Cómo ayuda Thales a las organizaciones a cumplir la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y la Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica (HITECH)
La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) es una ley federal estadounidense que creó normas nacionales para proteger la información sanitaria sensible de los pacientes de su divulgación sin su consentimiento o conocimiento. El Departamento de Salud y Servicios Humanos de EE. UU. (HHS) publicó la Norma de Privacidad de la HIPAA para aplicar los requisitos de la HIPAA. La Norma de Seguridad de la HIPAA protege un subconjunto de la información cubierta por la Norma de Privacidad.
Las normas y reglamentos de la HIPAA establecen tres tipos de salvaguardias de seguridad necesarias para su cumplimiento:
Ejecutada como parte de la Ley de Reinversión y Recuperación de Estados Unidos de 2009, la ley HITECH amplía el conjunto de requisitos de cumplimiento de la HIPAA, requiriendo la divulgación de brechas de datos de registros de salud personales "no protegidos" (no cifrados), que incluyen aquellos de los de socios comerciales, proveedores y entidades relacionadas.
Las normas de la HIPAA se aplican a las entidades cubiertas y a los socios comerciales:
La HIPAA fue promulgada por el Congreso estadounidense en 1996. La ley se ha actualizado varias veces desde entonces, como en 2009 con la aprobación de la Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica (HITECH), que añadió una nueva estructura de sanciones para las infracciones y responsabilizó directamente a los asociados comerciales de las violaciones de datos atribuibles al incumplimiento de la Norma de Seguridad.
Las sanciones por incumplimiento de la HIPAA varían en función del nivel de negligencia percibido y pueden oscilar entre 100 y 50 000 dólares por infracción individual, con una sanción máxima de 1,9 millones de dólares por año natural. Las infracciones también pueden acarrear penas de cárcel de uno a diez años para los responsables.
Thales ayuda a las organizaciones a cumplir la HIPAA abordando los requisitos esenciales para salvaguardar la información sanitaria protegida en virtud de tres secciones diferentes de la ley.
Las entidades cubiertas deben llevar a cabo una evaluación precisa y exhaustiva de los riesgos para la información sanitaria protegida y los asociados comerciales deben salvaguardar adecuadamente la información sanitaria protegida.
1. Una conducta..:
"...evaluación de los riesgos para la confidencialidad e integridad de la información sanitaria electrónica protegida..."
CipherTrust Data Discovery and Classification identifica eficazmente los datos confidenciales estructurados y no estructurados en las instalaciones y en la nube. Las plantillas integradas permiten la rápida identificación de datos regulados, resaltan riesgos de seguridad y ayudan a desvelar deficiencias de cumplimiento.
8. b. 1:
"Una entidad cubierta puede permitir que un asociado comercial cree, reciba, mantenga o transmita información sanitaria electrónica protegida si (...) el asociado comercial salvaguardará adecuadamente la información"
Protección de los datos en reposo:
CipherTrust Cloud Key Manager puede reducir los riesgos de terceros manteniendo in situ, bajo el pleno control de la entidad financiera, las claves que protegen los datos confidenciales alojados por terceros proveedores en la nube bajo sistemas "Bring Your Own Keys" (BYOK).
CipherTrust Transparent Encryption proporciona una separación completa de roles administrativos en la que solo los usuarios y procesos autorizados pueden ver los datos no cifrados. A menos que se proporcione una razón válida para acceder a los datos, los datos sensibles almacenados en una nube de terceros no serán accesibles en texto claro a usuarios no autorizados.
Las soluciones de seguridad de datos de Thales ofrecen la gama más completa de protección de datos, como Thales Data Protection on Demand (DPoD) que proporciona alta disponibilidad y copia de seguridad incorporadas a sus servicios basados en la nube Luna Cloud HSM y CipherTrust Key Management, hasta los dispositivos de cifrado de red HSE que ofrecen opciones de reducción a cero.
Las entidades cubiertas deben aplicar salvaguardias técnicas para proteger el acceso a la información sanitaria protegida, autenticar a las personas y entidades que acceden a la información sanitaria protegida y cifrar la información protegida en reposo y en tránsito.
