Muchas veces recibimos a empresas que al hablar de seguridad de su solución dicen, “somos HIPAA compliant” (cumplimos con las normas de HIPAA)
HIPAA es el acrónimo de Health Insurance Portability and Accountability Act (Ley de Portabilidad y Responsabilidad del Seguro Médico), una ley de USA aprobada en 1996 creada para modernizar el flujo de información de salud de forma segura (ver Ley).
La ley es extensa, y en algunos artículos toca los temas obligatorios que deben cumplir los sistemas de información en salud para “cumplir la ley”.
Esto es lo que tienen que cumplir los software para ser HIPPA-complient
- Garantías Técnicas
- Garantías Físicas
- Garantías Administrativas
En la columna PEDIR A EMPRESA, hacemos un resumen de lo que deberían solicitar a una empresa que dice “cumplir HIPAA”. Si cumplen la Ley de HIPAA tienen que documentar todas las actividades que se presentan en este listado.
| GARANTÍAS TÉCNICAS | TIPO | PEDIR A EMPRESA |
|---|---|---|
| Control de Acceso - Identificación Única de Usuario : Asignar un nombre y/o número único para identificar y rastrear la identidad del usuario | Obligatorio | Pregutnar qué ID utilizan para trazar el control de accesos |
| Control de Acceso - Procedimiento de Acceso ante Emergencias/Contingencias: Establezca (e implemente según sea necesario) procedimientos para acceder a información necesaria para atender a un paciente durante una emergencia | Obligatorio | Pedir información si la empresa tiene un backup o sistema de respaldo para acceder ante contingencias |
| Control de Acceso - Desconexión Automática: Implementar procedimientos electrónicos que terminen una sesión de usuario después de un tiempo predeterminado de inactividad | Recomendable | Ver que el software esté configurado con desconexión automática, ver cuánto tiempo es y si es configurable |
| Control de Acceso - Encriptación y Descifrado: Implementar un mecanismo para encriptar y descifrar información clínica | Recomendable | Ver algoritmo de encriptación utilizado y en qué proceso se utiliza. Ver rutinas de descifrado |
| Controles de auditoría: Implementar hardware, software y/o mecanismos de procedimiento que registren y examinen la actividad en los sistemas de información que contienen o utilizan información clínica | Obligatorio | Solicitar lista de antivirus, firewall, IPS utilizado junto a procedimientos de inspección de ataques |
| Integridad - Mecanismo para Autenticar información clínica: Implementar mecanismos electrónicos para corroborar que la información clínica no ha sido alterada o destruida de manera no autorizada | Recomendable | Solicitar uso de firma electrónica de la información o comparación de datos contra un backup (entre otros) |
| Autenticación: Implementar procedimientos para verificar que la persona o entidad que busca acceso a información clínica es la autorizada | Obligatorio | Solicitar mecanismo de validación de tokens vigente, validación de autenticación en los servicios |
| Seguridad de la Transmisión - Controles de Integridad: Implementar medidas de seguridad para asegurar que la información clínica transmitida electrónicamente no sea modificada o eliminada indebidamente | Recomendable | Solicitar protocolos de encriptación de la información punto a punto. Ver algoritmo utilizado |
| Seguridad de la transmisión - Encriptación : Implementar un mecanismo para encriptar la información clínica cuando se considere apropiado | Recomendable | Ver algoritmo de cifrado |
| GARANTÍAS FÍSICAS | TIPO | PEDIR A EMPRESA |
|---|---|---|
| Controles de acceso a las instalaciones - Operaciones de contingencia: Establecer (e implementar según sea necesario) procedimientos que permitan el acceso al datacenter para apoyar la restauración de los datos perdidos bajo el plan de recuperación de desastres y el plan de operaciones en modo de contingencia en caso de una emergencia | Recomendable | Solicitar procedimiento |
| Controles de acceso a las instalaciones - Plan de seguridad de las instalaciones: implemente políticas y procedimientos para proteger las instalaciones y los equipos que se encuentran en ellas contra el acceso físico, la manipulación y el robo no autorizado | Solicite procedimiento | |
| Controles de acceso a las instalaciones - Procedimientos de control de acceso y validación: Implementar procedimientos para controlar y validar el acceso de una persona a las instalaciones en función de su papel o función, incluido el control de los visitantes y el control de acceso a los programas de software para su comprobación y revisión | Solicitar procedimiento | |
| Controles de acceso a las instalaciones - Registros de mantenimiento: implemente políticas y procedimientos para documentar las reparaciones y modificaciones de los componentes físicos de una instalación que estén relacionados con la seguridad (por ejemplo, hardware, paredes, puertas y cerraduras) | Solicitar política de reparaciones del datacenter | |
| Uso de la estación de trabajo: implemente políticas y procedimientos que especifiquen las funciones adecuadas que se deben realizar, la manera en que se deben realizar dichas funciones y los atributos físicos del entorno de una estación de trabajo de administrador donde se pueda acceder a información clínica | Obligatorio | Solicite lista de los equipos desde donde se puede acceder a la consola de administración del sistema y las políticas que hay para esos accesos |
| Seguridad de la estación de trabajo: Implementar medidas físicas para todas las estaciones de trabajo que acceden a información clínica, para restringir el acceso a los usuarios autorizados | Obligatorio | Pedir información sobre las medidas físicas del datacenter |
