건강 보험 이동성 및 책임에 관한 법률(HIPAA)은 보호 대상 건강 정보(PHI)의 개인정보 보호 및 보안을 보호하기 위한 국가 표준을 설정하는 미국 법률입니다. 여기에는 해당 엔터티와 해당 비즈니스 어소시에이트가 전자, 문서 및 구두 형식을 통해 PHI 를 사용, 공개, 보호 및 액세스 하는 방법을 규율하는 규칙이 포함되어 있습니다.
HIPAA:
MongoDB 는 비즈니스 어소시에이트 로, 해당 엔터티를 대신하여 PHI의 사용 또는 공개와 관련된 특정 기능 또는 활동을 수행하거나 해당 엔터티에 서비스를 제공하는 엔터티를 의미합니다.
MongoDB의 고객은 일반적으로 PHI를생성, 수신, 유지 관리 또는 전송하는 의료 제공자, 건강 플랜 또는 의료 정보 센터와 같은 해당 엔티티이지만, MongoDB의 고객은 Business Associate일 수도 있습니다.
보호 대상 건강 정보(PHI) 는 이름, 주소, 사회 보장 번호, 의료 기록, 테스트 결과 및 보험 정보를 포함하여 해당 엔티티 또는 비즈니스 제휴사가 보유한 예시 으로 식별 가능한 건강 정보입니다.
HIPAA는 컴플라이언스 위해 다음과 같은 핵심 규칙을 설정합니다.
개인정보보호 규칙: PHI(보호 건강 정보)를 사용하고 공개하는 방법을 관리하고 개인에게 건강 정보에 대한 권리를 부여합니다.
보안 규칙: 해당 엔터티 및 해당 비즈니스 어소시에이트가 개인의 전자 개인 건강 정보(ePHI)를 보호하는 방법을 관리합니다.
위반 알림 규칙: 해당 엔터티 및 해당 비즈니스 어소시에이트가 보안되지 않은 PHI위반 후 알림을 제공하는 방법을 관리합니다.
HIPAA 컴플라이언스 MongoDB, 귀하 및 최종 고객 간의 공동 책임이라는 점을 이해합니다. 다음 섹션에서는 MongoDB Atlas 기능이 이러한 핵심 HIPAA 규칙 컴플라이언스 지원 하는 방법을 설명합니다.
중요
데이터 처리 계약에 대한 정보를 포함하여 MongoDB의 개인정보 및 데이터 보호 프로그램에 대해 자세히 알아보려면 다음을 참조하세요.
MongoDB HIPAA 보안 규칙 컴플라이언스 에 대한 독립적인 평가를 완료했습니다. 독립 개업의 보고서 사본을 얻으려면 다음을 수행합니다.
기존 고객은 고객 Trust Portal을 통해 사본을 요청 수 있습니다.
팀 에 문의하여 BAA(Business Associate Agreement)를 요청 . 자세한 학습 은 MongoDB 보안 센터 의 HIPAA 및 Atlas For Government 페이지를 참조하세요.
개인정보 보호 규칙
MongoDB Atlas 개인정보 보호 규칙의 컴플라이언스 지원 기능을 제공합니다.
개별 액세스 및 기록 수정 권한
개인정보보호 규칙은 개인에게 건강 기록을 검사하고 사본을 얻고 적절한 경우 수정을 요청 수 있는 권리를 포함하여 자신의 건강 정보에 대한 권리를 부여합니다.
다음 MongoDB Atlas 기능은 이 영역에서 컴플라이언스 지원 .
데이터 보존 및 안전한 폐기
개인정보보호 규칙은 PHI 가 더 이상 필요하지 않거나 안전하게 폐기되어야 하는 경우를 포함하여 해당 엔티티가 수명 주기 전반에 걸쳐 PHI 를 보호하는 방법에 대한 표준을 설정합니다.
다음 MongoDB Atlas 아키텍처 센터 문서에서는 이 영역에서 컴플라이언스 지원 Atlas 기능에 대해 설명합니다.
Atlas 백업 지침: 보존 기간 동안 복구 목적으로 데이터 백업을 생성하고, 백업이 수정되거나 삭제되지 않도록 컴플라이언스 정책을 활성화 , 더 이상 필요하지 않은 백업을 안전하게 삭제 .
Atlas 데이터 암호화에 대한 지침: 암호화 기능을 사용하여 삭제되는 시점을 포함하여 라이프사이클 전반에 걸쳐 미사용 PHI, 전송 중 및 사용 중인 PHI를 보호합니다.
최소 필요 기준 (데이터 최소화)
개인정보 보호 규칙의 최소 필수 기준은 해당 엔터티가 사용, 공개 또는 요청의 의도된 목적을 달성하는 데 필요한 최소한의 PHI 만 사용, 공개 및 요청 위해 합리적인 조치를 취해야 한다는 원칙입니다.
다음 MongoDB Atlas 아키텍처 센터 문서에서는 이 영역에서 컴플라이언스 지원 Atlas 기능에 대해 설명합니다.
Atlas 감사 및 로깅 지침:PHI에 대한 액세스 영향 사용자 인증 시도 및 권한 조정과 같은 데이터베이스 이벤트를 모니터링, 기록 및 검토 .
Atlas 데이터 암호화 지침: 클라이언트 사이드 필드 레벨 암호화 (CSFLE) 및 Queryable Encryption과 같은 사용 기술에 암호화 적용하여 민감한 PHI 데이터가 승인된 애플리케이션 구성 요소 및 사용자에게만 노출되도록 제한합니다.
