Framework MARS-E (Minimum Acceptable Risk Standards for Exchanges) 2.0Minimum Acceptable Risk Standards for Exchanges (MARS-E) 2.0 Framework

Panoramica sul framework MARS-E 2.0MARS-E 2.0 Framework overview

Nel 2012, il Center for Medicare and Medicaid Services (CMS) ha pubblicato il MARS-E (Minimum Acceptable Risk Standards for Exchanges) in conformità con i programmi di sicurezza delle informazioni e privacy del CMS.In 2012, the Center for Medicare and Medicaid Services (CMS) published the Minimum Acceptable Risk Standards for Exchanges (MARS-E) in accordance with CMS information security and privacy programs. L'insieme di documenti, inclusi materiale sussidiario, requisiti e modelli, è stato progettato per rispondere ai mandati del Patient Protection and Affordable Care Act (ACA) e ai regolamenti del Dipartimento della salute e dei servizi umani che si applicano all'ACA.The suite of documents, including guidance, requirements, and templates, was designed to address mandates of the Patient Protection and Affordable Care Act (ACA) and regulations of the Department of Health and Human Services that apply to the ACA. La National Institute of Standards and Technology (NIST) Special Publication 800-53 funge da framework padre che stabilisce i requisiti di sicurezza e conformità per tutti i sistemi, le interfacce e le connessioni tra gli scambi sanitari e i mercati con mandato ACA.The National Institute of Standards and Technology (NIST) Special Publication 800-53 serves as the parent framework that establishes the security and compliance requirements for all systems, interfaces, and connections between ACA-mandated health exchanges and marketplaces.

A seguito del rilascio di MARS-E, NIST ha rilasciato un aggiornamento, la Special Publication 800-53r4, per affrontare le crescenti sfide relative alla sicurezza online, inclusa la sicurezza delle applicazioni; minacce persistenti avanzate e insider, rischi alla catena di approvvigionamento e affidabilità, garanzia e resilienza dei sistemi di dispositivi mobili e cloud computing.Following the release of MARS-E, NIST released an update, Special Publication 800-53r4, to address growing challenges to online security, including application security; insider and advanced persistent threats; supply chain risks; and the trustworthiness, assurance, and resilience of systems of mobile and cloud computing. Il CMS ha quindi rivisto il framework MARS-E per allinearlo ai controlli e parametri aggiornati nel NIST 800.53r4, pubblicando MARS-E 2.0 nel 2015.CMS then revised the MARS-E framework to align with the updated controls and parameters in NIST 800.53r4, publishing MARS-E 2.0 in 2015.

Questi aggiornamenti riguardano la riservatezza, l'integrità e la disponibilità negli scambi sanitari di dati protetti, i quali includono informazioni personali, informazioni sanitarie protette e informazioni fiscali federali.These updates address the confidentiality, integrity, and availability in health exchanges of protected data, which includes personally identifiable information, protected health information, and federal tax information. Il framework MARS-E 2.0 mira a proteggere questi dati protetti e si applica a tutti gli enti amministrativi dell'ACA, tra cui gli scambi o i mercati (agenzie federali, statali, Medicaid o del programma di assicurazione sanitaria per bambini, CHIP) e i terzisti di supporto.The MARS-E 2.0 framework aims to secure this protected data and applies to all ACA administering entities, including exchanges or marketplaces — federal, state, state Medicaid, or Children’s Health Insurance Program (CHIP) agencies — and supporting contractors.

Microsoft e il framework MA 2.0Microsoft and MARS-E 2.0 framework

Attualmente non esiste un processo formale di autorizzazione e accreditamento per MARS-E.Currently, there is no formal authorization and accreditation process for MARS-E. Tuttavia, i servizi della piattaforma Microsoft Azure sono stati sottoposti a controlli FedRAMP indipendenti a livello di impatto moderato e Azure per enti pubblici a livello di impatto elevato e sono autorizzati in base agli standard FedRAMP.However, Microsoft Azure platform services have undergone independent FedRAMP audits at the Moderate Impact Level and Azure Government at the High Impact Level, and are authorized according to FedRAMP standards. Anche se questi standard non riguardano in modo specifico MARS-E, gli obiettivi e i requisiti di controllo MARS-E sono strettamente correlati e ciò assicura la protezione della riservatezza, dell'integrità e della disponibilità dei dati.Although these standards do not specifically focus on MARS-E, the MARS-E control requirements and objectives are closely aligned and serve to protect the confidentiality, integrity, and availability of data on Azure.

