HIPAA-beredskap på Adobe Commerce
>Den här informationen är avsedd att hjälpa Adobe-kunder att besvara sina frågor om Adobe HIPAA-Ready Services. Den utgör inte juridisk rådgivning. Handlarna bör samråda med sitt eget juridiska ombud för att förstå sina skyldigheter enligt HIPAA och att Adobe produkter används och konfigureras på lämpligt sätt.
HIPAA (Health Insurance Portability and Accounability Act)
HIPAA (Health Insurance Portability and Accounability Act) är den viktigaste federala hälso- och sjukvårdslagstiftningen i USA och regleras av USA:s Department of Health and Human Services (HHS). HIPAA gäller för täckta entiteter (t.ex. vårdgivare, försäkringsgivare och clearinghus) och Business Associates (t.ex. de entiteter som tillhandahåller tjänster till täckta entiteter). HIPAA-kraven anges i tre separata regler: sekretessregel, säkerhetsregel och regel för meddelanden om överträdelser. Adobe fungerar som Business Associate för vissa produkter som Adobe klassificerar som"HIPAA-Ready Services". Data som regleras under HIPAA kallas Skyddad hälsoinformation eller PHI. PHI är en delmängd av hälsoinformation som (1) skapas eller tas emot av en vårdgivare, en hälsoplan eller en vårdcentral, (2) avser en individs tidigare, nuvarande eller framtida fysiska eller psykiska hälsa eller tillstånd, tillhandahållande av hälso- och sjukvård till en individ eller tidigare, nuvarande eller framtida betalning för tillhandahållande av hälso- och sjukvård till en individ, och (3) identifierar den individ eller med avseende på vilken det finns en rimlig grund att tro informationen kan användas för att identifiera den enskilda personen. HIPAA:s sekretess- och säkerhetsregler kräver att en enhet som omfattas erhåller skriftliga garantier från en Business Associate i form av ett Business Associate-avtal, eller BAA, som kräver att Business Associate ska skydda integriteten och säkerheten för de berörda enheternas PHI. Mer information finns i HIPAA och Adobe Products and Services i Adobe Trust Center.
Adobe Commerce HIPAA-Ready
Utbyggnaden av Adobe Commerce HIPAA-Ready lägger till ytterligare funktioner och funktioner i Adobe Commerce-installationer som gör att handlarna kan uppfylla sina respektive HIPAA-skyldigheter.
Adobe Commerce HIPAA-Ready-tillägget magento/hipaa-ee är tillgängligt för Adobe Commerce i molninfrastruktur eller Adobe Managed Services-projekt. Installationsprocessen för Adobe Commerce HIPAA-Ready inaktiverar vissa inbyggda tjänster och funktioner som uppfyller kraven för HIPAA. Se Inaktiverade tjänster och funktioner.
De här materialen är endast avsedda som information. Tillhandahållande av denna information berättigar inte mottagaren till några avtalsmässiga eller andra rättigheter. Även om det har gjorts ansträngningar för att säkerställa att informationen är korrekt från och med den dag då den har lämnats, finns det ingen representation om att informationen är korrekt och fullständig. Adobe har ingen skyldighet att uppdatera denna information när lagen eller Adobe produkter ändras. Dokumentet får inte distribueras till någon annan part än den avsedda mottagaren utan skriftligt medgivande från Adobe.
Systemkrav
I följande tabell visas kompatibiliteten mellan olika versioner av Adobe Commerce och det HIPAA-klara tillägget:
- Det HIPAA-klara tillägget är bara tillgängligt för Adobe Commerce i Creative Cloud- eller Adobe Commerce Managed Services-projekt.
- Tillägget är tillgängligt som ett Composer-metapaket från
repo.magento.com. - Tillgång till HIPAA-förberedda funktioner och funktioner kräver hälsotillägg för Adobe Commerce.
- Adobe Commerce betaversioner stöds inte.
Installation
Förutsättning
- Adobe har etablerat ditt Adobe Commerce-konto för att komma åt tillägget HIPAA Ready.
- Åtkomst till repo.magento.com för att installera tillägget. Om du vill ha nyckelgenerering och de nödvändiga rättigheterna kan du läsa Hämta dina autentiseringsnycklar.