보안 규칙
MongoDB Atlas 보안 규칙의 컴플라이언스 지원 기능을 제공합니다.
암호화 및 전송 보안
보안 규칙은 전자 네트워크를 통해 전송되는 ePHI에 대한 무단 액세스 방지하는 기술적 보안 조치를 구현하는 등 해당 엔터티가 ePHI의 기밀성, 무결성 및 가용성을 보장하는 방법에 대한 표준을 설정합니다.
다음 MongoDB Atlas 아키텍처 센터 문서에서는 이 영역에서 컴플라이언스 지원 Atlas 기능에 대해 설명합니다.
Atlas 데이터 암호화 지침: 전송 중(TLS), 미사용 데이터(AES-256, BYOK, 고객 마스터 키, KMS 또는 TDE), 사용 중 데이터(CSFLE, 무작위 암호화 또는 queryable encryption)를 보장합니다.
Atlas 네트워크 보안 지침: 전송 중 암호화 , IP 액세스 목록, 방화벽 구성, 비공개 엔드포인트 및 네트워크 격리 를 통해 Atlas cluster에 대한 네트워크 액세스 보호하고 전송 중에 ePHI를 보호합니다.
액세스 제어
보안 규칙은 권한이 있는 사람만 ePHI에 액세스 할 수 있도록 규정하고 있습니다.
다음 MongoDB Atlas 아키텍처 센터 문서에서는 이 영역에서 컴플라이언스 지원 Atlas 기능에 대해 설명합니다.
Atlas 인증 지침: IdP를 사용한 연합 인증, AWS IAM 역할 인증, 다단계 인증 (MFA) 등과 같은 인증 메커니즘으로 보안 ID 관리 구현하여 Atlas 데이터베이스에 대한 액세스 제어합니다.
Atlas 권한 부여에 대한 지침: RBAC(역할 기반 액세스 제어)를 통한 보안 액세스 관리 구현하여 권한이 있는 담당자만 특정 작업 기능 및 책임에 따라 ePHI에 액세스 할 수 있도록 합니다.
위반 알림 규칙
MongoDB Atlas 위반 알림 규칙의 컴플라이언스 지원 기능을 제공합니다.
감사 및 정보 시스템 활동 검토
위반 알림 규칙은 해당 엔티티 및 비즈니스 어소시에이트에게 ePHI를 포함하거나 사용하는 정보 시스템에서의 활동을 기록 하고 검사하는 메커니즘을 구현 하도록 요청합니다.
다음 MongoDB Atlas 아키텍처 센터 문서에서는 이 영역에서 컴플라이언스 지원 Atlas 기능에 대해 설명합니다.
Atlas 감사 및 로깅 지침: 사용자 인증 시도 및 권한 조정과 같은 데이터베이스 이벤트를 모니터링, 기록 및 검토.
Atlas 모니터링 및 경고에 대한 지침: 클러스터 상태, 성능, 운영 지표 추적하고 ePHI와 관련된 비정상적인 활동을 나타낼 수 있는 경고를 구성합니다.
또한 Atlas Stream Processing 활용하여 Kafka 주제, Kinesis 및 변경 이벤트(삽입, 업데이트, 삭제) 의 순서가 지정된 스트림 노출하는 네이티브 MongoDB 기능 Atlas Change Streams를 포함한 실시간 데이터 스트림 위에 사용자 지정 데이터 처리 파이프라인을 빌드 할 수 있습니다. 등) MongoDB 컬렉션, 데이터베이스 또는 클러스터에서 사용할 수 있습니다. Atlas Stream Processing 타사 모니터링 및 로깅 도구와 통합하여 ePHI를 프로세스 애플리케이션에 대한 시스템 활동에 대한 포괄적인 보기를 만들 수 있습니다.
위반 알림 및 사고 대응
위반 알림 규칙은 해당 엔터티 및 비즈니스 어소시에이트가 보안되지 않은 PHI 위반에 대한 알림을 제공하는 방법에 대한 표준을 설정합니다.
타사 통합 과 SIEM 도구인 PagerDuty, Microsoft Teams, Prometheus는 경고 라우팅, 통화 중 알림 및 조정된 인시던트 대응 워크플로를 지원.
비상 계획: 고가용성 및 재해 복구
MongoDB Atlas ePHI 가 포함된 시스템을 손상시키는 긴급 상황 또는 기타 이벤트 이벤트 ePHI의 가용성과 복구 가능성을 보장하기 위해 비상 계획을 지원 기능을 제공합니다.
다음 MongoDB Atlas 아키텍처 센터 문서에서는 이 영역에서 컴플라이언스 지원 Atlas 기능에 대해 설명합니다.
Atlas 고가용성을 위한 지침: 가용성 요구 사항을 충족하는 클러스터 구성을 생성하고 자동화된 페일오버 및 데이터 복제 통해 재해로부터 신속하게 복구할 수 있습니다.
Atlas 백업 지침: RPO 및 RTO 목표를 달성하기 위해 Atlas 클러스터의 백업을 생성하고 관리합니다.
Atlas 재해 복구 지침: 중단, 실수로 프로덕션 데이터 삭제 등이 발생할 경우 취해야 할 단계가 포함된 재해 복구 계획을 세웁니다.