Disponibilidade para HIPAA no Adobe Commerce
Estas informações são destinadas a ajudar os clientes da Adobe a responder às suas perguntas sobre os serviços prontos para a HIPAA da Adobe. Não constitui um aconselhamento jurídico. Os comerciantes devem consultar seu próprio departamento jurídico para entender suas obrigações conforme a HIPAA e o uso e a configuração apropriados dos produtos da Adobe.
HIPAA (Health Insurance Portability and Accountability Act, Lei de Portabilidade e Responsabilidade do Seguro de Saúde)
A HIPAA (Health Insurance Portability and Accountability Act, Lei de Portabilidade e Responsabilidade do Seguro de Saúde) é a principal lei federal de privacidade da área de saúde nos Estados Unidos e é aplicada pelo Departamento de Saúde e Serviços Humanos (HHS) dos EUA. A HIPAA se aplica a Entidades Cobertas (como provedores de assistência médica, seguradoras e centros de compensação) e Associados Comerciais (como as entidades que fornecem serviços a entidades cobertas). Os requisitos da HIPAA são definidos em três regras separadas: Regra de privacidade, Regra de segurança e Regra de notificação de violação. A Adobe atua como um Business Associate para determinados produtos, que a Adobe classifica como "Serviços prontos para a HIPAA". Os dados regulamentados pela HIPAA são chamados de Informações de Integridade Protegidas ou PHI. PHI é um subconjunto de informações de saúde que (1) é criado ou recebido por um prestador de cuidados de saúde, plano de saúde ou câmara de compensação de cuidados de saúde, (2) se relaciona com a saúde ou condição física ou mental passada, presente ou futura de um indivíduo, com a prestação de cuidados de saúde a um indivíduo, ou com o pagamento passado, presente ou futuro pela prestação de cuidados de saúde a um indivíduo, e (3) identifica o indivíduo ou a respeito do qual há uma base razoável para acreditar que a informação pode ser usada para identificar o indivíduo. As Regras de Privacidade e Segurança da HIPAA exigem que uma Entidade Coberta obtenha garantias por escrito de um Associado Comercial na forma de um Contrato de Associado Comercial, ou BAA, exigindo que o Associado Comercial proteja a privacidade e a segurança da PHI ʼ Entidade Coberta. Para obter mais informações, consulte Produtos e serviços da HIPAA e da Adobe na Central de Confiabilidade da Adobe.
Adobe Commerce HIPAA-Ready
A extensão Adobe Commerce HIPAA-Ready adiciona recursos e funcionalidades adicionais às instalações do Adobe Commerce, permitindo que os comerciantes cumpram com suas respectivas obrigações com a HIPAA.
A extensão HIPAA-Ready da Adobe Commerce, magento/hipaa-ee
está disponível para projetos Adobe Commerce na infraestrutura em nuvem ou Adobe Managed Services. O processo de instalação Adobe Commerce HIPAA-Ready desativa alguns serviços e recursos nativos para atender aos requisitos da HIPAA. Consulte Serviços e recursos desabilitados.
Estes materiais são apenas para fins informativos. O fornecimento dessas informações não confere ao destinatário nenhum direito contratual ou de outro tipo. Embora tenham sido envidados esforços para garantir a exatidão das informações à data em que foram fornecidas, não é feita qualquer declaração de que tais informações sejam exatas e completas. A Adobe não assume nenhuma obrigação de atualizar essas informações à medida que a lei ou os produtos da Adobe mudarem. Além disso, este documento não deve ser distribuído a terceiros que não sejam o destinatário pretendido sem o consentimento por escrito da Adobe.
Requisitos do sistema
A tabela a seguir mostra a compatibilidade entre as versões do Adobe Commerce e a extensão pronta para HIPAA:
- A extensão pronta para HIPAA só está disponível para projetos do Adobe Commerce na nuvem ou do Adobe Commerce Managed Services.
- A extensão está disponível como um metapackage do Composer de
repo.magento.com
. - O acesso aos recursos e funcionalidades prontos para HIPAA exige o complemento de assistência médica do Adobe Commerce.
- As versões beta do Adobe Commerce não são compatíveis.
Instalação
Pré-requisito
- A Adobe provisionou sua conta do Adobe Commerce para acessar a extensão HIPAA Ready.
- Acesso ao repo.magento.com para instalar a extensão. Para geração de chaves e obtenção dos direitos necessários, consulte Obter suas chaves de autenticação.
