/ /

HIPAA 法规遵从性

《健康保险流通与责任法案》(HIPAA) 是一部美国法律，为保护受保护健康信息 (PHI) 的隐私和安全制定了国家标准。它包括管理适用实体及其业务伙伴如何以电子、纸质和口头形式使用、披露、保护和提供对 PHI 的访问权限的规则。

根据 HIPAA：

MongoDB是业务伙伴，是指代表适用实体执行涉及使用或披露 PHI 的某些功能或活动或向其提供服务的实体。
MongoDB 的客户通常是创建、接收、维护或传输 PHI 的涵盖实体，例如医疗保健提供者、健康计划或医疗保健信息交换所，但 MongoDB 的客户也可以是业务伙伴。
受保护的健康信息 (PHI) 是指涵盖实体或业务伙伴持有的任何可识别个人身份的健康信息，示例姓名、地址、社会安全号码、医疗记录、测试结果和保险信息等。

HIPAA 制定了以下合规核心规则：

隐私规则：规范如何使用和披露受保护的健康信息 (PHI)，并赋予个人对其健康信息的权利
安全规则：规定适用实体及其业务伙伴必须如何保护个人的电子个人健康信息 (ePHI)
违规通知规则：管理适用实体及其业务伙伴如何在发生不安全的 PHI 违规后提供通知

我们知道，HIPAA合规是MongoDB、您和您的最终客户的共同责任。以下部分介绍MongoDB Atlas功能如何支持您合规这些核心 HIPAA 规则。

重要

要了解有关 MongoDB 隐私及数据保护计划的更多信息，包括有关我们的数据处理协议的信息，请参阅：

MongoDB已完成对其 HIPAA 安全规则合规的独立评估。要获取独立从业者报告的副本：

现有客户可以通过客户数信任门户网站请求副本
潜在客户可以联系MongoDB销售团队请求访问权限

请与我们的销售团队联系，请求业务伙伴协议 (BAA)。要学习；了解更多信息，请参阅MongoDB信任中心的 HIPAA 和Atlas For Government 页面。

隐私规则

MongoDB Atlas提供支持合规隐私规则的功能：

个人访问权和记录更正

隐私规则赋予个人对其健康信息的权利，包括检查和获取其健康记录副本以及在适当情况下请求更正的权利。

以下MongoDB Atlas功能支持该领域的合规：

Atlas用户界面和MongoDB驱动程序允许授权用户安全地连接到MongoDB Atlas部署，并根据您的策略查看、创建、更新或删除包含个人 PHI 的文档。
Atlas 强大的查询功能启用授权用户能够使用丰富的筛选器和聚合功能来查找和检索个人的 PHI。

数据保留和安全销毁

隐私规则规定了适用实体应如何在其整个生命周期中保护 PHI 的标准，包括何时不再需要 PHI 且必须安全处置 PHI。

以下MongoDB Atlas架构中心文章介绍了支持该领域合规的Atlas功能：

Atlas备份指南：在数据保留期内创建数据备份以用于恢复，启用合规策略以防止备份被修改或删除，并在不再需要时安全地删除备份。
Atlas Data Encryption 指南：使用加密功能保护静态、传输中和使用中的 PHI 的整个生命周期（包括删除时）。

最低必要标准（数据最小化）

隐私规则的最低必要标准是指涵盖实体必须采取合理步骤使用、披露和请求实现使用、披露或请求的预期目的所需的最少量 PHI 的原则。

以下MongoDB Atlas架构中心文章介绍了支持该领域合规的Atlas功能：

Atlas审核和日志记录指南：监控、记录和查看数据库事件，例如影响PHI访问权限的用户身份验证尝试和权限调整。
Atlas数据加密指南：使用客户端字段级加密(CSFLE) 和Queryable Encryption等技术进行加密，以限制仅将敏感 PHI 数据暴露给授权的应用程序组件和用户。

安全规则

MongoDB Atlas提供支持安全规则合规的功能：

加密与传输安全

该安全规则规定了适用实体必须如何确保 ePHI 的机密性、完整性和可用性的标准，包括实施技术安全措施，防止未经授权访问权限通过电子网络传输的 ePHI。

以下MongoDB Atlas架构中心文章介绍了支持该领域合规的Atlas功能：

Atlas数据加密指南：确保对传输中 (TLS)、静态（AES-256 、BYOK、集合扫描、 KMS或 TDE）和使用中（CSFLE、随机加密或可查询加密）进行数据加密。
Atlas网络安全指南：通过传输加密、 IP访问权限列表、防火墙配置、私有端点和网络隔离性，保护对Atlas集群的网络访问权限，并在传输过程中保护 ePHI。

访问控制

安全规则要求只有授权人员才能访问权限ePHI。

以下MongoDB Atlas架构中心文章介绍了支持该领域合规的Atlas功能：

Atlas身份验证指南：实施访问权限控制和用户身份验证，通过安全身份管理保护 ePHI，包括支持使用 IdP 的联合身份验证、AWS IAM角色身份验证、多重身份身份验证(MFA) 等。
Atlas授权指南：实施员工安全、信息访问权限管理和分配的安全责任，确保只有授权人员才能根据其特定的作业职能和职责访问权限ePHI。

违规通知规则

MongoDB Atlas提供支持合规违规通知规则的功能：

审核和信息系统活动审核

违规通知规则要求涵盖实体和业务伙伴实现记录和检查包含或使用 ePHI 的信息系统中的活动的机制。

以下MongoDB Atlas架构中心文章介绍了支持该领域合规的Atlas功能：

Atlas审核和日志记录指南：监控、记录和查看数据库事件，例如用户身份验证尝试和权限调整。
Atlas监控和警报指南：跟踪集群运行状况、性能和操作指标，并配置可发现与 ePHI 相关的异常活动的警报。

您还可以利用Atlas Stream Processing在实时数据流之上构建自定义数据处理管道，包括Kafka主题、 Kinesis和Atlas Change Streams，后者是一项原生MongoDB功能，可公开有序的变更事件流（插入、更新、删除）等）。您可以将Atlas Stream Processing与第三方监控和日志记录工具集成，为进程ePHI 的应用程序创建系统活动的全面视图。

违规通知和事件响应

违规通知规则规定了适用实体和业务伙伴应如何在发生不安全的 PHI 违规后提供通知。

与 PagerDuty、 Microsoft Teams 和 Prometheus 等 SIEM 工具的第三方集成支持警报路由、待命通知和协调的事件响应工作流程。

应急计划：高可用性和灾难恢复

MongoDB Atlas提供支持应急计划的功能，以确保在发生紧急情况或其他事件事件ePHI 的可用性和可恢复性。

以下MongoDB Atlas架构中心文章介绍了支持该领域合规的Atlas功能：

Atlas高可用性指南：创建满足可用性需求的集群配置，并通过自动故障转移和数据复制加快从灾难中恢复。
Atlas备份指南：创建和管理Atlas集群的备份，实现 RPO 和 RTO 目标。
Atlas灾难恢复指南：创建灾难恢复计划，说明在遇到中断、意外删除生产数据等情况时要采取的步骤。

后退

GDPR

来年

审核和日志记录