Preparazione HIPAA su Adobe Commerce
>Queste informazioni hanno lo scopo di aiutare i clienti di Adobe a rispondere alle loro domande sui servizi compatibili con HIPAA di Adobe. Non si tratta di una consulenza legale. Gli esercenti devono consultare il proprio consulente legale per comprendere i propri obblighi in base all’HIPAA e l’uso e la configurazione appropriati dei prodotti Adobe.
Legge sulla portabilità e responsabilità dell'assicurazione sanitaria (HIPAA)
Il Health Insurance Portability and Accountability Act (HIPAA) è la principale legge federale sulla privacy sanitaria negli Stati Uniti ed è applicato dal Dipartimento della Salute e dei Servizi Umani (HHS). HIPAA si applica a Entità coperte (come fornitori di assistenza sanitaria, assicuratori e stanze di compensazione) e Associati commerciali (come le entità che forniscono servizi alle entità coperte). I requisiti HIPAA sono impostati in tre regole separate: Regola di privacy, Regola di sicurezza e Regola di notifica delle violazioni. Adobe funge da Business Associate per alcuni prodotti, che Adobe classifica come "HIPAA-Ready Services". I dati regolamentati da HIPAA sono denominati Informazioni sanitarie protette o PHI. Il PHI è un sottoinsieme di informazioni sulla salute che (1) è creato o ricevuto da un operatore sanitario, un piano sanitario o un centro di assistenza sanitaria, (2) si riferisce alla salute fisica o mentale o alle condizioni di un individuo passate, presenti o future, alla fornitura di assistenza sanitaria a un individuo, o al pagamento passato, presente o futuro per la fornitura di assistenza sanitaria a un individuo, e (3) identifica l'individuo o in relazione al quale vi è una base ragionevole per credere che le informazioni possano essere utilizzate per identificare l'individuo. Le Regole sulla privacy e sulla sicurezza HIPAA richiedono che un'entità coperta ottenga garanzie scritte da un associato commerciale sotto forma di un Contratto di associazione commerciale (Business Associate Agreement, BAA), che richiedano all'associato commerciale di salvaguardare la privacy e la sicurezza del PHI dellʼentità coperta. Per ulteriori informazioni, vedere Prodotti e servizi HIPAA e Adobe nel Centro protezione di Adobe.
Predisposto per Adobe Commerce HIPAA
L’estensione Adobe Commerce HIPAA-Ready aggiunge ulteriori funzioni e funzionalità alle installazioni di Adobe Commerce che consentono ai commercianti di rispettare i rispettivi obblighi HIPAA.
L'estensione compatibile con HIPAA di Adobe Commerce, magento/hipaa-ee, è disponibile per Adobe Commerce su infrastrutture cloud o progetti Adobe Managed Services. Il processo di installazione compatibile con HIPAA di Adobe Commerce disabilita alcuni servizi e funzionalità nativi per soddisfare i requisiti HIPAA. Consulta Servizi e funzionalità disabilitati.
Questi materiali sono esclusivamente a scopo informativo. La comunicazione di tali informazioni non conferisce al destinatario alcun diritto contrattuale o di altro tipo. Sebbene siano stati compiuti sforzi per garantire l'accuratezza delle informazioni alla data in cui sono state fornite, non viene fornita alcuna dichiarazione che tali informazioni siano esatte e complete. Adobe non si impegna ad aggiornare queste informazioni in base ai cambiamenti della legge o dei prodotti Adobe. Inoltre, questo documento non può essere distribuito ad altre parti oltre al destinatario previsto senza il consenso scritto di Adobe.
Requisiti di sistema
La tabella seguente mostra la compatibilità tra le versioni di Adobe Commerce e l’estensione compatibile con HIPAA:
- L’estensione compatibile con HIPAA è disponibile solo per progetti Adobe Commerce on Cloud o Adobe Commerce Managed Services.
- L'estensione è disponibile come metapacchetto Compositore da
repo.magento.com. - L’accesso alle funzioni e alle funzionalità compatibili con HIPAA richiede il componente aggiuntivo del servizio sanitario per Adobe Commerce.
- Le versioni beta di Adobe Commerce non sono supportate.
Installazione
Prerequisito
- Adobe ha eseguito il provisioning del tuo account Adobe Commerce per accedere all’estensione HIPAA Ready.
- Accedi a repo.magento.com per installare l'estensione. Per generare le chiavi e ottenere i diritti necessari, vedere Ottenere le chiavi di autenticazione.
