Preparazione HIPAA su Adobe Commerce

IMPORTANT
Dichiarazione di non responsabilità

Queste informazioni hanno lo scopo di aiutare i clienti Adobi a rispondere alle loro domande sui servizi compatibili con HIPAA di Adobe. Non si tratta di una consulenza legale. Gli esercenti devono consultare il proprio consulente legale per comprendere i propri obblighi ai sensi dell'HIPAA e l'uso e la configurazione appropriati dei prodotti Adobe.
recommendation-more-help

Legge sulla portabilità e responsabilità dell'assicurazione sanitaria (HIPAA)

Il Health Insurance Portability and Accountability Act (HIPAA) è la principale legge federale sulla privacy sanitaria negli Stati Uniti ed è applicato dal Dipartimento della Salute e dei Servizi Umani (HHS). HIPAA si applica a Entità coperte (come fornitori di assistenza sanitaria, assicuratori e stanze di compensazione) e Associati commerciali (come le entità che forniscono servizi alle entità coperte). I requisiti HIPAA sono impostati in tre regole separate: Regola di privacy, Regola di sicurezza e Regola di notifica delle violazioni. Adobe funge da Business Associate per alcuni prodotti, che Adobe classifica come "HIPAA-Ready Services". I dati regolamentati da HIPAA sono denominati Informazioni sanitarie protette o PHI. Il PHI è un sottoinsieme di informazioni sulla salute che (1) è creato o ricevuto da un operatore sanitario, un piano sanitario o un centro di assistenza sanitaria, (2) si riferisce alla salute fisica o mentale o alle condizioni di un individuo passate, presenti o future, alla fornitura di assistenza sanitaria a un individuo, o al pagamento passato, presente o futuro per la fornitura di assistenza sanitaria a un individuo, e (3) identifica l'individuo o in relazione al quale vi è una base ragionevole per credere che le informazioni possano essere utilizzate per identificare l'individuo. Le Regole sulla privacy e sulla sicurezza HIPAA richiedono che un'entità coperta ottenga garanzie scritte da un associato commerciale sotto forma di un Contratto di associazione commerciale (Business Associate Agreement, BAA), che richiedano all'associato commerciale di salvaguardare la privacy e la sicurezza del PHI dellʼentità coperta. Per ulteriori informazioni, vedere HIPAA e Adobe Products and Services nel Centro protezione Adobe.

Predisposto per Adobe Commerce HIPAA

L’estensione Adobe Commerce HIPAA-Ready aggiunge ulteriori funzioni e funzionalità alle installazioni di Adobe Commerce che consentono ai commercianti di rispettare i rispettivi obblighi HIPAA.

L'estensione compatibile con HIPAA di Adobe Commerce, magento/hipaa-ee, è disponibile per Adobe Commerce su infrastrutture cloud o progetti Adobe Managed Services. Il processo di installazione compatibile con HIPAA di Adobe Commerce disabilita alcuni servizi e funzionalità nativi per soddisfare i requisiti HIPAA. Consulta Servizi e funzionalità disabilitati.

NOTE
L’accesso alle funzionalità pronte per l’HIPAA è disponibile solo per i commercianti che hanno acquistato il componente aggiuntivo per il servizio sanitario per Adobe Commerce.

Questi materiali sono esclusivamente a scopo informativo. La comunicazione di tali informazioni non conferisce al destinatario alcun diritto contrattuale o di altro tipo. Sebbene siano stati compiuti sforzi per garantire l'accuratezza delle informazioni alla data in cui sono state fornite, non viene fornita alcuna dichiarazione che tali informazioni siano esatte e complete. Adobe non si assume alcun obbligo di aggiornare queste informazioni in seguito al cambiamento della normativa o dei prodotti Adobe. Inoltre, questo documento non può essere distribuito ad altre parti che non siano il destinatario previsto senza il consenso scritto di Adobe.

Requisiti di sistema

Adobe Commerce deve essere implementato su Adobe Commerce nell’infrastruttura cloud o su Adobe Commerce Managed Services con versione 2.4.6-p3 o successiva (nessuna versione beta).

Installazione

Prerequisito

  • Adobe ha eseguito il provisioning del tuo account Adobe Commerce per accedere all’estensione HIPAA Ready.
  • Accedi a repo.magento.com per installare l'estensione. Per generare le chiavi e ottenere i diritti necessari, vedere Ottenere le chiavi di autenticazione.

Installare la versione più recente dell'estensione HIPAA-Ready Services di Adobe (magento/hipaa-ee) in un'istanza che esegue Adobe Commerce versione 2.4.6-p3 o successiva. L'estensione viene distribuita come metapacchetto del compositore dall'archivio repo.magento.com. Il metapackage include la raccolta di moduli che abilitano le funzionalità HIPAA per un’istanza Adobe Commerce.