Installera den senaste versionen av Adobe HIPAA-Ready Services-tillägg (magento/hipaa-ee) på en instans som kör Adobe Commerce version 2.4.7-p5 eller 2.4.6-p3 till 2.4.6-p8. Tillägget levereras som ett kompositmetapaket från databasen repo.magento.com. Metapaketet innehåller en samling moduler som aktiverar HIPAA-funktionerna för en Adobe Commerce-instans.
-
På din lokala arbetsstation byter du till projektkatalogen för ditt Adobe Commerce i molninfrastrukturprojekt.
note note NOTE Mer information om att hantera Commerce projektmiljöer lokalt finns i Hantera grenar med CLI i Adobe Commerce on Cloud Infrastructure User Guide. -
Checka ut miljögrenen för att uppdatera med Adobe Commerce Cloud CLI.
code language-shell magento-cloud environment:checkout <environment-id> -
Lägg till metapaketet
magento/hipaa-eei dispositionskonfigurationen med hjälp av dispositionsgränssnittet.code language-shell composer require "magento/hipaa-ee" --no-update -
Uppdatera paketberoenden.
code language-shell composer update "magento/hipaa-ee" -
Lägg till, implementera och skicka den uppdaterade koden till molnmiljön.
code language-shell git add -A git commit -m "Add HIPAA-Ready Services modules" git push origin <branch-name>När uppdateringarna skickas initieras Commerce molndistributionsprocess för att ändringarna ska börja gälla. Kontrollera distributionsstatusen från distributionsloggen.
Verifiera installation
När uppdateringarna har distribuerats kontrollerar du att tillägget Hipaa* har installerats
-
Använd SSH för att logga in i fjärrmolnmiljön.
code language-shell magento-cloud ssh -
Använd Adobe Commerce CLI på kommandoraden för att kontrollera modulens status.
code language-shell bin/magento module:status -
Kontrollera att HIPAA-modulerna finns med i listan över aktiverade moduler:
code language-text List of enabled modules: <truncated for brevity> Magento_HipaaAnalytics Magento_HipaaCheckout Magento_HipaaLogging Magento_HipaaScheduledImportExport Magento_HipaaAdminLogging Magento_HipaaCustomerLogging Magento_HipaaNewsletter Magento_HipaaImportExport Magento_HipaaApiLogging Magento_HipaaSales Magento_HipaaCustomer <truncated for brevity>Alla moduler som har prefixet
Magento_Hipaamåste finnas i avsnittet med aktiverade moduler.
Förbättrade funktioner för HIPAA-beredskap
Tillägget magento/hipaa-ee innehåller några ändringar och förbättringar av Commerce basprodukt. I följande avsnitt finns information om dessa ändringar och hur de ändrar basprodukten.
Åtgärdsloggar
Granskningsloggning är ett HIPAA-krav. I Adobe Commerce registrerar funktionen Åtgärdsloggar alla ändringar som gjorts av en Admin-användare som arbetar i din butik. För att uppfylla HIPAA-kraven för granskningsloggen har funktionen uppdaterats för att registrera alla åtgärder för administrationsanvändare och -kunder som utförts via administratörens gränssnitt och via API-anrop.
Åtgärdsloggar fångar även händelser när Adobe-tjänster kommer åt dina butiksdata. Du kan identifiera de här händelserna genom att filtrera på åtgärden"Data skickat utanför" i rapporten Åtgärdsloggar.
Åtgärdsloggsrapport
Rapportrutnätet Åtgärdsloggar (System > Åtgärdsloggar > Rapport) har ändrats för att passa kundåtgärder som utförts via administratörens gränssnitt och API.
-
Två kolumner har lagts till:
- Source: Visar var åtgärden utfördes.
Värden:Admin UI|Customer UI|REST API|SOAP API|GraphQL API - Klienttyp: Visar klienttypen.
Värden: Kund | Administratör | Integrering
- Source: Visar var åtgärden utfördes.
-
Namnet på kolumnen Användarnamn har ändrats till Klientidentifierare
-
Klientidentifierare: Visar inloggnings-ID för användaren som utförde åtgärden.
Värden:- ett e-postmeddelande om klienttypen är kund
- ett användarnamn om klienttypen är Admin
- ett namn om klienttypen är Integration
-
-
Namnet på kolumnen Fullständigt åtgärdsnamn har ändrats till Mål
-
Mål: Visar åtgärdsnamnet.
