Disponibilidade para HIPAA no Adobe Commerce
Estas informações são destinadas a ajudar os clientes do Adobe a responder às suas perguntas sobre o Adobe HIPAA-Ready Services. Não constitui um aconselhamento jurídico. Os comerciantes devem consultar seu próprio serviço jurídico para entender suas obrigações conforme a HIPAA e o uso e a configuração apropriados dos produtos de Adobe.
HIPAA (Health Insurance Portability and Accountability Act, Lei de Portabilidade e Responsabilidade do Seguro de Saúde)
A HIPAA (Health Insurance Portability and Accountability Act, Lei de Portabilidade e Responsabilidade do Seguro de Saúde) é a principal lei federal de privacidade da área de saúde nos Estados Unidos e é aplicada pelo Departamento de Saúde e Serviços Humanos (HHS) dos EUA. A HIPAA se aplica a Entidades Cobertas (como provedores de assistência médica, seguradoras e centros de compensação) e Associados Comerciais (como as entidades que fornecem serviços a entidades cobertas). Os requisitos da HIPAA são definidos em três regras separadas: Regra de privacidade, Regra de segurança e Regra de notificação de violação. O Adobe atua como um Business Associate para determinados produtos, o que o Adobe classifica como "Serviços prontos para HIPAA". Os dados regulamentados pela HIPAA são chamados de Informações de Integridade Protegidas ou PHI. PHI é um subconjunto de informações de saúde que (1) é criado ou recebido por um prestador de cuidados de saúde, plano de saúde ou câmara de compensação de cuidados de saúde, (2) se relaciona com a saúde ou condição física ou mental passada, presente ou futura de um indivíduo, com a prestação de cuidados de saúde a um indivíduo, ou com o pagamento passado, presente ou futuro pela prestação de cuidados de saúde a um indivíduo, e (3) identifica o indivíduo ou a respeito do qual há uma base razoável para acreditar que a informação pode ser usada para identificar o indivíduo. As Regras de Privacidade e Segurança da HIPAA exigem que uma Entidade Coberta obtenha garantias por escrito de um Associado Comercial na forma de um Contrato de Associado Comercial, ou BAA, exigindo que o Associado Comercial proteja a privacidade e a segurança da PHI ʼ Entidade Coberta. Para obter mais informações, consulte Produtos e Serviços da HIPAA e do Adobe no Centro de Confiabilidade do Adobe.
Adobe Commerce HIPAA-Ready
A extensão Adobe Commerce HIPAA-Ready adiciona recursos e funcionalidades adicionais às instalações do Adobe Commerce, permitindo que os comerciantes cumpram com suas respectivas obrigações com a HIPAA.
A extensão HIPAA-Ready da Adobe Commerce, magento/hipaa-ee está disponível para projetos Adobe Commerce na infraestrutura em nuvem ou Adobe Managed Services. O processo de instalação Adobe Commerce HIPAA-Ready desativa alguns serviços e recursos nativos para atender aos requisitos da HIPAA. Consulte Serviços e recursos desabilitados.
Estes materiais são apenas para fins informativos. O fornecimento dessas informações não confere ao destinatário nenhum direito contratual ou de outro tipo. Embora tenham sido envidados esforços para garantir a exatidão das informações à data em que foram fornecidas, não é feita qualquer declaração de que tais informações sejam exatas e completas. A Adobe não assume nenhuma obrigação de atualizar essas informações à medida que a lei ou os produtos de Adobe mudam. Além disso, este documento não deve ser distribuído a nenhuma parte além do destinatário pretendido sem o consentimento por escrito do Adobe.
Requisitos do sistema
O Adobe Commerce deve ser implantado no Adobe Commerce na infraestrutura em nuvem ou no Adobe Commerce Managed Services com a versão 2.4.6-p3 ou posterior (sem versões beta).
Instalação
Pré-requisito
- O Adobe provisionou sua conta do Adobe Commerce para acessar a extensão HIPAA Ready.
- Acesso ao repo.magento.com para instalar a extensão. Para geração de chaves e obtenção dos direitos necessários, consulte Obter suas chaves de autenticação.
