符合HIPAA的特性

重要的

如果您是现有的HIPAA客户，并且您的帐户不在Databricks平台的E2版本上，并且您需要为旧HIPAA支持创建和验证集群，请参见bob体育客户端下载为旧HIPAA支持创建和验证集群．

HIPAA合规性特性要求启用遵从性安全配置文件，它添加了监视代理、强制节点间加密的实例类型、提供了加固的计算映像以及其他特性。有关技术细节，请参见启用遵从性安全配置文件．这是你的责任确认每个工作区都启用了遵从性安全配置文件．

若要使用遵从性安全配置文件，您的Databricks帐户必须包含“增强安全性和遵从性”附加组件。详细信息请参见定价页．

此功能要求您的帐户在企业层。

本文档中讨论的数据平面增强仅适用于AWS帐户中的经典数据平面．额外的安全控制和监控不适用于Serverless计算，用于运行共享中的计算资源无服务器数据平面在Databricks帐户中。例如，这些新控件适用于专业和经典SQL仓库，但不适用于无服务器SQL仓库。

HIPAA概述

1996年的《健康保险可携带和责任法案》(HIPAA)、《经济和临床健康健康信息技术》(HITECH)以及根据HIPAA发布的法规是美国医疗保健法律的一套。除其他条款外，这些法律规定了使用、披露和保护受保护健康信息(PHI)的要求。

HIPAA适用于涉及的实体和业务伙伴创建、接收、维护、传输或访问PHI。当覆盖实体或业务伙伴使用云服务提供商(CSP)(如Databricks)的服务时，CSP将成为HIPAA下的业务伙伴。

HIPAA法规要求涉及的实体及其业务伙伴签订一份称为业务伙伴协议(BAA)的合同，以确保业务伙伴充分保护PHI。除其他外，BAA根据双方之间的关系以及业务伙伴所执行的活动和服务确定业务伙伴所允许和要求的PHI使用和披露。

数据库是否允许在数据库上处理PHI数据?

Databricks允许在签署协议的条件下处理PHI数据。有关更多信息，请联系您的Databricks代表。

在E2上为HIPAA配置您的帐户和工作空间

如果您是现有的HIPAA客户，您的帐户是不在Databricks平台的E2版本:bob体育客户端下载

您必须联系您的Databricks代表将您的帐户升级到平台的E2版本。bob体育客户端下载
请注意，E2平台是一个多租户平台，bob体育客户端下载您选择在E2上部署HIPAA将被视为您放弃合同中与我们在E2上为您提供HIPAA的能力相冲突的任何条款。

在订购时，您可以选择在帐户上的所有工作空间中启用HIPAA合规性功能，或者仅在单个工作空间中启用

若要将帐户或工作空间配置为支持处理HIPAA标准规定的数据，工作空间必须具有遵从性安全配置文件启用。启用它的步骤之一包括联系Databricks代表。您将收到额外的信息和需要签署的协议。请注意，为帐户启用HIPAA合规性特性是永久性的，以后不能删除。

在E2上为HIPAA启用Databricks帐户后，帐户中的工作区对所有人都具有HIPAA遵从性特性E2地区．要部署没有HIPAA遵从性特性的工作空间，必须创建一个单独的Databricks帐户。

重要的

您有责任确保自己遵守所有适用的法律法规。Databricks在线文档中提供的信息不构成法律建议，有关法规遵从性的任何问题应咨询您的法律顾问。
Databricks不支持在E2平台上的HIPAA上使用预览功能来处理PHI，中列出的功能除外bob体育客户端下载预览PHI数据处理支持的特性．

预览PHI数据处理支持的特性

PHI的处理支持以下预览特性:

共同承担HIPAA合规责任

遵守HIPAA有三个主要方面，各有不同的责任。虽然每一方都有许多责任，但下面我们列举了我们的主要责任，以及你们的责任。

本文使用Databricks术语控制飞机和一个数据平面，这是Databricks工作的两个主要部分:

的砖控制飞机包括Databricks在自己的AWS帐户中管理的后端服务。
数据平面是处理数据湖的地方。的经典数据平面包括AWS帐户中的AWS VPC，以及用于处理笔记本、作业和专业或经典SQL仓库的计算资源集群。

重要的

对于启用了HIPAA符合性功能的工作区，数据平面指您自己AWS帐户中的经典数据平面。截至此次发布，Serverless计算在启用了HIPAA遵从性功能的工作空间上禁用功能。

AWS的主要职责包括:

履行其作为您与AWS的BAA项下的业务伙伴的义务。
根据您与AWS签订的合同，为您提供支持HIPAA合规性的EC2机器。
在AWS Nitro实例中提供符合HIPAA要求的静态和传输中的硬件加速加密。
当Databricks发布EC2实例时，删除加密密钥和数据。

Databricks的主要职责包括:

对进出控制平面的传输中的PHI数据进行加密。
对控制平面的PHI数据进行静态加密
将实例类型集限制为AWS Nitro实例类型，该实例类型强制传输中加密和静止加密。有关支持的实例类型的列表，请参阅AWS Nitro System和HIPAA遵从性特性。Databricks在帐户控制台中和通过API限制实例类型。
当您在Databricks中指出要取消配置EC2实例时，取消配置EC2实例，例如自动终止或手动终止，以便AWS可以擦除它们。

主要职责:

配置您的工作区以使用其中任何一种用于托管服务的客户管理密钥或者是存储交互式笔记本结果在客户帐户特性。
不要使用Databricks中的预览功能来处理PHI。但是，支持使用中列出的预览特性预览PHI数据处理支持的特性
遵循安全最佳实践，例如禁用数据平面不必要的出口和使用Databricks秘密特性(或其他类似的功能)来存储访问PHI的访问键。
与AWS签订业务伙伴协议，以覆盖在部署EC2实例的VPC内处理的所有数据。
不要在虚拟机中做违反HIPAA的事情。例如，直接Databricks将未加密的PHI发送到端点。
当您将所有可能包含PHI的数据存储在Databricks平台可能与之交互的位置时，请确保在静止时对其进行加密。bob体育客户端下载这包括在作为工作空间创建的一部分创建的每个工作空间的根S3桶上设置加密设置。您负责确保根S3桶和所有其他数据源的加密(以及执行备份)。
确保所有可能包含PHI的数据在Databricks与任何数据存储位置或从数据平面机器访问的外部位置之间传输时都是加密的。例如，在可能连接到外部数据源的笔记本中使用的任何api都必须在任何传出连接上使用适当的加密。
当您将所有可能包含PHI的数据存储在Databricks平台可能与之交互的位置时，请确保在静止时对其进行加密。bob体育客户端下载这包括在作为工作空间创建的一部分创建的每个工作空间的根S3桶上设置加密设置。
确保对根S3桶和所有其他数据源进行加密(并执行备份)。
确保所有可能包含PHI的数据在Databricks与任何数据存储位置或从数据平面机器访问的外部位置之间传输时都是加密的。例如，在可能连接到外部数据源的笔记本中使用的任何api都必须在任何传出连接上使用适当的加密。

关于客户管理密钥，请注意以下几点:

属性可以为工作区的根S3桶添加客户管理的密钥用于工作空间存储的客户管理密钥特性，但Databricks不要求您这样做。
作为可选的一部分用于工作空间存储的客户管理密钥特性，您可以为EBS卷添加客户管理的密钥，但对于HIPAA合规性来说，这不是必需的。