Ley de portabilidad y responsabilidad de seguros de salud (HIPAA) & Health Information Technology for Economic and Clinical Health (HITECH)

Información general sobre hipaa y la ley HITECH

La Ley de portabilidad y responsabilidad del seguro de salud de 1996 (HIPAA) y las regulaciones emitidas bajo HIPAA son un conjunto de leyes de salud de Estados Unidos que establecen requisitos para el uso, divulgación y protección de la información de salud identificable individualmente. El ámbito de HIPAA se amplió con la aprobación de la Ley de tecnología de la información de salud para la salud económica y clínica (HITECH) en 2009.

HIPAA se aplica a entidades cubiertas (específicamente, proveedores de atención médica, planes de salud y centros de intercambio de atención médica) que crean, reciben, mantienen, transmiten o acceden a la información de salud protegida (PHI) de los pacientes. HIPAA se aplica además a los asociados empresariales de entidades cubiertas que realizan determinadas funciones o actividades relacionadas con la PHI como parte de la prestación de servicios a la entidad cubierta o en nombre de la entidad cubierta.

Cuando una entidad cubierta contrata los servicios de un proveedor de servicios en la nube, como Microsoft, el proveedor de servicios en la nube sería un socio comercial bajo HIPAA. Además, cuando una empresa asocia subcontratistas con un proveedor de servicios en la nube para crear, recibir, mantener o transmitir PHI, el proveedor de servicios en la nube también se convierte en un socio comercial.

Microsoft, HIPAA y la Ley HITECH

Las normativas HIPAA requieren que las entidades cubiertas (definidas en las Reglas) entren en acuerdos con asociados empresariales para garantizar que la PHI esté protegida adecuadamente. Este contrato se denomina Contrato de asociación empresarial. Entre otras cosas, un Contrato de asociación empresarial establece los usos y divulgaciones permitidos y requeridos de PHI por el asociado de negocios, en función de la relación entre las partes y las actividades o servicios que realiza el socio comercial. Para admitir el cumplimiento de nuestros clientes con HIPAA al usar productos y servicios empresariales de Microsoft, Microsoft firmará contratos de asociación empresarial con sus clientes asociados de empresa y entidades cubiertas.

Actualmente no hay ningún estándar de certificación aprobado por el Departamento de Salud y Servicios Humanos para demostrar el cumplimiento de HIPAA o la Ley HITECH por parte de un asociado de negocios. Sin embargo, Microsoft habilita a los clientes en su cumplimiento con hipaa y la ley HITECH y se adhiere a los requisitos de la regla de seguridad de HIPAA en su capacidad como asociado de negocios. Además, Microsoft firma contratos de asociación empresarial con sus clientes asociados de empresa y entidades cubiertas para dar soporte al cumplimiento de las obligaciones HIPAA.

Certificaciones de terceros

servicios Microsoft cubiertos por baa se han sometido a auditorías realizadas por auditores independientes acreditados para la certificación ISO/IEC 27001 de Microsoft y la certificación CSF hitrust.

Los servicios en la nube de microsoft enterprise también están cubiertos por evaluaciones de FedRAMP. Microsoft Azure y Microsoft Azure gobierno recibieron una autoridad provisional para operar de la Junta de autorización conjunta de FedRAMP; Microsoft Dynamics 365 U.S. Government recibió una autoridad de la agencia para operar del Departamento de Vivienda y Desarrollo Urbano de estados Unidos, al igual que Microsoft Office 365 Gobierno de los Estados Unidos del Departamento de Salud y Servicios Humanos de los Estados Unidos.

Para obtener información sobre cómo Microsoft Cloud ayuda a los clientes a admitir hipaa y los requisitos hitech, visite Microsoft Customer Stories.

Servicios y plataformas en la nube dentro del ámbito de Microsoft

  • Azure y Azure Government
  • Azure DevOps
  • Dynamics 365 y Dynamics 365 para la Administración Pública de Estados Unidos
  • Intune
  • Microsoft Cloud App Security
  • Servicio de bots de Microsoft Healthcare
  • Escritorio administrado por Microsoft
  • Servicios profesionales de Microsoft: Premier y local para Azure, Dynamics 365, Intune y para empresas medianas y clientes empresariales de Microsoft 365 para empresas
  • Office 365, Office 365 gobierno de Estados Unidos
  • El servicio de nube de Power Automate (anteriormente conocido como Microsoft Flow) como un servicio independiente o incluido en un plan o un conjunto de aplicaciones de Office 365 o Dynamics 365
  • El servicio de nube de PowerApps como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365 o Dynamics 365
  • Power BI servicio en la nube como un servicio independiente o como se incluye en un plan o conjunto de aplicaciones de Office 365 o Dynamics 365

Azure, Dynamics 365 e HIPAA

Para obtener más información acerca del cumplimiento de Azure, Dynamics 365 y otros servicios en línea,consulte la oferta hipaa de Azure .