Instale a versão mais recente da extensão HIPAA-Ready Services da Adobe (magento/hipaa-ee
) em uma instância que esteja executando o Adobe Commerce versão 2.4.7-p5 ou 2.4.6-p3 a 2.4.6-p8. A extensão é entregue como um metapackage de compositor do repositório.magento.com. O metapackage inclui a coleção de módulos que habilitam os recursos HIPAA para uma instância do Adobe Commerce.
-
Na estação de trabalho local, altere para o diretório do projeto do Adobe Commerce na infraestrutura em nuvem.
note note NOTE Para obter informações sobre o gerenciamento local de ambientes de projeto do Commerce, consulte Gerenciamento de ramificações com a CLI no Guia do Usuário do Adobe Commerce na Infraestrutura da Nuvem. -
Faça check-out da ramificação de ambiente para atualizar usando a CLI da Adobe Commerce Cloud.
code language-shell magento-cloud environment:checkout <environment-id>
-
Adicionar o metapackage
magento/hipaa-ee
à configuração do compositor usando a CLI do compositor.code language-shell composer require "magento/hipaa-ee" --no-update
-
Atualizar dependências de pacote.
code language-shell composer update "magento/hipaa-ee"
-
Adicione, confirme e envie por push o código atualizado para o ambiente de nuvem.
code language-shell git add -A git commit -m "Add HIPAA-Ready Services modules" git push origin <branch-name>
O envio das atualizações inicia o processo de implantação da nuvem do Commerce para aplicar as alterações. Verifique o status da implantação no log de implantação.
Verificar instalação
Depois que as atualizações forem implantadas, verifique se a extensão Hipaa*
está instalada
-
Use o SSH para fazer logon no ambiente de nuvem remoto.
code language-shell magento-cloud ssh
-
Na linha de comando, use a Adobe Commerce CLI para verificar o status do módulo.
code language-shell bin/magento module:status
-
Verifique se os módulos HIPAA estão incluídos na lista de módulos habilitados:
code language-text List of enabled modules: <truncated for brevity> Magento_HipaaAnalytics Magento_HipaaCheckout Magento_HipaaLogging Magento_HipaaScheduledImportExport Magento_HipaaAdminLogging Magento_HipaaCustomerLogging Magento_HipaaNewsletter Magento_HipaaImportExport Magento_HipaaApiLogging Magento_HipaaSales Magento_HipaaCustomer <truncated for brevity>
Todos os módulos com o prefixo
Magento_Hipaa
devem estar na seção de módulos habilitados.
Aprimoramentos de recursos para prontidão para HIPAA
A extensão magento/hipaa-ee
apresenta algumas alterações e aprimoramentos ao produto base do Commerce. As seções a seguir fornecem detalhes sobre essas alterações e como elas alteram o produto base.
Logs de ação
O registro de auditoria é um requisito da HIPAA. No Adobe Commerce, o recurso Logs de ação registra todas as alterações feitas por um usuário administrador que trabalha na sua loja. Para atender aos requisitos da HIPAA para o Log de auditoria, o recurso foi atualizado para registrar todas as ações de usuário administrador e cliente executadas por meio da interface do usuário do administrador e por meio de chamadas de API.
Os logs de ação também capturam eventos quando os serviços da Adobe acessam os dados da loja. Você pode identificar esses eventos filtrando a Ação "Dados enviados fora" no relatório Logs de ação.
Relatório de logs de ação
A grade de relatório Logs de Ação (System > Logs de Ação > Relatório) foi modificada para acomodar as ações do cliente executadas por meio da interface do usuário e da API de Administração.
-
Adição de duas colunas:
- Source: mostra onde a ação foi executada.
Valores:Admin UI
/Customer UI
/REST API
/SOAP API
/GraphQL API
- Tipo de Cliente: exibe o tipo de cliente.
Valores: Cliente | Admin | Integração
- Source: mostra onde a ação foi executada.
-
Coluna Nome de Usuário renomeada para Identificador de Cliente
-
Identificador do Cliente: Exibe a ID de logon do usuário que executou a ação.
Valores:- um email se o Tipo de cliente for Cliente
- um nome de usuário se o tipo de cliente for Admin
- um nome se o Tipo de cliente for Integração
-
-
A coluna Nome da Ação Completa foi renomeada para Destino
-
Destino: exibe o nome da ação.