A. 1:
"Permitir el acceso a la información sanitaria protegida solo a aquellas personas o programas informáticos a los que se hayan concedido derechos de acceso"
Las soluciones de gestión de identidades y accesos OneWelcome de Thales limitan el acceso de los usuarios internos y externos en función de sus funciones y contexto. Respaldadas por una autenticación robusta (MFA), las políticas de acceso granular y las políticas de autorización de grano fino ayudan a garantizar que el usuario adecuado tenga acceso al recurso adecuado en el momento adecuado, minimizando así el riesgo de acceso no autorizado.
El módulo Thales OneWelcome Consent & Preference Management permite a las organizaciones recopilar el consentimiento de los consumidores finales para que las instituciones financieras puedan tener una visibilidad clara de los datos consentidos, lo que les permite gestionar el acceso a los datos que están autorizados a utilizar.
CipherTrust Transparent Encryption cifra los datos sensibles y refuerza las políticas detalladas de gestión de usuarios con acceso a información privilegiada que se pueden aplicar por usuario, proceso, tipo de archivo, hora y otros parámetros. Proporciona una separación completa de roles en la que solo los usuarios y procesos autorizados pueden ver los datos no cifrados.
D:
"Autentificar que la persona o entidad que solicita acceso a la información sanitaria electrónica protegida es quien afirma ser".
SafeNet Trusted Access es una solución de gestión de accesos basada en la nube que proporciona autenticación multifactor comercial lista para usar con la más amplia gama de métodos y factores de forma de autenticación de hardware y software.
2. ii:
"Implantar un mecanismo para cifrar y descifrar la información sanitaria electrónica protegida".
CipherTrust Data Security Platform ofrece múltiples capacidades para proteger los datos en reposo en archivos, volúmenes y bases de datos. Entre ellas:
Los Luna Hardware Security Modules (HSM) protegen las claves criptográficas y proporcionan un entorno fortalecido FIPS 140-2 de nivel 3 y resistente a manipulaciones indebidas para un procesamiento criptográfico seguro, generación y protección de claves, cifrado y más. Luna HSMs están disponibles en las instalaciones, en la nube como servicio y en entornos híbridos.
E. 1:
"Implementar medidas técnicas de seguridad para proteger la información sanitaria protegida que se transmite a través de (...) una red"
Thales High Speed Encryptors (HSE) ofrecen cifrado de datos en movimiento independiente de la red (Capas 2, 3 y 4) garantizando que los datos estén protegidos al trasladarse de un centro a otro, o desde las instalaciones a la nube o viceversa. Nuestras soluciones de cifrado de red les permiten a los clientes proteger mejor los datos, el vídeo, la voz y los metadatos de la interceptación, la vigilancia y la intercepción abierta y encubierta, sin comprometer el rendimiento.
La información sanitaria puede no considerarse información sanitaria protegida si no es información sanitaria identificable individualmente.
A:
"Desidentificación de la información sanitaria protegida. La información sanitaria que no identifica a un individuo (...) no es información sanitaria identificable individualmente"
CipherTrust Tokenization permite la seudonimización de información sensible en bases de datos, manteniendo al mismo tiempo la capacidad de analizar datos agregados sin revelar datos confidenciales durante el análisis o en los informes.
Ensure HIPAA compliance and implement HIPAA Privacy & Security Rules for comprehensive protection of patient health information, with our data security solutions. The Health Insurance Portability and Accountability Act (HIPAA) is a US federal law that created national...
Regulations, such as HIPAA and GDPR, and global standards such as ISO 27799:2016 on health informatics, raise the bar for healthcare and life sciences organizations, obligating the protection of sensitive personal data and levying substantial fines for not doing so. Learn how...
El RGPD es tal vez la norma de privacidad de datos más completa hasta la fecha. Afecta a cualquier organización que procese los datos personales de los ciudadanos de la UE, independientemente de la ubicación de la sede de la organización.
Cualquier organización que desempeñe un papel en el procesamiento de pagos con tarjetas de crédito y débito debe cumplir con los estrictos requisitos de cumplimiento de PCI DSS para el procesamiento, el almacenamiento y la transmisión de datos de cuentas.
Los países de todo el mundo han promulgado requisitos de notificación de brechas de datos tras la pérdida de información personal. Varían según la jurisdicción, pero casi siempre incluyen una cláusula de "safe harbour".
