privada para conectarse a los servicios | Azure ExpressRoute crea conexiones privadas entre los centros de datos de Azure basados en la nube y la infraestructura que reside en las instalaciones. Los datos no se transfieren a través de la red pública de Internet. El servicio usa conectividad de nivel 3, conecta el enrutador perimetral y proporciona escalabilidad dinámica. |
| Evaluación de los requisitos de VPN | La documentación de VPN Gateway conecta una red local a Azure a través de una conexión VPN de sitio a sitio, de punto a sitio, de red virtual a red virtual y de VPN multisitio. El servicio admite entornos de trabajo híbridos proporcionando tránsito de datos seguros. |