Bien que le choix du type d’hébergement dont votre entreprise a besoin soit assez compliqué en soi, si votre entreprise exige la conformité HIPAA, la question devient beaucoup plus complexe.
L’utilisation de serveurs dédiés est l’option par défaut pour les entreprises qui doivent s’assurer que toutes les réglementations HIPAA sont respectées depuis longtemps. Mais avec la popularité croissante du cloud, en particulier sa flexibilité et évolutivitéde plus en plus d’entreprises ont commencé à se demander si l’environnement cloud pouvait être utilisé avec le même niveau de sécurité et de conformité HIPAA que les serveurs dédiés traditionnels.
La réponse est oui. Mais comme il y a quelques spécificités à prendre en compte, nous devons d’abord examiner ce qu’est la conformité HIPAA et comment elle se rapporte aux serveurs dédiés et cloud.
Qu’est-ce que la conformité HIPAA ?
HIPAA (Health Insurance Portability and Accountability Act) est une loi qui réglemente l’utilisation des PHI (informations de santé protégées) aux États-Unis. PHI fait référence à toute information identifiable sur un patient, de son nom et sa date de naissance à son numéro de sécurité sociale, son adresse, son numéro de téléphone, etc.
Toute entreprise qui gère des PHI doit respecter les réglementations HIPAA, y compris les prestataires de soins de santé, les compagnies d’assurance et les autres entreprises de la chaîne d’approvisionnement des soins de santé. Il est également nécessaire que les entreprises s’assurent que leurs partenaires commerciaux (par exemple, les hébergeurs) respectent également les réglementations HIPAA.
En général, les réglementations HIPAA concernent la confidentialité des données et la sécurité contre les violations. Les entreprises ont des limites strictes sur la façon dont les données PHI peuvent être utilisées et doivent les protéger contre les menaces raisonnablement anticipées.
Alors qu’est-ce que cela signifie pour les serveurs dédiés et cloud ?
Les serveurs dédiés sont-ils conformes à la HIPAA ?
HIPAA ne précise pas quelles sociétés de configuration de serveur particulières doivent utiliser. Cependant, l’utilisation d’un serveur dédié est le moyen le plus simple de satisfaire aux exigences de sécurité HIPAA.
UN serveur dédié fournit un environnement isolé. Par conséquent, votre infrastructure n’est partagée avec personne, ce qui réduit les surfaces d’attaque, facilite la configuration d’un pare-feu sécurisé et aide à contrôler les points d’authentification.
Lorsque vous choisissez un serveur dédié, vous avez le plus de liberté dans le choix du matériel, des logiciels et du système d’exploitation. Vous pouvez également ajouter fonctionnalité cloud pour une évolutivité accrue sans partage.
Le cloud privé est-il conforme à la loi HIPAA ?
Lorsque vous hébergez votre site Web ou votre application dans le cloud, un ensemble de serveurs distants est regroupé pour le calcul et le stockage. Avec un cloud public, cet ensemble de ressources est partagé ; dans un cloud privé, ils ne le sont pas.
La conformité HIPAA est beaucoup plus facile à atteindre sur un nuage privé car il permet un contrôle plus granulaire de l’infrastructure et des fonctions de sécurité. De plus, isoler physiquement l’environnement des autres locataires facilite les audits HIPAA.
Cela dit, tout dans l’environnement de cloud privé n’est pas la responsabilité du fournisseur d’hébergement. Par exemple, ils peuvent s’occuper des mises à jour du matériel, de l’hyperviseur et du système d’exploitation, mais tout ce qui concerne la couche d’application dépend probablement du client.
Habituellement, le fournisseur de cloud privé gère les systèmes de gestion et de support sécurisé :
- Accès physique au centre de données.
- Infrastructure contre les menaces extérieures et cyber-attaques.
- Logiciel contre les acteurs malveillants, les virus, les logiciels espions, rançongicieletc.
Les clients potentiels peuvent demander des audits HIPAA au fournisseur de cloud, ce qui prouverait que les PHI sont protégés dans toutes les fonctions de l’entreprise.
- UN accord d’associé valide (BAA) qui décrit comment les RPS sont protégés.
- Annuel HIPAA la formation du personnel.
- Centre de données de niveau III avec des certifications SSAE qui précisent les mesures de sécurité physique et garanties de disponibilité.
- Pratiques de sécurité logicielle tel que pare-feugestion des journaux, détection d’intrusionantivirus, etc.
- Politiques contre les menaces internes inclure des vérifications d’antécédents, des audits d’accès et des processus d’intégration/de désintégration.
- Protection des donnéescomme le chiffrement au repos, sauvegardes hors siteet la reprise après sinistre avec des tests réguliers.
Alors, avec la réglementation HIPAA en main, devriez-vous opter pour un serveur cloud dédié ou privé ?
Comment choisir un cloud dédié ou privé pour HIPAA
Comme mentionné ci-dessus, HIPAA n’interdit explicitement aucune configuration de serveur particulière. Vous pouvez être conforme à la loi HIPAA même sur un cloud public, mais prouver et garantir une telle conformité serait beaucoup plus difficile et n’est donc pas recommandé.
Ainsi, la question se résume à trouver un excellent fournisseur d’hébergement entièrement conforme à HIPAA, tel que Liquid Web, puis à choisir entre cloud privé ou hébergement dédié en fonction des besoins de votre entreprise.
Cas d’utilisation HIPAA pour l’hébergement dédié
Les meilleurs cas d’utilisation pour un serveur dédié sont :
- Sécurité et configurabilité plus granulaires pour les entreprises qui ont des exigences d’infrastructure très spécifiques.
- Les applications traditionnelles bénéficient de performances rapides mais ne nécessitent aucune fonctionnalité cloud.
Contrairement aux clouds privés, les serveurs dédiés sont moins évolutifs et nécessitent plus d’investissements pour les mises à jour matérielles.
Cas d’utilisation HIPAA pour le cloud privé
À Toile liquidele cloud privé est servi via VMware, répartissant les ressources entre les machines virtuelles et dispose d’outils de gestion pour les contrôler, les déplacer et les développer à partir d’une interface centralisée. Les meilleurs cas d’utilisation pour un cloud privé sont :
- Logiciel de test dans plusieurs environnements.
- Applications de commerce électronique nécessitant une évolutivité et une redondance élevées.
- Consolidation des hébergeurs/fournisseurs.
- Environnements sécurisés et évolutifs pour les entreprises de soins de santé.
Les clouds privés sont quelque peu compliqués à déployer initialement et coûtent plus cher qu’un seul serveur dédié. Cependant, un environnement multi-tenant sur le cloud privé de Liquid Web offre une gestion complète de vos déploiements tout en respectant votre budget.
Devriez-vous passer à un cloud privé ?
Comparant serveurs dédiés et serveurs de cloud privé, nous pouvons voir qu’ils peuvent facilement satisfaire aux exigences HIPAA avec un fournisseur d’hébergement fiable. Cependant, si vous avez besoin d’isolement pour vos données et de la flexibilité et de l’évolutivité du cloud, le cloud privé est le bon choix. Il existe de nombreux plans de cloud privé pour les entreprises de toutes tailles, et vous pouvez ajuster votre échelle à la volée à tout moment sans compromettre la disponibilité.
Contactez-nous chez Liquid Web aujourd’hui. Nos techniciens se feront un plaisir de répondre à toutes vos questions concernant les Clouds privés conformes à la HIPAA et de vous aider à choisir le plus approprié Forfait VMware Private Cloud pour vos besoins d’affaires.