| Controles de dispositivos y medios - Eliminación: Implementar políticas y procedimientos para abordar la eliminación de información clínica, y/o el hardware o medio electrónico en el que se almacena | Obligatorio | Política de formateo o destrucción de medios de almacenamiento antes de re-utilizarlos o discontinuar su uso |
| Controles de Dispositivos y Medios - Reutilización de Medios : Implementar procedimientos para remover la información clínica de los medios electrónicos antes de que los medios estén disponibles para su reutilización | Obligatorio | Solicitar procedimiento |
| Controles de dispositivos y medios - Responsabilidad: Mantener un registro de los movimientos del hardware, de los medios electrónicos y de cualquier persona responsable de los mismos | Solicitar listado | |
| Controles de dispositivos y medios - Copia de seguridad y almacenamiento de datos: Cree una copia recuperable y exacta de la información clínica, cuando sea necesario, antes del movimiento del equipo | Ver política de backup de la información |
| GARANTÍAS ADMINISTRATIVAS | OBLIGATORIEDAD | PEDIR A EMPRESA |
|---|---|---|
| Proceso de administración de seguridad - Análisis de riesgos: Realice y documente un análisis de riesgos para ver dónde se está utilizando y almacenando la información clínica con el fin de determinar todas las formas en que se podría violar la ley HIPAA | Obligatorio | Solicitar documento |
| Proceso de gestión de la seguridad - Gestión de riesgos: Aplicar medidas suficientes para reducir estos riesgos a un nivel adecuado | Obligatorio | |
| Proceso de gestión de la seguridad - Política de sanciones: Implementar políticas de sanciones para los empleados que no cumplan los procesos | Obligatorio | Solicitar documento |
| Proceso de gestión de la seguridad - Revisión de la actividad de los sistemas de información: Revise periódicamente la actividad del sistema, los registros de auditoría, etc | Obligatorio | Solicitar documentación de pauta de revisión realizada |
| Responsabilidad de seguridad asignada - Oficiales : Designe a los Oficiales de seguridad y privacidad de la política HIPAA | Obligatorio | Solicitar nombres y CV |
| Seguridad de la Fuerza Laboral - Supervisión del Empleado: Implementar procedimientos para autorizar y supervisar a los empleados que trabajan con datos clínicos, y para otorgar y retirar el acceso a información clínica de los empleados. Asegurar que el acceso de un empleado a la información clínica termine con el fin del contrato | Solicitar política de usuarios y contraseñas | |
| Gestión del acceso a la información - Múltiples organizaciones: Asegurar que la información clínica no sea accedida por organizaciones de patrocinadores o socios o subcontratistas que no estén autorizados para acceder a ella | Obligatorio | Solicitar política de control de influencias |
| Gestión de Acceso a la Información: Implementar procedimientos para otorgar acceso a información clínica que documenten cada acceso, o a los servicios y sistemas que otorgan acceso a información clínica | Ver si la empresa exige firma de consentimiento a los empleados sobre el tipo de información que manejan | |
| Concientización y capacitación sobre seguridad - Recordatorios de seguridad: Envíe periódicamente actualizaciones y recordatorios sobre las políticas de seguridad y privacidad a los empleados | Solicite copia de los envíos de la empresa a sus empleados | |
| Concienciación y formación en materia de seguridad - Protección contra malware: Disponer de procedimientos para protegerse contra el software malicioso, detectarlo y notificarlo | Solicitar documentación de las actividades de evaluación | |
| Concientización y capacitación en seguridad - Monitoreo de inicios de sesión: Monitoreo de inicios de sesión de los sistemas y reporte de discrepancias | Solicitar ver la consola de monitoreo de inicios de sesión | |
| Concientización y capacitación sobre seguridad - Administración de contraseñas: Asegúrese de que existen procedimientos para crear, cambiar y proteger las contraseñas | Solicitar cómo funciona la administración de contraseñas en el sistema | |
| Procedimientos para incidentes de seguridad - Respuesta e informes: Identifique, documente y responda a los incidentes de seguridad | Obligatorio | Solicitar el informe y documentación de los incidentes |
| Plan de Contingencia: Tener Plan: Asegurar que haya copias de seguridad accesibles a la información clínica y que existan procedimientos para restaurar cualquier dato perdido | Obligatorio | Solicitar información de los backups |
| Plan de Contingencia - Actualizaciones y Análisis de Planes de Contingencia: Disponer de procedimientos para la comprobación y revisión periódica de los planes de contingencia | Solicitar versión de la documentación de contingencia y ver que tenga fecha de caducidad | |
| Plan de Contingencia - Modo Emergencia: Establecer (e implementar los procedimientos necesarios) para permitir la continuación de los procesos críticos de negocio para la protección de la seguridad de la información clínica mientras se opera en modo de emergencia | Obligatorio | Solicitar plan de contingencia |
| Evaluaciones: Realice evaluaciones periódicas para ver si hay cambios en su negocio o en la ley que requieran cambios en sus procedimientos de cumplimiento de la HIPAA | Obligatorio | Solicitar documentación de las revisiones periódicas |
| Acuerdos de asociación: Tener contratos especiales con socios comerciales que tendrán acceso a su información clínica para asegurarse de que cumplan con los requisitos de la Ley HIPAA | Obligatorio | Solicitar lista de empresas asociadas que tengan acceso a la información |