recurso de conformidade HIPAA

Visualização

A capacidade de os administradores adicionarem recursos de Enhanced Security e compliance é um recurso no Public Preview. O perfil de segurança compliance e o suporte aos padrões compliance estão geralmente disponíveis (GA).

O Databricks depende do recurso integrado do GKE para impor criptografia em repouso e criptografia em trânsito dentro de clusters.

Esse recurso exige que o site workspace esteja no nível Premium preços.

Certifique-se de que informações confidenciais nunca sejam inseridas em campos de entrada definidos pelo cliente, como nomes de workspace, nomes de clusters e nomes de Job.

Visão geral da HIPAA

O Health Insurance Portability and Accountability Act de 1996 (HIPAA), o Health information tecnología for Economic and Clinical Health (HITECH) e as regulamentações emitidas sob o HIPAA são um conjunto de leis de saúde dos EUA. Entre outros dispositivos, essas leis estabelecem requisitos para o uso, a divulgação e a proteção de informações de saúde protegidas (PHI).

A HIPAA aplica-se a entidades cobertas e parceiros de negócios que criam, recebem, mantêm, transmitem ou acessam PHI. Quando uma entidade coberta ou parceiro comercial contrata os serviços de um provedor de serviços cloud (CSP), como Databricks, o CSP se torna um parceiro comercial sob a HIPAA.

Os regulamentos da HIPAA exigem que as entidades cobertas e seus parceiros de negócios celebrem um contrato chamado Acordo de Associado de Negócios (BAA) para garantir que os parceiros de negócios protejam as PHI adequadamente. Entre outras coisas, um BAA estabelece os usos e divulgações permitidos e exigidos de PHI pelo parceiro de negócios, com base no relacionamento entre as partes e nas atividades e serviços executados pelo parceiro de negócios.

O Databricks permite o processamento de dados PHI no Databricks?

A Databricks permite o processamento de dados PHI se o senhor tiver um contrato BAA com a Databricks. Entre em contato com a equipe da Databricks account para obter mais informações. É de sua responsabilidade, antes de processar dados PHI, ter um contrato BAA com a Databricks.

Habilitar o HIPAA em um espaço de trabalho

Os recursos compliance HIPAA na plataforma clouds do Google são ativados no nível da account .

Se o senhor tiver um Google Clouds account e seu account não estiver habilitado para HIPAA, entre em contato com a equipe da Databricks account para atualizar seu account e incluir o recurso HIPAA compliance. Observe que a ativação do recurso HIPAA compliance para um account é permanente.

Depois que sua account do Databricks for habilitada para HIPAA nas clouds do Google, workspace na account terá recurso compliance HIPAA para todas as regiões. Para implementar um workspace sem recurso compliance HIPAA, você deve criar uma account separada do Databricks.

Importante

• Você é totalmente responsável por garantir sua própria compliance com todas as leis e regulamentos aplicáveis. As informações fornecidas na documentação on-line do Databricks não constituem aconselhamento jurídico e você deve consultar seu consultor jurídico para qualquer dúvida sobre compliance regulamentar.

• O Databricks não suporta o uso do recurso preview para o processamento de PHI na HIPAA na plataforma clouds do Google, com exceção dos recursos listados em Preview recurso que são suportados para processamento de dados PHI.

Recurso de visualização com suporte para processamento de dados PHI

Os seguintes recursos de visualização são suportados para processamento de PHI:

• Provisionamento SCIM

• Caminhos secretos na variável de ambiente

• Filtrando dados confidenciais da tabela com filtros de linha e máscaras de coluna

• Federação lakehouse para Redshift

• Pipeline DLT habilitado para o Unity Catalog

• Databricks Assistant

• Suporte a Scala para clusters compartilhados

Responsabilidade compartilhada de conformidade com HIPAA

Cumprir com HIPAA tem três áreas principais, com diferentes responsabilidades. Embora cada parte tenha inúmeras responsabilidades, abaixo enumeramos key responsabilidades nossas, juntamente com as suas responsabilidades.

Estes artigos usam a terminologia do plano de controle do Databricks e um planocompute , que são duas partes principais de como o Databricks funciona:

• O plano de controle do Databricks inclui o serviço de backend que o Databricks gerencia em sua própria do clouds account Google.

• O plano compute é onde o seu data lake é processado. O plano clássico compute inclui um VPC em seu Google cloud account, e clusters de compute recurso para processar seu Notebook, Job e armazém SQL profissional ou clássico.

  Importante

  Para o espaço de trabalho com HIPAA compliance recurso ativado, o planocompute refere-se ao plano clássico compute em seu próprio AWS account. A partir desta versão, serverless compute recurso está desativado em um workspace com HIPAA compliance recurso ativado.

key responsabilidades do Google incluem:

• Cumprir suas obrigações como parceiro comercial sob seu BAA com o Google.

• Forneça máquinas virtuais sob seu contrato com clouds do Google compliance com HIPAA.

• Forneça criptografia em repouso e em trânsito nos clusters do GKE que seja adequada à HIPAA.

• Exclua key de criptografia e os dados quando o Databricks liberar as instâncias de VM.

key responsabilidades do Databricks incluem:

• Criptografe os dados PHI em trânsito que são transmitidos de ou para o plano de controle.

• Criptografar dados PHI em repouso no plano de controle

• Desprovisione instâncias de VM quando você indicar no Databricks que elas serão desprovisionadas, por exemplo, encerramento automático ou encerramento manual, para que clouds do Google possam apagá-las.

key responsabilidades suas:

• Não use o recurso de visualização no Databricks para processar PHI sem nossa permissão por escrito. No entanto, é possível usar o recurso de visualização listado em Recurso de visualização que é suportado para processamento de dados PHI.

• Siga as melhores práticas de segurança , como desabilitar a saída desnecessária do plano compute e usar o recurso de segredos do Databricks (ou outra funcionalidade semelhante) para armazenar key de acesso que fornece acesso a PHI.

• Celebrar um contrato de parceria comercial com clouds do Google para cobrir todos os dados processados dentro da VPC onde as instâncias de VM são implantadas.

• Não faça algo em uma máquina virtual que seja uma violação do HIPAA. Por exemplo, direcione Databricks para enviar PHI não criptografado para um endpoint.

• Certifique-se de que todos os dados que possam conter PHI sejam criptografados em repouso ao armazená-los em locais com os quais a plataforma Databricks possa interagir. Você é responsável por garantir a criptografia (bem como por realizar backups) dos buckets que o Databricks cria em sua account para cada espaço de trabalho e todas as outras fontes de dados.

• Certifique-se de que todos os dados que possam conter PHI sejam criptografados em trânsito entre Databricks e qualquer um dos seus locais de armazenamento de dados ou locais externos que você acessa de uma máquina de plano compute . Por exemplo, quaisquer APIs usadas em um Notebook que possa se conectar a fontes de dados externas deverão usar criptografia apropriada em quaisquer conexões de saída.

• Certifique-se de que todos os dados que possam conter PHI sejam criptografados em repouso ao armazená-los em locais com os quais a plataforma Databricks possa interagir.

• Garanta a criptografia (bem como a realização de backups) dos buckets do seu workspacee de todas as outras fontes de dados.

• Certifique-se de que todos os dados que possam conter PHI sejam criptografados em trânsito entre Databricks e qualquer um dos seus locais de armazenamento de dados ou locais externos que você acessa de uma máquina de plano compute . Por exemplo, quaisquer APIs usadas em um Notebook que possa se conectar a fontes de dados externas deverão usar criptografia apropriada em quaisquer conexões de saída.