La Ley de Portabilidad y Responsabilidad de los Seguros de Salud
La Ley de Portabilidad y Responsabilidad de los Seguros de Salud (HIPAA) es una ley federal de Estados Unidos que estableció normas nacionales para proteger la información sanitaria sensible de los pacientes frente a divulgaciones sin su consentimiento o conocimiento. El Departamento de Salud y Servicios Humanos de Estados Unidos (HHS) emitió la Regla de Privacidad de la HIPAA para implementar los requisitos de la ley. La Regla de Seguridad de la HIPAA protege un subconjunto de la información cubierta por la Regla de Privacidad.
Las Reglas y Regulaciones de la HIPAA establecen tres tipos de salvaguardas de seguridad necesarias para garantizar el cumplimiento:
- Las salvaguardas administrativas se centran principalmente en el requisito de realizar evaluaciones de riesgos continuas para identificar posibles vulnerabilidades y riesgos para la integridad de la información sanitaria protegida.
- Las salvaguardas físicas se concentran en las medidas que deben implementarse para evitar el acceso no autorizado a la información sanitaria protegida y para proteger los datos frente a incendios y otros riesgos ambientales.
- Las salvaguardas técnicas se refieren a los controles que deben implantarse para garantizar la seguridad de los datos cuando la información sanitaria protegida se comunica a través de una red electrónica.
Reglamento | En vigor
Promulgada como parte de la American Recovery and Reinvestment Act (Ley de Recuperación y Reinversión de Estados Unidos, ARRA) de 2009, la Ley HITECH amplía el conjunto de requisitos de cumplimiento en materia de cifrado de la Ley HIPAA, exigiendo la notificación de brechas de datos que afecten a historiales clínicos personales «no protegidos» (no cifrados), incluidas aquellas causadas por asociados comerciales, proveedores y entidades relacionadas.
Las Reglas de la HIPAA se aplican a las entidades cubiertas y a los asociados comerciales:
- Las entidades cubiertas abarcan a todos los proveedores de servicios sanitarios que crean, reciben, mantienen, transmiten o acceden a información sanitaria protegida, incluidos los planes de salud, las entidades aseguradoras, los hospitales, las clínicas, las farmacias, los médicos y los dentistas, entre otros.
- Los asociados comerciales abarcan a los proveedores de servicios externos que pueden crear, recibir, mantener, transmitir o acceder a información sanitaria protegida en formato electrónico en nombre de las entidades cubiertas. Algunos ejemplos son los proveedores de TI o de almacenamiento en la nube.
La HIPAA fue promulgada por el Congreso estadounidense en 1996. La ley ha sido actualizada en varias ocasiones desde entonces, como en 2009 con la aprobación de la Ley de Tecnología de la Información de Salud para la Mejora Económica y Clínica (HITECH), que introdujo una nueva estructura de sanciones por infracciones y estableció la responsabilidad directa de los asociados comerciales (Business Associates) por las brechas de datos derivadas del incumplimiento de la Regla de Seguridad.
Las sanciones por el incumplimiento de la HIPAA varían en función del nivel de negligencia considerado y pueden oscilar entre 100 y 50 000 dólares por cada infracción individual, con una sanción máxima de 1,9 millones de dólares por año natural. Las infracciones también pueden conllevar penas de prisión de entre 1 y 10 años para las personas responsables.
Cómo Thales puede ayudar a cumplir la Ley HIPAA
Las soluciones de Thales pueden ayudar a las organizaciones a cumplir la Ley HIPAA. Al simplificar el cumplimiento y automatizar la seguridad con visibilidad y control, reducen la carga de los equipos de seguridad y cumplimiento normativo. Ayudamos a las organizaciones a cumplir la HIPAA abordando los requisitos esenciales para proteger la información sanitaria protegida en cuatro secciones distintas de la ley.
