डिस्क्लेमर: मैं वकील नहीं हूं।
सबसे पहले, कुछ आवश्यक पढ़ना:
Microsoft Azure ट्रस्ट केंद्र
HIPAA बिजनेस एसोसिएट एग्रीमेंट (BAA)
HIPAA और HITECH अधिनियम संयुक्त राज्य अमेरिका के कानून हैं जो रोगी जानकारी (संरक्षित स्वास्थ्य सूचना, या PHH) कहा जाता है। कई परिस्थितियों में, एज़्योर जैसी क्लाउड सेवा का उपयोग करने के लिए एक कवर हेल्थकेयर कंपनी के लिए, सेवा प्रदाता को HIPAA और HITECH अधिनियम में निर्धारित कुछ सुरक्षा और गोपनीयता प्रावधानों का पालन करने के लिए एक लिखित समझौते में सहमत होना चाहिए। ग्राहकों को HIPAA और HITECH अधिनियम का अनुपालन करने में मदद करने के लिए, Microsoft अनुबंध परिशिष्ट के रूप में ग्राहकों को BAA प्रदान करता है।
Microsoft वर्तमान में उन ग्राहकों को BAA प्रदान करता है जिनके पास वॉल्यूम लाइसेंसिंग / एंटरप्राइज़ एग्रीमेंट (EA) है, या इन-स्कोप सेवाओं के लिए Microsoft के साथ एक Azure केवल EA नामांकन है। एज़्योर केवल ईए सीट के आकार पर निर्भर नहीं करता है, बल्कि एज़्योर के लिए वार्षिक मौद्रिक प्रतिबद्धता पर है जो ग्राहक को मूल्य निर्धारण पर छूट प्राप्त करने की अनुमति देता है क्योंकि आप मूल्य निर्धारण पर जाते हैं।
BAA पर हस्ताक्षर करने से पहले, ग्राहकों को Azure HIPAA कार्यान्वयन मार्गदर्शन पढ़ना चाहिए। यह दस्तावेज़ उन ग्राहकों की सहायता के लिए विकसित किया गया था जो एआईपीआरई की प्रासंगिक क्षमताओं को समझने के लिए HIPAA और HITECH अधिनियम में रुचि रखते हैं। इच्छित दर्शकों में HIPAA और HITECH अधिनियम के कार्यान्वयन और अनुपालन के लिए जिम्मेदार ग्राहक संगठनों में गोपनीयता अधिकारी, सुरक्षा अधिकारी, अनुपालन अधिकारी और अन्य शामिल हैं। दस्तावेज़ HIPAA अनुरूप अनुप्रयोगों के निर्माण के लिए कुछ सर्वोत्तम प्रथाओं को कवर करता है, और सुरक्षा उल्लंघनों से निपटने के लिए Azure प्रावधानों का विवरण देता है। जबकि Azure में ग्राहक की गोपनीयता और सुरक्षा अनुपालन को सक्षम करने में मदद करने के लिए सुविधाएँ शामिल हैं, ग्राहक HIPAA, HITECH अधिनियम और अन्य लागू कानूनों और विनियमों के साथ Azure अनुपालन के अपने विशेष उपयोग को सुनिश्चित करने के लिए जिम्मेदार हैं,
समझौते पर हस्ताक्षर करने के लिए ग्राहकों को अपने Microsoft खाता प्रतिनिधि से संपर्क करना चाहिए।
आपको अपने क्लाउड प्रदाता (Azure।) के साथ BAA साइन करने की आवश्यकता हो सकती है, अपने अनुपालन प्रतिनिधि से पूछें।
यहाँ Azure HIPAA कार्यान्वयन मार्गदर्शन है ।
एज़्योर को एक तरह से उपयोग करना संभव है जो कि HIPAA और HITECH अधिनियम की आवश्यकताओं का अनुपालन करता है।
Azure VMs, और Azure SQL, और SQL Server इंस्टेंस Azure VMs के भीतर चल रहे हैं, सभी गुंजाइश में हैं और यहाँ समर्थित हैं।
आराम पर डेटा के एन्क्रिप्शन के लिए बिटलॉकर पर्याप्त है। यह एईएस एन्क्रिप्शन का उपयोग करता है जो एचआईपीएए आवश्यकताओं (साथ ही अन्य समान संगठनों की आवश्यकताओं को पूरा करता है) को आराम पर डेटा के एन्क्रिप्शन के लिए संतुष्ट करता है।
इसके अलावा, SQL सर्वर OS ड्राइव पर अनएन्क्रिप्टेड, संवेदनशील डेटा को तब तक स्टोर नहीं करेगा जब तक आप SQL को ऐसा करने के लिए कॉन्फ़िगर नहीं करते ... जैसे कि OS ड्राइव या कुछ और पर रहने के लिए TempDB को कॉन्फ़िगर करना।
अलग-अलग डेटाबेस के भीतर कोशिकाओं / क्षेत्रों / स्तंभों का एन्क्रिप्शन कड़ाई से आवश्यक नहीं है, यह मानते हुए कि आप पहले से ही बाकी तरीकों से डेटा एन्क्रिप्शन के लिए संतुष्ट हैं, जैसे TDE या Bitlocker।
आप Bitlocker एन्क्रिप्शन कुंजी को प्रबंधित करने का विकल्प कैसे चुन सकते हैं, क्योंकि यह TPM चिप के अंदर या रिमूवेबल USB ड्राइव पर नहीं रहेगा क्योंकि आपके पास भौतिक मशीन तक पहुंच नहीं है। (सर्वर रिबूट होने पर हर बार डेटा ड्राइव को अनलॉक करने के लिए मैन्युअल रूप से एक sysadmin होने पर विचार करें।) यह CloudLink जैसी सेवाओं के लिए मुख्य ड्रॉ की तरह है, क्योंकि वे आपके लिए उस पवित्र एन्क्रिप्शन कुंजी का प्रबंधन करते हैं।