Valores:- um endpoint se o Source for uma API REST ou uma API SOAP
- um nome de consulta ou mutação se uma API do GraphQL
- um nome de ação se for uma interface do usuário do administrador ou do cliente.
-
Configurar ações do administrador para fazer logon
Este recurso não está disponível porque todas as ações devem ser registradas por padrão.
Restrição dos resultados de pesquisa do cliente HIPAA
A funcionalidade HIPAA Customer Search Results Restriction (Restrição de resultados de pesquisa de clientes HIPAA) no Adobe Commerce garante a conformidade com as normas HIPAA, limitando o acesso a PHI (Protected Health Information, informações protegidas de saúde) e PII (Personally Identifying Information, informações pessoais identificáveis). Esse recurso restringe a capacidade de pesquisar e visualizar registros de clientes com base nas funções de usuário, garantindo que somente usuários autorizados possam acessar essas informações.
Principais recursos
- Restrições de Pesquisa: Usuários sem as funções necessárias não podem pesquisar ou exibir registros de clientes.
- Pesquisa obrigatória pelo Access: ao contrário do comportamento padrão do Adobe Commerce, não é possível ver as informações do cliente sem realizar uma pesquisa. Isso garante que os usuários saibam detalhes específicos sobre um cliente para localizar suas informações.
- Resultados de Pesquisa Limitados: os resultados de pesquisa correspondentes aos critérios são limitados a 10 registros, garantindo que apenas um número gerenciável de registros seja exibido por vez.
- Número mínimo de filtros: os usuários devem aplicar no mínimo três filtros (por exemplo, email, sobrenome e estado) para realizar uma pesquisa, garantindo que as pesquisas sejam específicas e direcionadas.
- Notificações de Filtro: quando as restrições de pesquisa estão habilitadas, os usuários são notificados para aplicar filtros e refinar os resultados da pesquisa.
Configuração
A configuração para limitar o número de clientes nos resultados da pesquisa está localizada no painel de administração em Stores > Configuration > Advanced > Admin > Admin Grids. Essa configuração é habilitada por padrão quando a extensão hipaa-ee
é instalada.
- Limitar Número de Clientes na Grade: esta configuração permite habilitar ou desabilitar a limitação do número de clientes exibidos nos resultados da pesquisa de grade.
- Limite de Resultados de Pesquisa de Grade do Cliente: essa configuração especifica o número máximo de registros do cliente que podem ser exibidos nos resultados da pesquisa de grade.
Áreas funcionais afetadas
As grades do cliente na página Criar Pedido do Administrador (Sales > Orders > Create New Order) e na página Clientes (Customers > All Customers) são afetadas pela funcionalidade de restrição dos resultados da pesquisa.
- Os filtros são abertos por padrão.
- Os usuários devem aplicar um mínimo de três filtros para realizar uma pesquisa.
- Os resultados da pesquisa são limitados a 10 registros por padrão.
- Se houver mais registros que correspondam aos critérios de pesquisa, as notificações informarão os usuários sobre o limite de resultados e a necessidade de refinar sua pesquisa.
- A paginação em grade não está disponível.
- Os resultados e filtros de pesquisa anteriores aplicados não são salvos ao sair da página.
A funcionalidade de restrição de resultados de pesquisa também se aplica à API REST para pesquisa de cliente (/V1/customers/search
).
- Sem filtros aplicados ou com filtros insuficientes, a API retorna uma mensagem de erro indicando que o número necessário de filtros é necessário para executar uma pesquisa.
- Quando filtros suficientes são aplicados por usuários autorizados, a API retorna resultados dentro do limite especificado.
- Quando os resultados forem limitados, uma mensagem será adicionada à resposta indicando o número total de registros encontrados e o limite aplicado atual.
Importar e exportar recursos
Os aprimoramentos nos recursos de importação e exportação se concentram em melhorar a experiência administrativa e fornecer maior visibilidade sobre as ações do usuário.