Ofrecemos soluciones integrales de ciberseguridad en tres áreas clave de la ciberseguridad: seguridad de las aplicaciones, seguridad de los datos y gestión de identidades y accesos.
Soluciones para el cumplimiento de la Ley HIPAA
Seguridad de las aplicaciones
Proteja las aplicaciones y las API a escala en la nube, en entornos locales o en un modelo híbrido. Nuestra gama de productos líder en el mercado incluye un cortafuegos para aplicaciones web (WAF), protección contra ataques de denegación de servicio distribuido (DDoS) y contra ataques de bots maliciosos, seguridad para API, una red de distribución de contenidos (CDN) segura y autoprotección de aplicaciones en tiempo de ejecución (RASP).
Gestor de seguridad
Descubrir y clasificar los datos sensibles en entornos de TI híbridos y protegerlos automáticamente en cualquier lugar —ya sea en reposo, en tránsito o en uso— mediante cifrado, tokenización y gestión de claves. Las soluciones de Thales también identifican, evalúan y priorizan los riesgos potenciales para una evaluación del riesgo precisa, además de identificar comportamientos anómalos y supervisar la actividad para verificar el cumplimiento normativo, lo que permite a las organizaciones priorizar en qué concentrar sus esfuerzos.
Gestión de identidades y accesos
Proporcione un acceso fluido, seguro y de confianza a las aplicaciones y servicios digitales para clientes, empleados y socios. Nuestras soluciones limitan el acceso de usuarios internos y externos basándose en sus funciones y en el contexto, mediante políticas de acceso granulares y autenticación multifactor, lo que ayuda a garantizar que el usuario adecuado acceda al recurso adecuado en el momento adecuado.
HIPAA 164.306 Normas de seguridad: reglas generales
Cómo puede ayudar Thales:
- Identificar, clasificar, proteger y supervisar los datos sensibles en toda la TI híbrida, garantizando que los datos estén siempre seguros y cumplan la normativa.
HIPAA § 164.308 - Salvaguardas administrativas
Cómo puede ayudar Thales:
- Identificar los datos sensibles estructurados y no estructurados que están en riesgo en entornos de TI híbridos.
- Determinar las puntuaciones de riesgo de los activos de datos para evaluar los riesgos potenciales.
- Identificar el estado actual respecto al cumplimiento y documentar las carencias.
- Descubrir y clasificar los riesgos potenciales de todas las API públicas, privadas y ocultas y llevar a cabo una evaluación de los riesgos de las API.
Soluciones:
Seguridad de las aplicaciones
Seguridad de los datos
Descubrimiento y clasificación de datos
Cómo puede ayudar Thales:
- Supervisar las E/S y bloquear la actividad sospechosa antes de que el ransomware pueda afianzarse.
- Evitar que el software malicioso y los usuarios accedan a los datos sensibles.
- Utilizar análisis de firmas, comportamientos y reputación para bloquear todos los ataques de inyección de malware.
- Detectar y prevenir las ciberamenazas con cortafuegos para aplicaciones web.
- Proteger los activos críticos de la red de ataques DDoS y bots maliciosos.
Soluciones:
Seguridad de las aplicaciones
Cortafuegos para aplicaciones web
Protección contra ataques DDoS
Seguridad de los datos
Cómo puede ayudar Thales:
- Reducir el riesgo ante terceros manteniendo el control en los entornos locales sobre las claves de cifrado que protegen los datos alojados en la nube.
- Garantizar una separación completa de funciones entre los administradores del proveedor de la nube y su empresa, y restringir el acceso a los datos sensibles.
- Supervisar y alertar de anomalías para detectar y evitar que actividades no deseadas perturben las actividades de la cadena de suministro.
- Habilitar la gestión de las relaciones con proveedores, socios o cualquier usuario externo, con una delegación clara de los derechos de acceso.
- Minimizar los privilegios mediante el uso de autorización de acceso granular basada en relaciones.