Värden:- en slutpunkt om Source är ett REST API eller SOAP API
- en fråga eller ett mutationsnamn om ett GraphQL-API
- ett åtgärdsnamn om ett administratörsgränssnitt eller kundgränssnitt används.
-
Konfigurera administratörsåtgärder för loggning
Den här funktionen är inte tillgänglig eftersom alla åtgärder måste spelas in som standard.
Begränsning av HIPAA-kundsökresultat
Funktionen för begränsning av HIPAA-kundsökresultat i Adobe Commerce säkerställer att HIPAA-reglerna följs genom att begränsa tillgången till Skyddad hälsoinformation (PHI) och Personally Identiitable Information (PII). Den här funktionen begränsar möjligheten att söka efter och visa kundposter baserat på användarroller, vilket säkerställer att endast behöriga användare kan komma åt informationen.
Viktiga funktioner
- Sökbegränsningar: Användare utan de nödvändiga rollerna kan inte söka efter eller visa kundposter.
- Obligatorisk sökning för åtkomst: Till skillnad från Adobe Commerce standardbeteende går det inte att visa kundinformation utan att göra en sökning. Detta säkerställer att användarna måste känna till specifik information om en kund för att kunna hitta sin information.
- Begränsade sökresultat: Sökresultat som matchar villkoren är begränsade till 10 poster, vilket garanterar att endast ett hanterbart antal poster visas åt gången.
- Minsta antal filter: Användarna måste tillämpa minst tre filter (till exempel e-post, efternamn och tillstånd) för att kunna utföra en sökning, vilket säkerställer att sökningarna är specifika och riktade.
- Filtrera meddelanden: När sökbegränsningar är aktiverade meddelas användare om att använda filter för att förfina sina sökresultat.
Konfiguration
Konfigurationen för att begränsa antalet kunder i sökresultaten finns i administratörspanelen under Stores > Configuration > Advanced > Admin > Admin Grids. Den här konfigurationen aktiveras som standard när tillägget hipaa-ee installeras.
- Begränsa antalet kunder i stödrastret: Med den här inställningen kan du aktivera eller inaktivera begränsningen av antalet kunder som visas i sökresultaten för stödrastret.
- Resultatgräns för kundstödrastersökning: Den här inställningen anger det maximala antalet kundposter som kan visas i stödrastrets sökresultat.
Funktionsområden som påverkas
Begränsningsfunktionen för sökresultat gäller för kundstödraster på sidan för att skapa order för administratörer (Sales > Orders > Create New Order) och på sidan Kunder (Customers > All Customers).
- Filter öppnas som standard.
- Användarna måste använda minst tre filter för att kunna göra en sökning.
- Sökresultaten är som standard begränsade till tio poster.
- Om det finns fler poster som matchar sökvillkoren informeras användarna om resultatgränsen och om behovet av att förfina sökningen.
- Sidindelning av stödraster är inte tillgängligt.
- Tidigare sökresultat och använda filter sparas inte när du navigerar bort från sidan.
Begränsningsfunktionen för sökresultat gäller även REST API för kundsökning (/V1/customers/search).
- Om filter inte används eller om filter saknas returneras ett felmeddelande som anger att det antal filter som krävs för att utföra en sökning.
- Auktoriserade användare som tillämpar tillräckligt många filter får API-resultat inom den angivna gränsen.
- När resultaten är begränsade läggs ett meddelande till i svaret som anger det totala antalet poster som hittats och den aktuella tillämpade gränsen.
Import- och exportfunktioner
Förbättringarna av import- och exportfunktionerna är inriktade på att förbättra den administrativa upplevelsen och ge bättre synlighet i användaråtgärder.
Loggning av administrativa åtgärder
En av de viktigaste förbättringarna i import- och exportfunktionerna är den förbättrade loggningen av administrativa åtgärder. Den här förbättringen ger möjlighet att fördjupa sig i aktiviteter som är kopplade till import och export av data, vilket bidrar till förbättrad spårning och granskning. Följande åtgärder är nu loggade och återspeglas i stödrastret System> Action Logs>Report:
- En administratör kör en import
- En administratör hämtar en importerad fil
- En administratör hämtar en felfil
- En administratörsanvändare begär
- En administratör hämtar en exporterad fil
- Export av administratörsanvändarscheman
- En administratör redigerar en schemalagd export
- En administratör kör en schemalagd export
- En administratör tar bort en schemalagd export
- En administratör schemalägger en import
- En administratör redigerar en schemalagd import
- En administratör kör en schemalagd import
- En administratör tar bort en schemalagd import
- En administratörsanvändare kör en massborttagning av import-/exportåtgärder
Visningsförbättringar och förbättrad filtrering och sortering
Tjänsten HIPAA-Ready ger administratörsanvändare tillgång till fler informativa rutnät och erbjuder flera förbättringar för att visa, filtrera och sortera data.