Registro de ação administrativa
Uma das principais melhorias nos recursos de importação e exportação é o registro aprimorado de ações administrativas. Esse aprimoramento apresenta a capacidade de detalhar as atividades associadas à importação e exportação de dados, contribuindo para melhorar o rastreamento e a capacidade de auditoria. As seguintes ações foram registradas e refletidas na grade System> Action Logs>Report:
- Um usuário administrador executa uma importação
- Um usuário administrador baixa um arquivo importado
- Um usuário administrador baixa um arquivo de erro
- Solicitações de um usuário administrador
- Um usuário administrador baixa um arquivo exportado
- Um usuário administrador programa a exportação
- Um usuário administrador edita uma exportação agendada
- Um usuário administrador executa uma exportação agendada
- Um usuário administrador exclui uma exportação agendada
- Um usuário administrador programa uma importação
- Um usuário administrador edita uma importação agendada
- Um usuário administrador executa uma importação agendada
- Um usuário administrador exclui uma importação agendada
- Um usuário administrador executa uma exclusão em massa de operações de importação/exportação
Melhorias na exibição e filtragem e classificação aprimoradas
Para capacitar os usuários administradores com grades mais informativas, o serviço HIPAA-Ready oferece várias melhorias para exibir, filtrar e classificar dados.
Importar histórico (System > Data Transfer> Import History)
- Filtragem habilitada para todas as colunas, exceto para Imported File, Error File, Execution Time e Summary.
Exportar (System > Data Transfer> Export)
- Adicionada uma coluna ID.
- Adição de uma coluna Requested At (data e hora em que a exportação foi solicitada).
- Adição de uma coluna User (nome de usuário de um administrador que fez a solicitação).
- Coluna Action removida.
- O link Download foi movido para uma coluna File name (como a grade Histórico de Importação).
- Desabilitada a ação responsável pela exclusão de um arquivo exportado (para melhorar o rastreamento).
- Classificação habilitada para todas as colunas, exceto File name.
- Filtragem ativada para todas as colunas.
Importações e exportações agendadas (System > Data Transfer> Scheduled Import/Export)
- Adicionada uma coluna ID.
- Adição de uma coluna Scheduled At (a data e hora agendadas da importação ou exportação).
- Adição de uma coluna User (o nome de usuário de um usuário Administrador que agendou a importação ou exportação).
Ferramentas e serviços prontos para HIPAA
Esta seção descreve os serviços da Adobe prontos para HIPAA que estão disponíveis para uso com a oferta HIPAA para Adobe Commerce. Ele também descreve ferramentas que podem ser usadas para ajudar a monitorar os principais controles de segurança e conformidade da sua loja.
Serviços da Adobe Commerce
A tabela a seguir identifica os serviços da Adobe Commerce que estão disponíveis para a oferta de preparação para a HIPAA. Esses serviços incluem, entre outros:
Ferramentas
A Ferramenta de Verificação de Segurança para Adobe Commerce ajuda a monitorar seu armazenamento para garantir que todos os controles de segurança necessários estejam habilitados e operacionais. Além das verificações de segurança padrão, a Adobe aprimorou a ferramenta para exibir verificações específicas de HIPAA para clientes que usam a oferta HIPAA para Adobe Commerce. As verificações de HIPAA na Ferramenta de verificação de segurança foram criadas para garantir que:
- Os módulos de auditoria não estão desabilitados
- A autenticação de dois fatores (2FA) não está desabilitada
- Os recursos de marketing estão desativados
- Incluir na lista de permissões Todas as extensões instaladas correspondem a um arquivo de pesquisa predefinido
- Não há serviços da Adobe instalados sem suporte
Você pode configurar a ferramenta para enviar notificações por email com detalhes de verificações agendadas ou exibir relatórios manualmente.
Recursos desabilitados
Para estar em conformidade com os requisitos da HIPAA, alguns recursos compatíveis com o Adobe Commerce não estão disponíveis ou estão desativados por padrão. Os comerciantes têm a opção de reativar ou usar esses recursos por sua conta e risco.
Os recursos a seguir são desativados por padrão no módulo de preparação para HIPAA. Os comerciantes podem ativar qualquer um desses recursos por sua conta e risco.
-
Email transacional — SendGrid está desabilitado por padrão porque o serviço não está pronto para HIPAA. O Adobe Commerce fornece uma opção de integração que você pode usar com sua própria conta do AWS Simple Email Service. Entre em contato com o Gerente técnico de conta do cliente ou com o Suporte da Adobe Commerce para obter detalhes sobre a configuração.
-
Check-out de convidado—Este recurso apresenta um risco potencial para vários aspectos da HIPAA, incluindo registro, controle de acesso, higiene e linhagem de PHI e possivelmente mais.
-
Recurso de boletim informativo — esse recurso está desabilitado para impedir que o PHI seja usado em um contexto de marketing.
-
Configuração do serviço Relatórios Avançados—Esta configuração está desabilitada para impedir que o PHI seja usado para análise e relatórios.