- Habilitar la autenticación multifactor para los usuarios de terceros a fin de frustrar los ataques de phishing.
Soluciones:
Seguridad de los datos
Administración de claves en la nube
Supervisión de la actividad de los datos
Gestión de derechos de usuario
Descubrimiento y clasificación
Gestión de identidades y accesos
HIPAA § 164.312 - Salvaguardas técnicas
Cómo puede ayudar Thales:
- Limitar el acceso a los sistemas y a los datos mediante políticas basadas en las funciones y el contexto.
- Aplicar medidas de seguridad contextuales basadas en la puntuación de riesgos.
- Aprovechar las tarjetas inteligentes para implementar el acceso físico a instalaciones sensibles.
- Proporcionar a los clientes un acceso seguro a su información en los sistemas de la empresa.
- Limitar el acceso a los sistemas y a los datos mediante políticas basadas en las funciones y el contexto.
Soluciones:
Gestión de identidades y accesos
Gestión de acceso del personal
Gestión de accesos e identidades de clientes
Seguridad de los datos
Cómo puede ayudar Thales:
- Supervisar la actividad de los datos estructurados y no estructurados en entornos de TI híbridos.
- Generar registros de auditoría e informes de todos los eventos de acceso a todos los sistemas y transmitir los registros a SIEM.
Cómo puede ayudar Thales:
- Habilitar la autenticación multifactor (MFA) con la gama más amplia de métodos de hardware y software.
- Construir e implantar políticas de autenticación adaptables basadas en la sensibilidad de los datos o la aplicación.
- Proteger frente a ataques de phishing y ataques de intermediario (man-in-the-middle).
Cómo puede ayudar Thales:
- Cifrar los datos en reposo en entornos locales, en múltiples nubes y en entornos de big data o contenedores.
- Proteger las claves criptográficas en un entorno conforme a FIPS 140-2 de nivel 3.
- Seudonimizar la información sensible en las bases de datos.
- Proteger los datos en uso mediante técnicas de computación confidencial.
- Ofrecer una visibilidad completa de la actividad sobre los datos sensibles que permita controlar quién tiene acceso, auditar sus acciones y mantener la debida documentación.
- Productos de seguridad diseñados para una actualización poscuántica que permita mantener la criptoagilidad.
Cómo puede ayudar Thales:
- Proteja los datos en tránsito con cifrado de alta velocidad.
HIPAA § 164.514 - Otros requisitos relacionados con el uso y la divulgación de información sanitaria protegida
Cómo puede ayudar Thales:
- Seudonimizar y enmascarar la información sensible para producción o pruebas, manteniendo la capacidad de analizar los datos agregados sin exponer información sanitaria protegida sensible.
Recursos relacionados
Otras normativas clave en materia de protección de datos y seguridad
PCI HSM
MANDATO | EN VIGOR
La especificación PCI HSM define un conjunto de estándares de cumplimiento de seguridad lógica y física para los HSM, específicamente orientados al sector de los pagos. La certificación de cumplimiento PCI HSM depende del cumplimiento de dichos estándares.
DORA
REGLAMENTO | EN VIGOR
DORA tiene como objetivo reforzar la seguridad informática de las entidades financieras para garantizar que el sector financiero en Europa sea resiliente frente al creciente volumen y gravedad de los ciberataques.
Leyes de notificación de brechas de datos
REGLAMENTO | EN VIGOR
Los requisitos de notificación de brechas de datos tras la pérdida de información personal han sido promulgados por países de todo el mundo. Varían según la jurisdicción, pero casi universalmente incluyen una cláusula de «puerto seguro».
GLBA
REGLAMENTO | EN VIGOR
La Ley Gramm-Leach-Bliley (GLBA), también conocida como la Ley de Modernización de los Servicios Financieros de 1999, exige que las instituciones financieras expliquen a sus clientes sus prácticas de intercambio de información y protejan los datos sensibles.