Installare la versione più recente dell'estensione dei servizi pronti per HIPAA di Adobe (magento/hipaa-ee) in un'istanza che esegue Adobe Commerce versione 2.4.7-p5 o 2.4.6-p3 fino a 2.4.6-p8. L'estensione viene distribuita come metapacchetto del compositore dall'archivio repo.magento.com. Il metapackage include la raccolta di moduli che abilitano le funzionalità HIPAA per un’istanza Adobe Commerce.
-
Sulla workstation locale, passa alla directory del progetto per il progetto Adobe Commerce su infrastruttura cloud.
note note NOTE Per informazioni sulla gestione locale degli ambienti di progetto Commerce, vedere Gestione dei rami con CLI nella Guida utente di Adobe Commerce on Cloud Infrastructure. -
Seleziona il ramo dell’ambiente da aggiornare utilizzando Adobe Commerce Cloud CLI.
code language-shell magento-cloud environment:checkout <environment-id> -
Aggiungere il metapacchetto
magento/hipaa-eealla configurazione del compositore utilizzando l'interfaccia CLI del compositore.code language-shell composer require "magento/hipaa-ee" --no-update -
Aggiornare le dipendenze del pacchetto.
code language-shell composer update "magento/hipaa-ee" -
Aggiungi, esegui il commit e invia il codice aggiornato all'ambiente cloud.
code language-shell git add -A git commit -m "Add HIPAA-Ready Services modules" git push origin <branch-name>Inviando gli aggiornamenti si avvia il processo di distribuzione cloud di Commerce per applicare le modifiche. Controllare lo stato della distribuzione dal registro distribuzione.
Verificare l'installazione
Dopo aver distribuito gli aggiornamenti, verificare che l'estensione Hipaa* sia installata
-
Utilizza SSH per accedere all’ambiente cloud remoto.
code language-shell magento-cloud ssh -
Dalla riga di comando, utilizza Adobe Commerce CLI per verificare lo stato del modulo.
code language-shell bin/magento module:status -
Verificare che i moduli HIPAA siano inclusi nell'elenco dei moduli abilitati:
code language-text List of enabled modules: <truncated for brevity> Magento_HipaaAnalytics Magento_HipaaCheckout Magento_HipaaLogging Magento_HipaaScheduledImportExport Magento_HipaaAdminLogging Magento_HipaaCustomerLogging Magento_HipaaNewsletter Magento_HipaaImportExport Magento_HipaaApiLogging Magento_HipaaSales Magento_HipaaCustomer <truncated for brevity>Tutti i moduli con prefisso
Magento_Hipaadevono trovarsi nella sezione dei moduli abilitati.
Miglioramenti funzionali per la conformità HIPAA
L'estensione magento/hipaa-ee introduce alcune modifiche e miglioramenti al prodotto Commerce di base. Le sezioni seguenti forniscono dettagli su queste modifiche e su come modificano il prodotto di base.
Registri azioni
La registrazione dei controlli è un requisito HIPAA. In Adobe Commerce, la funzione Registri azioni registra ogni modifica apportata da un utente amministratore che lavora nell'archivio. Per soddisfare i requisiti HIPAA per il registro di controllo, la funzione è stata aggiornata per registrare tutte le azioni degli utenti e dei clienti amministratori eseguite tramite l’interfaccia utente di amministrazione e tramite chiamate API.
I registri di azioni acquisiscono anche eventi quando i servizi Adobe accedono ai dati del tuo archivio. Puoi identificare questi eventi filtrando l’azione "Dati inviati all’esterno" nel rapporto Action Logs (Registri azioni).
Rapporto Registri azioni
La griglia del report Registri azioni (System > Registri azioni > Report) è stata modificata per adattarsi alle azioni dei clienti eseguite tramite l'interfaccia utente e l'API di amministrazione.
-
Sono state aggiunte due colonne:
- Source: visualizza la posizione in cui è stata eseguita l'azione.
Valori:Admin UI|Customer UI|REST API|SOAP API|GraphQL API - Tipo client: visualizza il tipo di client.
Valori: Cliente | Amministratore | Integrazione
- Source: visualizza la posizione in cui è stata eseguita l'azione.
-
La colonna Nome utente è stata rinominata Identificatore client
-
Identificatore client: visualizza l'ID di accesso per l'utente che ha eseguito l'azione.
Valori:- un messaggio e-mail se il tipo di client è Cliente
- un nome utente se il tipo di client è Admin
- un nome se il tipo di client è Integrazione
-
-
La colonna Nome azione completo è stata rinominata Destinazione
-
Destinazione: visualizza il nome dell'azione.
Valori:- un endpoint se Source è un’API REST o un’API SOAP
- un nome di query o mutazione se un’API GraphQL
- un nome di azione se si tratta di un’interfaccia utente amministratore o cliente.