Instale a versão mais recente da extensão Adobe HIPAA-Ready Services (magento/hipaa-ee) em uma instância que esteja executando o Adobe Commerce versão 2.4.6-p3 ou posterior. A extensão é entregue como um metapackage de compositor do repositório.magento.com. O metapackage inclui a coleção de módulos que habilitam os recursos HIPAA para uma instância do Adobe Commerce.
-
Na estação de trabalho local, altere para o diretório do projeto do Adobe Commerce na infraestrutura em nuvem.
note note NOTE Para obter informações sobre o gerenciamento local de ambientes de projeto do Commerce, consulte Gerenciamento de ramificações com a CLI no Guia do Usuário do Adobe Commerce na Infraestrutura da Nuvem. -
Faça check-out da ramificação de ambiente para atualizar usando a CLI do Adobe Commerce Cloud.
code language-shell magento-cloud environment:checkout <environment-id> -
Adicionar o metapackage
magento/hipaa-eeà configuração do compositor usando a CLI do compositor.code language-shell composer require "magento/hipaa-ee" --no-update -
Atualizar dependências de pacote.
code language-shell composer update "magento/hipaa-ee" -
Adicione, confirme e envie por push o código atualizado para o ambiente de nuvem.
code language-shell git add -A git commit -m "Add HIPAA-Ready Services modules" git push origin <branch-name>O envio das atualizações inicia o processo de implantação da nuvem do Commerce para aplicar as alterações. Verifique o status da implantação no log de implantação.
Verificar instalação
Depois que as atualizações forem implantadas, verifique se a extensão Hipaa* está instalada
-
Use o SSH para fazer logon no ambiente de nuvem remoto.
code language-shell magento-cloud ssh -
Na linha de comando, use a Adobe Commerce CLI para verificar o status do módulo.
code language-shell bin/magento module:status -
Verifique se os módulos HIPAA estão incluídos na lista de módulos habilitados:
code language-text List of enabled modules: <truncated for brevity> Magento_HipaaAnalytics Magento_HipaaCheckout Magento_HipaaLogging Magento_HipaaScheduledImportExport Magento_HipaaAdminLogging Magento_HipaaCustomerLogging Magento_HipaaNewsletter Magento_HipaaImportExport Magento_HipaaApiLogging <truncated for brevity>Todos os módulos com o prefixo
Magento_Hipaadevem estar na seção de módulos habilitados.
Aprimoramentos de recursos para prontidão para HIPAA
A extensão magento/hipaa-ee apresenta algumas alterações e aprimoramentos ao produto base do Commerce. As seções a seguir fornecem detalhes sobre essas alterações e como elas alteram o produto base.
Logs de ação
O registro de auditoria é um requisito da HIPAA. No Adobe Commerce, o recurso Logs de ação registra todas as alterações feitas por um usuário administrador que trabalha na sua loja. Para atender aos requisitos da HIPAA para o Log de auditoria, o recurso foi atualizado para registrar todas as ações de usuário administrador e cliente executadas por meio da interface do usuário do administrador e por meio de chamadas de API.
Relatório de logs de ação
A grade de relatório Logs de Ação (System > Logs de Ação > Relatório) foi modificada para acomodar as ações do cliente executadas por meio da interface do usuário e da API de Administração.
-
Adição de duas colunas:
- Source: mostra onde a ação foi executada.
Valores:Admin UI/Customer UI/REST API/SOAP API/GraphQL API - Tipo de Cliente: exibe o tipo de cliente.
Valores: Cliente | Admin | Integração
- Source: mostra onde a ação foi executada.
-
Coluna Nome de Usuário renomeada para Identificador de Cliente
-
Identificador do Cliente: Exibe a ID de logon do usuário que executou a ação.
Valores:- um email se o Tipo de cliente for Cliente
- um nome de usuário se o tipo de cliente for Admin
- um nome se o Tipo de cliente for Integração
-
-
A coluna Nome da Ação Completa foi renomeada para Destino
-
Destino: exibe o nome da ação.
