符合HIPAA的特性

HIPAA概述

1996年的《健康保险可携带和责任法案》(HIPAA)、《经济和临床健康健康信息技术》(HITECH)以及根据HIPAA发布的法规是美国医疗保健法律的一套。除其他条款外，这些法律规定了使用、披露和保护受保护健康信息(PHI)的要求。

HIPAA适用于涉及的实体和业务伙伴创建、接收、维护、传输或访问PHI。当覆盖实体或业务伙伴使用云服务提供商(CSP)(如Databricks)的服务时，CSP将成为HIPAA下的业务伙伴。

HIPAA法规要求涉及的实体及其业务伙伴签订一份称为业务伙伴协议(BAA)的合同，以确保业务伙伴充分保护PHI。除其他外，BAA根据双方之间的关系以及业务伙伴所执行的活动和服务确定业务伙伴所允许和要求的PHI使用和披露。

数据库是否允许在数据库上处理PHI数据?

Databricks允许在签署协议的条件下处理PHI数据。有关更多信息，请联系您的Databricks代表。

在谷歌Cloud上为HIPAA配置帐户和工作空间

谷歌云平台上的HIPAA合规性功能在帐户级别启用。bob体育客户端下载

如果您有谷歌云帐户，而您的帐户未启用HIPAA，请联系Databricks代表将您的帐户升级为包含HIPAA合规性功能。请注意，为帐户启用HIPAA合规性特性是永久性的，以后不能删除。

在谷歌Cloud上为HIPAA启用Databricks帐户后，帐户中的工作区将具有所有HIPAA合规性特性地区．要部署没有HIPAA遵从性特性的工作空间，必须创建一个单独的Databricks帐户。

预览PHI数据处理支持的特性

PHI的处理支持以下预览特性:

• 存储交互式笔记本结果在客户帐户．

• SCIM供应

• 集群政策

• 交付和访问计费使用日志

• 环境变量中的秘密路径

共同承担HIPAA合规责任

遵守HIPAA有三个主要方面，各有不同的责任。虽然每一方都有许多责任，但下面我们列举了我们的主要责任，以及你们的责任。

本文使用Databricks术语控制飞机和一个数据平面，这是Databricks工作的两个主要部分:

• 的砖控制飞机包括Databricks在自己的谷歌云帐户中管理的后端服务。

• 数据平面是处理数据湖的地方。的数据平面包括您的谷歌Cloud帐户中的VPC和用于处理您的笔记本和作业的计算资源集群。

谷歌的主要职责包括:

• 与谷歌一起履行其作为BAA下的商业伙伴的义务。

• 根据您与谷歌Cloud的合同，为您提供支持HIPAA合规性的虚拟机。

• 在GKE集群中提供符合HIPAA要求的静态加密和传输加密。

• 当Databricks释放虚拟机实例时，删除加密密钥和数据。

Databricks的主要职责包括:

• 对进出控制平面的传输中的PHI数据进行加密。

• 对控制平面的PHI数据进行静态加密

• 当您在“数据库”中指定要取消发放的虚拟机实例时，例如自动终止或手动终止，以便谷歌Cloud可以将其擦除。

主要职责:

• 未经我们书面许可，请勿使用Databricks内的预览功能来处理PHI。但是，支持使用中列出的预览特性预览PHI数据处理支持的特性．

• 遵循安全最佳实践，例如禁用数据平面不必要的出口和使用Databricks秘密特性(或其他类似的功能)来存储访问PHI的访问键。

• 与谷歌Cloud签订业务伙伴协议，覆盖虚拟机实例所在VPC内处理的所有数据。

• 不要在虚拟机中做违反HIPAA的事情。例如，直接Databricks将未加密的PHI发送到端点。

• 当您将所有可能包含PHI的数据存储在Databricks平台可能与之交互的位置时，请确保在静止时对其进行加密。bob体育客户端下载您负责确保Databricks在您的帐户中为每个工作区和所有其他数据源创建的存储区加密(以及执行备份)。

• 确保所有可能包含PHI的数据在Databricks与任何数据存储位置或从数据平面机器访问的外部位置之间传输时都是加密的。例如，在可能连接到外部数据源的笔记本中使用的任何api都必须在任何传出连接上使用适当的加密。

• 当您将所有可能包含PHI的数据存储在Databricks平台可能与之交互的位置时，请确保在静止时对其进行加密。bob体育客户端下载

• 确保对工作区的存储桶和所有其他数据源进行加密(以及执行备份)。

• 确保所有可能包含PHI的数据在Databricks与任何数据存储位置或从数据平面机器访问的外部位置之间传输时都是加密的。例如，在可能连接到外部数据源的笔记本中使用的任何api都必须在任何传出连接上使用适当的加密。