-
Configurare le azioni amministratore per la registrazione
Questa funzione non è disponibile perché tutte le azioni devono essere registrate per impostazione predefinita.
Limitazione dei risultati di ricerca dei clienti HIPAA
La funzionalità HIPAA Customer Search Results Restriction di Adobe Commerce garantisce la conformità alle normative HIPAA limitando l’accesso alle informazioni sanitarie protette (PHI) e alle informazioni personali identificabili (PII). Questa funzione limita la possibilità di cercare e visualizzare i record dei clienti in base ai ruoli utente, garantendo che solo gli utenti autorizzati possano accedere a tali informazioni.
Funzioni principali
- Restrizioni ricerca: gli utenti senza i ruoli necessari non possono cercare o visualizzare i record dei clienti.
- Ricerca obbligatoria per l'accesso: a differenza del comportamento predefinito di Adobe Commerce, non è possibile visualizzare le informazioni del cliente senza eseguire una ricerca. In questo modo gli utenti devono conoscere dettagli specifici di un cliente per individuare le proprie informazioni.
- Risultati ricerca limitati: i risultati della ricerca che soddisfano i criteri sono limitati a 10 record, in modo che venga visualizzato solo un numero gestibile di record alla volta.
- Numero minimo di filtri: gli utenti devono applicare un minimo di tre filtri (ad esempio e-mail, cognome e stato) per eseguire una ricerca, assicurandosi che le ricerche siano specifiche e mirate.
- Notifiche filtro: quando le restrizioni di ricerca sono abilitate, agli utenti viene notificato di applicare i filtri per perfezionare i risultati della ricerca.
Configurazione
La configurazione per limitare il numero di clienti nei risultati di ricerca si trova nel pannello di amministrazione in Stores > Configuration > Advanced > Admin > Admin Grids. Questa configurazione è attivata per impostazione predefinita quando è installata l'estensione hipaa-ee.
- Limita numero di clienti nella griglia: questa impostazione consente di abilitare o disabilitare il limite del numero di clienti visualizzato nei risultati della ricerca nella griglia.
- Limite risultati ricerca griglia clienti: questa impostazione specifica il numero massimo di record cliente che è possibile visualizzare nei risultati della ricerca griglia.
Aree funzionali interessate
La funzionalità di restrizione dei risultati della ricerca si applica alle griglie dei clienti nella pagina Ordine di creazione amministratore (Sales > Orders > Create New Order) e nella pagina Clienti (Customers > All Customers).
- I filtri vengono aperti per impostazione predefinita.
- Per eseguire una ricerca, gli utenti devono applicare almeno tre filtri.
- Per impostazione predefinita, i risultati della ricerca sono limitati a 10 record.
- Se ci sono più record che corrispondono ai criteri di ricerca, le notifiche informano gli utenti del limite di risultati e della necessità di perfezionare la ricerca.
- Paginazione griglia non disponibile.
- I risultati della ricerca precedente e i filtri applicati non vengono salvati quando si esce dalla pagina.
La funzionalità di restrizione dei risultati di ricerca si applica anche all'API REST per la ricerca clienti (/V1/customers/search).
- Se non vengono applicati filtri o se i filtri sono insufficienti, l’API restituisce un messaggio di errore per indicare che è necessario il numero di filtri necessario per eseguire una ricerca.
- Gli utenti autorizzati che applicano filtri sufficienti ricevono i risultati API entro il limite specificato.
- Quando i risultati sono limitati, alla risposta viene aggiunto un messaggio che indica il numero totale di record trovati e il limite applicato corrente.
Importazione ed esportazione di feature
I miglioramenti apportati alle funzioni di importazione ed esportazione si concentrano sul miglioramento dell'esperienza amministrativa e sulla fornitura di una migliore visibilità sulle azioni degli utenti.
Registrazione azioni amministrative
Uno dei miglioramenti principali nelle funzioni di importazione ed esportazione è la registrazione avanzata delle azioni amministrative. Questo miglioramento introduce la possibilità di approfondire le attività associate all’importazione e all’esportazione dei dati, contribuendo a migliorare il tracciamento e la verificabilità. Le azioni seguenti vengono ora registrate e riportate nella griglia System> Action Logs>Report:
- Un utente amministratore esegue un’importazione
- Un utente amministratore scarica un file importato
- Un utente amministratore scarica un file di errore
- Richieste di utenti amministratore
- Un utente amministratore scarica un file esportato
- Un utente amministratore pianifica l’esportazione
- Un utente amministratore modifica un’esportazione pianificata
- Un utente amministratore esegue un’esportazione pianificata
- Un utente amministratore elimina un’esportazione pianificata
- Un utente amministratore pianifica un’importazione
- Un utente amministratore modifica un’importazione pianificata
- Un utente amministratore esegue un’importazione pianificata
- Un utente amministratore elimina un’importazione pianificata
- Un utente amministratore esegue un’eliminazione in blocco delle operazioni di importazione/esportazione
Miglioramenti alla visualizzazione e miglioramento del filtraggio e dell’ordinamento
Per consentire agli utenti amministratori di disporre di griglie con maggiori informazioni, il servizio HIPAA-Ready fornisce diversi miglioramenti per visualizzare, filtrare e ordinare i dati.