  1. Sulla workstation locale, passa alla directory del progetto per il progetto Adobe Commerce su infrastruttura cloud.

    note note
    NOTE
    Per informazioni sulla gestione locale degli ambienti di progetto Commerce, vedere Gestione dei rami con CLI nella Guida utente di Adobe Commerce on Cloud Infrastructure.
  2. Estrai il ramo dell’ambiente da aggiornare utilizzando Adobe Commerce Cloud CLI.

    code language-shell
    magento-cloud environment:checkout <environment-id>
    
  3. Aggiungere il metapacchetto magento/hipaa-ee alla configurazione del compositore utilizzando l'interfaccia CLI del compositore.

    code language-shell
    composer require "magento/hipaa-ee" --no-update
    
  4. Aggiornare le dipendenze del pacchetto.

    code language-shell
    composer update "magento/hipaa-ee"
    
  5. Aggiungi, esegui il commit e invia il codice aggiornato all'ambiente cloud.

    code language-shell
    git add -A
    git commit -m "Add HIPAA-Ready Services modules"
    git push origin <branch-name>
    

    Inviando gli aggiornamenti si avvia il processo di distribuzione cloud di Commerce per applicare le modifiche. Controllare lo stato della distribuzione dal registro distribuzione.

Verificare l'installazione

Dopo aver distribuito gli aggiornamenti, verificare che l'estensione Hipaa* sia installata

  1. Utilizza SSH per accedere all’ambiente cloud remoto.

    code language-shell
    magento-cloud ssh
    
  2. Dalla riga di comando, utilizza Adobe Commerce CLI per verificare lo stato del modulo.

    code language-shell
    bin/magento module:status
    
  3. Verificare che i moduli HIPAA siano inclusi nell'elenco dei moduli abilitati:

    code language-text
    List of enabled modules:
    <truncated for brevity>
    Magento_HipaaAnalytics
    Magento_HipaaCheckout
    Magento_HipaaLogging
    Magento_HipaaScheduledImportExport
    Magento_HipaaAdminLogging
    Magento_HipaaCustomerLogging
    Magento_HipaaNewsletter
    Magento_HipaaImportExport
    Magento_HipaaApiLogging
    <truncated for brevity>
    

    Tutti i moduli con prefisso Magento_Hipaa devono trovarsi nella sezione dei moduli abilitati.

Miglioramenti funzionali per la conformità HIPAA

L'estensione magento/hipaa-ee introduce alcune modifiche e miglioramenti al prodotto Commerce di base. Le sezioni seguenti forniscono dettagli su queste modifiche e su come modificano il prodotto di base.

Registri azioni

La registrazione dei controlli è un requisito HIPAA. In Adobe Commerce, la funzione Registri azioni registra ogni modifica apportata da un utente amministratore che lavora nell'archivio. Per soddisfare i requisiti HIPAA per il registro di controllo, la funzione è stata aggiornata per registrare tutte le azioni degli utenti e dei clienti amministratori eseguite tramite l’interfaccia utente di amministrazione e tramite chiamate API.

Rapporto Registri azioni

La griglia del report Registri azioni (System > Registri azioni > Report) è stata modificata per adattarsi alle azioni dei clienti eseguite tramite l'interfaccia utente e l'API di amministrazione.

  1. Sono state aggiunte due colonne:

    • Source: visualizza la posizione in cui è stata eseguita l'azione.
      Valori: Admin UI / Customer UI / REST API / SOAP API / GraphQL API
    • Tipo client: visualizza il tipo di client.
      Valori: Cliente | Amministratore | Integrazione
  2. La colonna Nome utente è stata rinominata Identificatore client

    • Identificatore client: visualizza l'ID di accesso per l'utente che ha eseguito l'azione.
      Valori:

      • un messaggio e-mail se il tipo di client è Cliente
      • un nome utente se il tipo di client è Admin
      • un nome se il tipo di client è Integrazione
  3. La colonna Nome azione completo è stata rinominata Destinazione

    • Destinazione: visualizza il nome dell'azione.
      Valori:

      • un endpoint se Source è un’API REST o un’API SOAP
      • un nome di query o mutazione se un’API GraphQL
      • un nome di azione se si tratta di un’interfaccia utente amministratore o cliente.

Configurare le azioni amministratore per la registrazione

Questa funzione non è disponibile perché tutte le azioni devono essere registrate per impostazione predefinita.

Importazione ed esportazione di feature

I miglioramenti apportati alle funzioni di importazione ed esportazione si concentrano sul miglioramento dell'esperienza amministrativa e sulla fornitura di una migliore visibilità sulle azioni degli utenti.