Valores:- um endpoint se o Source for uma API REST ou SOAP
- um nome de consulta ou mutação se uma API do GraphQL
- um nome de ação se for uma interface do usuário do administrador ou do cliente.
-
Configurar ações do administrador para fazer logon
Este recurso não está disponível porque todas as ações devem ser registradas por padrão.
Importar e exportar recursos
Os aprimoramentos nos recursos de importação e exportação se concentram em melhorar a experiência administrativa e fornecer maior visibilidade sobre as ações do usuário.
Registro de ação administrativa
Uma das principais melhorias nos recursos de importação e exportação é o registro aprimorado de ações administrativas. Esse aprimoramento apresenta a capacidade de detalhar as atividades associadas à importação e exportação de dados, contribuindo para melhorar o rastreamento e a capacidade de auditoria. As seguintes ações foram registradas e refletidas na grade System> Action Logs>Report:
- Um usuário administrador executa uma importação
- Um usuário administrador baixa um arquivo importado
- Um usuário administrador baixa um arquivo de erro
- Solicitações de um usuário administrador
- Um usuário administrador baixa um arquivo exportado
- Um usuário administrador programa a exportação
- Um usuário administrador edita uma exportação agendada
- Um usuário administrador executa uma exportação agendada
- Um usuário administrador exclui uma exportação agendada
- Um usuário administrador programa uma importação
- Um usuário administrador edita uma importação agendada
- Um usuário administrador executa uma importação agendada
- Um usuário administrador exclui uma importação agendada
- Um usuário administrador executa uma exclusão em massa de operações de importação/exportação
Melhorias na exibição e filtragem e classificação aprimoradas
Para capacitar os usuários administradores com grades mais informativas, o serviço HIPAA-Ready oferece várias melhorias para exibir, filtrar e classificar dados.
Importar histórico (System > Data Transfer> Import History)
- Filtragem habilitada para todas as colunas, exceto para Imported File, Error File, Execution Time e Summary.
Exportar (System > Data Transfer> Export)
- Adicionada uma coluna ID.
- Adição de uma coluna Requested At (data e hora em que a exportação foi solicitada).
- Adição de uma coluna User (nome de usuário de um administrador que fez a solicitação).
- Coluna Action removida.
- O link Download foi movido para uma coluna File name (como a grade Histórico de Importação).
- Desabilitada a ação responsável pela exclusão de um arquivo exportado (para melhorar o rastreamento).
- Classificação habilitada para todas as colunas, exceto File name.
- Filtragem ativada para todas as colunas.
Importações e exportações agendadas (System > Data Transfer> Scheduled Import/Export)
- Adicionada uma coluna ID.
- Adição de uma coluna Scheduled At (a data e hora agendadas da importação ou exportação).
- Adição de uma coluna User (o nome de usuário de um usuário Administrador que agendou a importação ou exportação).
Serviços e recursos desabilitados
Para estar em conformidade com os requisitos da HIPAA, alguns serviços e recursos compatíveis com o Adobe Commerce não estão disponíveis ou estão desativados por padrão. Os comerciantes têm a opção de reativar ou usar esses serviços e recursos por sua conta e risco.
Serviços
-
Serviços da Adobe Commerce—Nenhum dos serviços da Adobe Commerce ou de extensibilidade estão disponíveis na oferta de preparação para HIPAA. Esses serviços incluem, entre outros:
- Live Search
- API Mesh
- App Builder
- Serviço de catálogo
-
Serviço SendGrid — Este serviço está desabilitado por padrão porque o aplicativo não é compatível com HIPAA.
Recursos desativados por padrão
Os recursos a seguir são desativados por padrão no módulo de preparação para HIPAA. Os comerciantes podem ativar qualquer um desses recursos por sua conta e risco.
-
Check-out de convidado—Este recurso apresenta um risco potencial para vários aspectos da HIPAA, incluindo registro, controle de acesso, higiene e linhagem de PHI e possivelmente mais.
-
Recurso de boletim informativo — esse recurso está desabilitado para impedir que o PHI seja usado em um contexto de marketing.
-
Configuração do serviço Relatórios Avançados— Esta configuração está desabilitada para impedir que o PHI seja usado para análise e relatórios.