Cronologia importazione (System > Data Transfer> Import History)
- È stato abilitato il filtro per tutte le colonne ad eccezione di Imported File, Error File, Execution Time e Summary.
Esporta (System > Data Transfer> Export)
- Aggiunta colonna ID.
- È stata aggiunta una colonna Requested At (data e ora in cui è stata richiesta l'esportazione).
- Aggiunta colonna User (username di un amministratore che ha eseguito la richiesta).
- È stata rimossa una colonna Action.
- Il collegamento Download è stato spostato in una colonna File name (come la griglia Cronologia importazione).
- Disabilitata l'azione responsabile dell'eliminazione di un file esportato (per migliorare il tracciamento).
- Ordinamento abilitato per tutte le colonne eccetto File name.
- Attivazione del filtro per tutte le colonne.
Importazioni ed esportazioni pianificate (System > Data Transfer> Scheduled Import/Export)
- Aggiunta colonna ID.
- È stata aggiunta una colonna Scheduled At (la data e ora in cui è stata pianificata l'importazione o l'esportazione).
- È stata aggiunta una colonna User (il nome utente di un utente amministratore che ha pianificato l'importazione o l'esportazione).
Servizi e strumenti compatibili con HIPAA
Questa sezione descrive i servizi Adobe pronti per HIPAA che sono disponibili per l’utilizzo con l’offerta HIPAA per Adobe Commerce. Descrive inoltre gli strumenti che è possibile utilizzare per monitorare i principali controlli di sicurezza e conformità per il negozio.
Servizi Adobe Commerce
La tabella seguente identifica i servizi Adobe Commerce disponibili per l’offerta compatibile con HIPAA. Tali servizi includono, tra l'altro:
Strumenti
Lo strumento Analisi sicurezza per Adobe Commerce consente di monitorare l'archivio per verificare che tutti i controlli di sicurezza richiesti siano attivati e operativi. Oltre ai controlli di sicurezza standard, Adobe ha migliorato lo strumento per visualizzare i controlli specifici HIPAA per i clienti che utilizzano l’offerta HIPAA per Adobe Commerce. I controlli HIPAA nello strumento Security Scan sono progettati per garantire che:
- I moduli di controllo non sono disabilitati
- L'autenticazione a due fattori (2FA) non è disabilitata
- Le funzioni di marketing sono disabilitate
- Tutte le estensioni installate corrispondono a un inserisco nell'elenco Consentiti predefinito per la
- Nessun servizio Adobe non supportato installato
È possibile configurare lo strumento per inviare notifiche e-mail con i dettagli delle analisi pianificate o visualizzare manualmente i report.
Funzioni disattivate
Per soddisfare i requisiti HIPAA, alcune funzioni supportate da Adobe Commerce non sono disponibili o sono disabilitate per impostazione predefinita. I commercianti hanno la possibilità di riattivare o utilizzare queste funzioni a proprio rischio.
Le seguenti funzioni sono disattivate per impostazione predefinita nel modulo HIPAA-readiness. Gli esercenti possono abilitare ognuna di queste funzioni a proprio rischio.
-
E-mail transazionale—SendGrid è disabilitato per impostazione predefinita perché il servizio non è compatibile con HIPAA. Adobe Commerce fornisce un'opzione di integrazione che puoi utilizzare con il tuo account AWS Simple Email Service. Per informazioni dettagliate sulla configurazione, contatta il tuo Customer Technical Account Manager o il servizio di assistenza Adobe Commerce.
-
Pagamento per gli ospiti - Questa funzionalità rappresenta un potenziale rischio per vari aspetti dell'HIPAA, tra cui la registrazione, il controllo degli accessi, l'igiene e la derivazione PHI e potenzialmente altri.
-
Funzione newsletter - Questa funzione è disabilitata per impedire l'utilizzo di PHI in un contesto di marketing.
-
Impostazione avanzata del servizio Reporting. Questa impostazione di configurazione è disabilitata per impedire l'utilizzo di PHI per l'analisi e il reporting.