NOTE
Questi miglioramenti di non modificano la logica di base per l'importazione e l'esportazione, ma estendono la funzionalità per offrire una registrazione più completa e una migliore attribuzione dei dati. Le funzionalità fondamentali di importazione ed esportazione rimangono invariate. Gli utenti possono continuare a utilizzare le funzioni e i flussi di lavoro esistenti senza interruzioni.

Registrazione azioni amministrative

Uno dei miglioramenti principali nelle funzioni di importazione ed esportazione è la registrazione avanzata delle azioni amministrative. Questo miglioramento introduce la possibilità di approfondire le attività associate all’importazione e all’esportazione dei dati, contribuendo a migliorare il tracciamento e la verificabilità. Le azioni seguenti vengono ora registrate e riportate nella griglia System> Action Logs>Report:

Tipo
Azioni
Importa
  • Un utente amministratore esegue un’importazione
  • Un utente amministratore scarica un file importato
  • Un utente amministratore scarica un file di errore
Esporta
  • Richieste di utenti amministratore
  • Un utente amministratore scarica un file esportato
Importazioni/esportazioni programmate
  • Un utente amministratore pianifica l’esportazione
  • Un utente amministratore modifica un’esportazione pianificata
  • Un utente amministratore esegue un’esportazione pianificata
  • Un utente amministratore elimina un’esportazione pianificata
  • Un utente amministratore pianifica un’importazione
  • Un utente amministratore modifica un’importazione pianificata
  • Un utente amministratore esegue un’importazione pianificata
  • Un utente amministratore elimina un’importazione pianificata
  • Un utente amministratore esegue un’eliminazione in blocco delle operazioni di importazione/esportazione

Miglioramenti alla visualizzazione e miglioramento del filtraggio e dell’ordinamento

Per consentire agli utenti amministratori di disporre di griglie con maggiori informazioni, il servizio HIPAA-Ready fornisce diversi miglioramenti per visualizzare, filtrare e ordinare i dati.

Cronologia importazione (System > Data Transfer> Import History)

  • È stato abilitato il filtro per tutte le colonne ad eccezione di Imported File, Error File, Execution Time e Summary.

Esporta (System > Data Transfer> Export)

  • Aggiunta colonna ID.
  • È stata aggiunta una colonna Requested At (data e ora in cui è stata richiesta l'esportazione).
  • Aggiunta colonna User (username di un amministratore che ha eseguito la richiesta).
  • È stata rimossa una colonna Action.
  • Il collegamento Download è stato spostato in una colonna File name (come la griglia Cronologia importazione).
  • Disabilitata l'azione responsabile dell'eliminazione di un file esportato (per migliorare il tracciamento).
  • Ordinamento abilitato per tutte le colonne eccetto File name.
  • Attivazione del filtro per tutte le colonne.

Importazioni ed esportazioni pianificate (System > Data Transfer> Scheduled Import/Export)

  • Aggiunta colonna ID.
  • È stata aggiunta una colonna Scheduled At (la data e ora in cui è stata pianificata l'importazione o l'esportazione).
  • È stata aggiunta una colonna User (il nome utente di un utente amministratore che ha pianificato l'importazione o l'esportazione).

Servizi e funzionalità disattivati

Per soddisfare i requisiti HIPAA, alcuni servizi e funzionalità supportati da Adobe Commerce non sono disponibili o sono disabilitati per impostazione predefinita. I commercianti hanno la possibilità di riattivare o utilizzare questi servizi e funzioni a proprio rischio.

Servizi

  • Servizi Adobe Commerce: nessuno dei servizi Adobe Commerce o dei servizi di estendibilità è disponibile nell'offerta compatibile con HIPAA. Tali servizi includono, tra l'altro:

    • Live Search
    • Mesh API
    • App Builder
  • E-mail transazionaleSendGrid è disabilitato per impostazione predefinita perché il servizio non è compatibile con HIPAA. Adobe Commerce fornisce un'opzione di integrazione che puoi utilizzare con il tuo account AWS Simple Email Service. Per informazioni dettagliate sulla configurazione, contatta il tuo Customer Technical Account Manager o il servizio di assistenza Adobe Commerce.

Funzioni disattivate per impostazione predefinita

Le seguenti funzioni sono disattivate per impostazione predefinita nel modulo HIPAA-readiness. Gli esercenti possono abilitare ognuna di queste funzioni a proprio rischio.

  • Pagamento per gli ospiti - Questa funzionalità rappresenta un potenziale rischio per vari aspetti dell'HIPAA, tra cui la registrazione, il controllo degli accessi, l'igiene e la derivazione PHI e potenzialmente altri.

  • Funzione newsletter - Questa funzione è disabilitata per impedire l'utilizzo di PHI in un contesto di marketing.

  • Impostazione avanzata del servizio Reporting: questa impostazione di configurazione è disabilitata per impedire l'utilizzo di PHI per l'analisi e il reporting.

31746fd0-1ead-45b5-9192-1aaf582c5f66