Importhistorik (System > Data Transfer> Import History)
- Aktiverad filtrering för alla kolumner förutom Imported File, Error File, Execution Time och Summary.
Exportera (System > Data Transfer> Export)
- En ID-kolumn har lagts till.
- En Requested At-kolumn (datum och tid när export begärdes) har lagts till.
- En User-kolumn (användarnamn för en administratör som gjorde begäran) har lagts till.
- En Action-kolumn har tagits bort.
- Länken Download har flyttats till en File name-kolumn (som till exempel fältet för importhändelser).
- Inaktiverade åtgärden som ansvarar för borttagningen av en exporterad fil (för att förbättra spårningen).
- Aktiverad sortering för alla kolumner utom File name.
- Aktiverad filtrering för alla kolumner.
Schemalagda importer och exporter (System > Data Transfer> Scheduled Import/Export)
- En ID-kolumn har lagts till.
- En Scheduled At-kolumn (datum och tid när import eller export schemalagdes) har lagts till.
- En User-kolumn har lagts till (användarnamnet för en administratörsanvändare som har schemalagt importen eller exporten).
HIPAA-klara tjänster och verktyg
I det här avsnittet beskrivs HIPAA-klara Adobe-tjänster som är tillgängliga för användning med HIPAA-erbjudandet för Adobe Commerce. Här beskrivs även verktyg som du kan använda för att övervaka viktiga säkerhets- och efterlevnadskontroller för din butik.
Adobe Commerce Services
Följande tabell visar vilka Adobe Commerce-tjänster som är tillgängliga för HIPAA-beredskapserbjudandet. Dessa tjänster omfattar, men är inte begränsade till:
verktyg
Med verktyget för säkerhetsgenomsökning för Adobe Commerce kan du övervaka din butik för att se till att alla nödvändiga säkerhetskontroller är aktiverade och fungerar. Förutom standardsäkerhetskontrollerna har Adobe förbättrat verktyget för att visa HIPAA-specifika kundkontroller med HIPAA-erbjudandet för Adobe Commerce. HIPAA-kontrollerna i verktyget för säkerhetsgenomsökning är utformade för att säkerställa att:
- Granskningsmoduler är inte inaktiverade
- Tvåfaktorautentisering (2FA) är inte inaktiverad
- Marknadsföringsfunktioner är inaktiverade
- Alla installerade tillägg matchar ett fördefinierat tillåtelselista
- Inga Adobe-tjänster som inte stöds är installerade
Du kan konfigurera verktyget så att du kan skicka e-postmeddelanden med information från schemalagda genomsökningar eller manuellt visa rapporter.
Handikappade funktioner
För att uppfylla HIPAA-kraven är vissa funktioner som stöds av Adobe Commerce antingen inte tillgängliga eller inaktiverade som standard. Handlarna kan själva återaktivera eller använda funktionerna.
Följande funktioner är inaktiverade som standard i modulen HIPAA-beredskap. Handlare kan aktivera alla dessa funktioner på egen risk.
-
Transactional email - SendGrid är inaktiverat som standard eftersom tjänsten inte är HIPAA-ready. Adobe Commerce har ett integreringsalternativ som du kan använda med ditt eget AWS Simple Email Service-konto. Kontakta kundens tekniska kontohanterare eller Adobe Commerce Support för mer information om konfigurationen.
-
Gästutcheckning - Den här funktionen utgör en potentiell risk för olika aspekter av HIPAA, bland annat loggning, åtkomstkontroll, PHI-hygien och -hållning.
-
Nyhetsbrevsfunktion - Den här funktionen är inaktiverad för att förhindra att PHI används i marknadsföringssammanhang.
-
Avancerad rapporttjänstinställning - Den här konfigurationsinställningen är inaktiverad för att förhindra att PHI används för analys och rapportering.