Office 365 y HIPAA

Entornos en la nube de Office 365

Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.

En esta sección se tratan los siguientes entornos en la nube de Office 365:

  • Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
  • Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
  • Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
  • Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
  • Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.

Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.

Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.

Aplicabilidad y servicios dentro Office 365

Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:

Aplicabilidad Servicios incluidos
Comercial Access Online, Azure Active Directory, Azure Communications Service, Compliance Manager, Customer Lockbox, Delve, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender for Office 365, Microsoft Teams, MyAnalytics, Cumplimiento avanzado de Office 365 add-on, Office 365 Customer Portal, Office 365 Microservices (incluidos, entre otros, Kaizala, ObjectStore, Sway, Power Automate, PowerPoint Online Document Service, Query, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive para la Empresa, Planner, PowerApps, Power BI, Project Online, Service Encryption with Customer Key, SharePoint Online, Skype Empresarial, Stream
GCC Azure Active Directory, Servicio de comunicaciones de Azure, Administrador de cumplimiento, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, complemento de Cumplimiento avanzado de Office 365, Centro de seguridad y cumplimiento de Office 365, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial, Stream

Preguntas frecuentes

¿Puede mi organización entrar en un BAA con Microsoft?

Sí. Microsoft ofrece a sus clientes asociados de empresa y entidades cubiertas un Contrato de asociación empresarial que cubre los servicios Microsoft.

El Contrato de asociación empresarial hipaa de Microsoft está disponible a través del Addendum de protección de datos Microsoft Online Services de forma predeterminada para todos los clientes que son entidades cubiertas o asociados de negocios bajo HIPAA. Vea "Servicios en la nube de Ámbito de Microsoft" en esta página web para obtener la lista de servicios en la nube cubiertos por este BAA.

El Contrato de asociación empresarial HIPAA también está disponible para los Servicios de Microsoft Professional en el ámbito. Póngase en contacto servicios Microsoft representante para obtener más información.

¿El tener un contrato de asociación empresarial con Microsoft garantiza el cumplimiento de mi organización con HIPAA y la Ley HITECH?

No. Al ofrecer un contrato de asociación empresarial, Microsoft ayuda a admitir el cumplimiento de la HIPAA. Sin embargo, el servicios Microsoft no logra por sí solo el cumplimiento de hipaa. Su organización es responsable de asegurarse de que tiene un programa de cumplimiento adecuado y procesos internos en su lugar, y de que su uso particular de servicios Microsoft se alinee con sus obligaciones en virtud de HIPAA y la Ley HITECH.

¿Puede Microsoft usar el Contrato de asociación empresarial de mi organización?

No, Microsoft no puede usar el Contrato de asociación empresarial de un cliente. Dado que ofrecemos servicios multiinquilino de hiperescala que están estandarizados para todos nuestros clientes, debemos operar de forma coherente. El Contrato de asociación empresarial hipaa de Microsoft refleja estrechamente cómo operamos. En consecuencia, para satisfacer las necesidades del sector de la salud, Microsoft colaboró con un consorcio de centros médicos académicos y otras entidades del sector público y privado dentro de la salud para crear un Acuerdo de asociación empresarial que se alinee con nuestras ofertas de servicios de escala y satisfaga las necesidades de los clientes.

¿Cómo puedo obtener copias de informes de auditoría de terceros?

El Portal del Centro de confianza ofrece informes de cumplimiento auditados de forma independiente. Puede usar el portal para solicitar informes de auditoría para que los auditores puedan comparar los resultados de los servicios en la nube de Microsoft con sus propios requisitos legales y normativos. Los clientes de Azure también pueden recuperar certificados e informes de auditoría de Azure en Azure Portal a través de la hoja informes de auditoría del Centro de seguridad de Azure.

¿Cómo puedo obtener más información sobre cómo Microsoft admite el cumplimiento de hipaa y la ley HITECH?

Para ayudar a los clientes con esta tarea, Microsoft ha publicado estas guías:

  • Las instrucciones de implementación de la ley HIPAA/HITECH para Azure para los responsables de privacidad, seguridad y cumplimiento y otros responsables de la implementación de la ley HIPAA y HITECH, describen pasos concretos que su organización puede tomar para mantener el cumplimiento.
  • Guía práctica para diseñar soluciones de mantenimiento seguros mediante Microsoft Azure le ayuda a comprender mejor lo que se necesita para adoptar correctamente un servicio en la nube de forma segura.

Usar el Administrador de cumplimiento de Microsoft para evaluar el riesgo

El Administrador de cumplimiento de Microsoft es una característica en el Centro de cumplimiento de Microsoft 365 que le ayuda a entender la actitud de su organización en relación con el cumplimiento normativo y a tomar medidas para contribuir a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.

Recursos