Servizi cloud Microsoft inclusiMicrosoft in-scope cloud services

Controlli, report e certificatiAudits, reports, and certificates

I servizi cloud aziendali Microsoft vengono monitorati e valutati ogni anno per il processo di autorizzazione FedRAMP.Microsoft business cloud services are monitored and assessed each year for the FedRAMP authorization process.

Domande frequentiFrequently asked questions

A chi si applica lo standard?To whom does the standard apply?

MARS-E si applica a tutte le entità amministrative di Affordable Care Act, compresi gli scambi o i mercati (agenzie federali, statali, Medicaid o del CHIP che gestiscono il programma sanitario di base) nonché a tutti i relativi terzisti e subappaltatori.MARS-E applies to all Affordable Care Act administering entities, including exchanges or marketplaces — federal, state, Medicaid, and CHIP agencies administering the Basic Health Program — as well as all their contractors and subcontractors.

In che modo Microsoft dimostra la conformità di Azure e Azure per enti pubblici a questo standard?How does Microsoft demonstrate Azure and Azure Government compliance with this standard?

Usando i report di audit formali preparati da terze parti per le autorizzazioni FedRAMP, Microsoft è in grado di mostrare come importanti controlli abbiano rilevato che all'interno di questi report vengano dimostrate le capacità di Azure nel soddisfare i requisiti di controllo della sicurezza e della privacy di MARS-E.Using the formal audit reports prepared by third parties for FedRAMP authorizations, Microsoft is able to show how relevant controls noted that within these reports demonstrate Azure capabilities in meeting MARS-E security and privacy control requirements. I controlli implementati da Microsoft consentono di proteggere la riservatezza, l'integrità e la disponibilità dei dati archiviati sulla piattaforma Microsoft Azure e corrispondono ai requisiti normativi applicabili definiti in MARS-E, identificati come responsabilità di Microsoft.Audited controls implemented by Microsoft serve to protect the confidentiality, integrity, and availability of data stored on the Azure platform, and correspond to the applicable regulatory requirements defined in MARS-E that have been identified as the responsibility of Microsoft.

Quali sono le responsabilità di Microsoft nel mantenere l'adeguamento a questo standard?What are Microsoft's responsibilities for maintaining compliance with this standard?

Microsoft assicura che la piattaforma di Azure soddisfi le condizioni definite nelle Condizioni dei servizi online e nei Contratti di servizio (SLA) applicabili.Microsoft ensures that the Azure platform meets the terms defined within the governing Online Services Terms and applicable service level agreements (SLAs). Questi definiscono la responsabilità di Microsoft per l'implementazione e il mantenimento di controlli adeguati per la protezione della piattaforma Microsoft Azure e il monitoraggio del sistema.These define our responsibility for implementing and maintaining controls adequate to secure the Azure platform and monitor the system.

È possibile usare l'adeguamento di Microsoft per agevolare la qualifica per l'organizzazione?Can I use Microsoft's compliance in the MARS-E qualification efforts for my organization?

Sì.Yes. I report di controllo di terze parti agli standard FedRAMP attestano l'efficacia dei controlli che Microsoft ha implementato per mantenere la sicurezza e la privacy della piattaforma Microsoft Azure.Third-party audit reports to the FedRAMP standards attest to the effectiveness of the controls Microsoft has implemented to maintain the security and privacy of the Azure platform. I clienti di Azure e Azure per enti pubblici possono utilizzare i controlli descritti nei report relativi come parte delle loro attività di analisi e qualificazione dei rischi in base a FedRAMP e MARS-E.Azure and Azure Government customers may use the audited controls described in these related reports as part of their own FedRAMP and MARS-E risk analysis and qualification efforts.

RisorseResources