HIPAA合规

HIPAA和后来通过的HITECH法案,通过卫生和人类服务部建立了一套管理受保护健康信息(PHI)处理的隐私和安全规则。在这些规则下,“覆盖实体”1,以满足一定的安全性和数据要求,以保证PHI的安全。2使用第三方实体(如服务提供商)的覆盖实体被定义为“业务伙伴”,这些第三方实体将“创建、接收、维护或传输”PHI,并代表该覆盖实体提供功能、活动或服务。在大多数情况下,任何业务伙伴必须与被覆盖实体签订业务伙伴协议(BAA)。

我们的客户的安全和隐私是我们的Nutanix框架桌面服务(DaaS)平台的关键租户之一。我们的安全和合规团队,在Nutanix法律部门的协调下,已经确定了必要的部署模型、职责和行动,Nutanix的被覆盖实体或业务伙伴必须遵循,以便Nutanix执行BAAs。

下面描述的框架的建筑设计要求是Nutanix进入BAA所必需的。

参考文献

1

“覆盖实体”是指“医疗保健计划、医疗保健提供商或医疗保健结算所”。请注意,业务伙伴可能也有需要遵守这些要求的下游业务伙伴(例如,AWS作为承载SaaS应用程序的平台)。

2

https://www.hhs.gov/hipaa/for-professionals/privacy/laws-regulations/index.html有关受保护的健康信息的定义。

部署要求

  • 覆盖实体可以使用框架支持的公共云平台或本地的Nutanix基础设施。公共云框架部署必须利用自带(BYO)基础设施能力。

  • 在部署Frame时,覆盖实体必须利用完整的私有网络配置选项。任何进入frame管理的工作负载虚拟机的入口和从工作负载虚拟机的出口都必须通过客户的安全设备进行控制。

  • 如果适用,框架部署可以使用企业概要文件,但不可以使用基本概要文件。

  • 被覆盖的实体必须提供他们自己的基于saml2的身份提供者(IdP)。这些实体可能不会使用my.nutanix.com或Frame(内置)IdP作为身份提供者。

  • 对PHI的用户授权必须由覆盖实体的应用程序强制执行。这些实体可能不依赖于Frame的基于角色的访问控制(RBAC)来决定哪些用户可以访问PHI。

  • 必须支持Nutanix访问禁用在客户实体级别。Nutanix支持人员将无法访问任何帐户,他们的配置,活动日志/报告,虚拟桌面/应用程序,或覆盖实体的框架管理基础设施中的数据。

  • 应用程序图标和背景图像不得包含任何受保护的健康信息。

  • 覆盖实体可能不使用持久桌面特性或框架实用程序服务器来存储PHI。

关于ePHI数据存储和处理的说明

覆盖实体不能在nutanix拥有/托管的基础设施上存储或处理ePHI。

客户需求

与所有云服务一样,云服务提供商和最终客户之间也有共同的责任。客户(覆盖实体)支持HIPAA要求的责任包括:

  • 客户负责其环境和工作负载的策略控制和HIPAA符合性。

  • 如上一节所述,客户必须利用Frame的自带(BYO)基础设施功能:

    • 基于Nutanix AHV基础设施或

    • 公共IaaS提供商云帐户(并与其IaaS提供商签订业务合作协议)

  • 必须监视DaaS工作负载和支持网络基础设施。

  • 客户负责自己的DaaS工作负载配置和安全性。

  • 它们自己的IaaS提供者配置的安全性和监视。

  • 客户必须实现认证和授权之前允许用户访问HIPAA数据/PHI。

  • 必须配置Frame工作负载和支持基础设施,以满足可用性要求。

  • 客户负责实现控制对ePHI数据访问所必需的所有技术和管理控制。

  • 必须确保收集和保留ePHI访问的审计日志。

  • 客户必须限制提供给Nutanix的云凭据,以确保Nutanix不能访问ePHI数据。

  • 客户有责任与Nutanix签订商业伙伴协议(BAA)。

BAA范围

Nutanix将只进入BAAs范围内的云服务和支持基础设施。这些业务关联协议的范围将不包括客户DaaS工作负载环境。所涵盖的实体负责与托管其DaaS工作负载的云或数据中心服务提供商独立地进入BAA。请参考下面的链接,了解有关目前支持的云提供商的BAAs的更多信息: