¿Qué significa que un software cumple con las normativas de HIPAA?

Muchas veces recibimos a empresas que al hablar de seguridad de su solución dicen, “somos HIPAA compliant” (cumplimos con las normas de HIPAA)

HIPAA es el acrónimo de Health Insurance Portability and Accountability Act (Ley de Portabilidad y Responsabilidad del Seguro Médico), una ley de USA aprobada en 1996 creada para modernizar el flujo de información de salud de forma segura (ver Ley).

La ley es extensa, y en algunos artículos toca los temas obligatorios que deben cumplir los sistemas de información en salud para “cumplir la ley”.

Esto es lo que tienen que cumplir los software para ser HIPPA-complient

  • Garantías Técnicas
  • Garantías Físicas
  • Garantías Administrativas

En la columna PEDIR A EMPRESA, hacemos un resumen de lo que deberían solicitar a una empresa que dice “cumplir HIPAA”. Si cumplen la Ley de HIPAA tienen que documentar todas las actividades que se presentan en este listado.

GARANTÍAS TÉCNICAS TIPO PEDIR A EMPRESA
Control de Acceso - Identificación Única de Usuario : Asignar un nombre y/o número único para identificar y rastrear la identidad del usuario Obligatorio Pregutnar qué ID utilizan para trazar el control de accesos
Control de Acceso - Procedimiento de Acceso ante Emergencias/Contingencias: Establezca (e implemente según sea necesario) procedimientos para acceder a información necesaria para atender a un paciente durante una emergencia Obligatorio Pedir información si la empresa tiene un backup o sistema de respaldo para acceder ante contingencias
Control de Acceso - Desconexión Automática: Implementar procedimientos electrónicos que terminen una sesión de usuario después de un tiempo predeterminado de inactividad Recomendable Ver que el software esté configurado con desconexión automática, ver cuánto tiempo es y si es configurable
Control de Acceso - Encriptación y Descifrado: Implementar un mecanismo para encriptar y descifrar información clínica Recomendable Ver algoritmo de encriptación utilizado y en qué proceso se utiliza. Ver rutinas de descifrado
Controles de auditoría: Implementar hardware, software y/o mecanismos de procedimiento que registren y examinen la actividad en los sistemas de información que contienen o utilizan información clínica Obligatorio Solicitar lista de antivirus, firewall, IPS utilizado junto a procedimientos de inspección de ataques
Integridad - Mecanismo para Autenticar información clínica: Implementar mecanismos electrónicos para corroborar que la información clínica no ha sido alterada o destruida de manera no autorizada Recomendable Solicitar uso de firma electrónica de la información o comparación de datos contra un backup (entre otros)
Autenticación: Implementar procedimientos para verificar que la persona o entidad que busca acceso a información clínica es la autorizada Obligatorio Solicitar mecanismo de validación de tokens vigente, validación de autenticación en los servicios
Seguridad de la Transmisión - Controles de Integridad: Implementar medidas de seguridad para asegurar que la información clínica transmitida electrónicamente no sea modificada o eliminada indebidamente Recomendable Solicitar protocolos de encriptación de la información punto a punto. Ver algoritmo utilizado
Seguridad de la transmisión - Encriptación : Implementar un mecanismo para encriptar la información clínica cuando se considere apropiado Recomendable Ver algoritmo de cifrado
GARANTÍAS FÍSICAS TIPO PEDIR A EMPRESA
Controles de acceso a las instalaciones - Operaciones de contingencia: Establecer (e implementar según sea necesario) procedimientos que permitan el acceso al datacenter para apoyar la restauración de los datos perdidos bajo el plan de recuperación de desastres y el plan de operaciones en modo de contingencia en caso de una emergencia Recomendable Solicitar procedimiento
Controles de acceso a las instalaciones - Plan de seguridad de las instalaciones: implemente políticas y procedimientos para proteger las instalaciones y los equipos que se encuentran en ellas contra el acceso físico, la manipulación y el robo no autorizado Solicite procedimiento
Controles de acceso a las instalaciones - Procedimientos de control de acceso y validación: Implementar procedimientos para controlar y validar el acceso de una persona a las instalaciones en función de su papel o función, incluido el control de los visitantes y el control de acceso a los programas de software para su comprobación y revisión Solicitar procedimiento
Controles de acceso a las instalaciones - Registros de mantenimiento: implemente políticas y procedimientos para documentar las reparaciones y modificaciones de los componentes físicos de una instalación que estén relacionados con la seguridad (por ejemplo, hardware, paredes, puertas y cerraduras) Solicitar política de reparaciones del datacenter
Uso de la estación de trabajo: implemente políticas y procedimientos que especifiquen las funciones adecuadas que se deben realizar, la manera en que se deben realizar dichas funciones y los atributos físicos del entorno de una estación de trabajo de administrador donde se pueda acceder a información clínica Obligatorio Solicite lista de los equipos desde donde se puede acceder a la consola de administración del sistema y las políticas que hay para esos accesos
Seguridad de la estación de trabajo: Implementar medidas físicas para todas las estaciones de trabajo que acceden a información clínica, para restringir el acceso a los usuarios autorizados Obligatorio Pedir información sobre las medidas físicas del datacenter
Controles de dispositivos y medios - Eliminación: Implementar políticas y procedimientos para abordar la eliminación de información clínica, y/o el hardware o medio electrónico en el que se almacena Obligatorio Política de formateo o destrucción de medios de almacenamiento antes de re-utilizarlos o discontinuar su uso
Controles de Dispositivos y Medios - Reutilización de Medios : Implementar procedimientos para remover la información clínica de los medios electrónicos antes de que los medios estén disponibles para su reutilización Obligatorio Solicitar procedimiento
Controles de dispositivos y medios - Responsabilidad: Mantener un registro de los movimientos del hardware, de los medios electrónicos y de cualquier persona responsable de los mismos Solicitar listado
Controles de dispositivos y medios - Copia de seguridad y almacenamiento de datos: Cree una copia recuperable y exacta de la información clínica, cuando sea necesario, antes del movimiento del equipo Ver política de backup de la información
GARANTÍAS ADMINISTRATIVAS OBLIGATORIEDAD PEDIR A EMPRESA
Proceso de administración de seguridad - Análisis de riesgos: Realice y documente un análisis de riesgos para ver dónde se está utilizando y almacenando la información clínica con el fin de determinar todas las formas en que se podría violar la ley HIPAA Obligatorio Solicitar documento
Proceso de gestión de la seguridad - Gestión de riesgos: Aplicar medidas suficientes para reducir estos riesgos a un nivel adecuado Obligatorio
Proceso de gestión de la seguridad - Política de sanciones: Implementar políticas de sanciones para los empleados que no cumplan los procesos Obligatorio Solicitar documento
Proceso de gestión de la seguridad - Revisión de la actividad de los sistemas de información: Revise periódicamente la actividad del sistema, los registros de auditoría, etc Obligatorio Solicitar documentación de pauta de revisión realizada
Responsabilidad de seguridad asignada - Oficiales : Designe a los Oficiales de seguridad y privacidad de la política HIPAA Obligatorio Solicitar nombres y CV
Seguridad de la Fuerza Laboral - Supervisión del Empleado: Implementar procedimientos para autorizar y supervisar a los empleados que trabajan con datos clínicos, y para otorgar y retirar el acceso a información clínica de los empleados. Asegurar que el acceso de un empleado a la información clínica termine con el fin del contrato Solicitar política de usuarios y contraseñas
Gestión del acceso a la información - Múltiples organizaciones: Asegurar que la información clínica no sea accedida por organizaciones de patrocinadores o socios o subcontratistas que no estén autorizados para acceder a ella Obligatorio Solicitar política de control de influencias
Gestión de Acceso a la Información: Implementar procedimientos para otorgar acceso a información clínica que documenten cada acceso, o a los servicios y sistemas que otorgan acceso a información clínica Ver si la empresa exige firma de consentimiento a los empleados sobre el tipo de información que manejan
Concientización y capacitación sobre seguridad - Recordatorios de seguridad: Envíe periódicamente actualizaciones y recordatorios sobre las políticas de seguridad y privacidad a los empleados Solicite copia de los envíos de la empresa a sus empleados
Concienciación y formación en materia de seguridad - Protección contra malware: Disponer de procedimientos para protegerse contra el software malicioso, detectarlo y notificarlo Solicitar documentación de las actividades de evaluación
Concientización y capacitación en seguridad - Monitoreo de inicios de sesión: Monitoreo de inicios de sesión de los sistemas y reporte de discrepancias Solicitar ver la consola de monitoreo de inicios de sesión
Concientización y capacitación sobre seguridad - Administración de contraseñas: Asegúrese de que existen procedimientos para crear, cambiar y proteger las contraseñas Solicitar cómo funciona la administración de contraseñas en el sistema
Procedimientos para incidentes de seguridad - Respuesta e informes: Identifique, documente y responda a los incidentes de seguridad Obligatorio Solicitar el informe y documentación de los incidentes
Plan de Contingencia: Tener Plan: Asegurar que haya copias de seguridad accesibles a la información clínica y que existan procedimientos para restaurar cualquier dato perdido Obligatorio Solicitar información de los backups
Plan de Contingencia - Actualizaciones y Análisis de Planes de Contingencia: Disponer de procedimientos para la comprobación y revisión periódica de los planes de contingencia Solicitar versión de la documentación de contingencia y ver que tenga fecha de caducidad
Plan de Contingencia - Modo Emergencia: Establecer (e implementar los procedimientos necesarios) para permitir la continuación de los procesos críticos de negocio para la protección de la seguridad de la información clínica mientras se opera en modo de emergencia Obligatorio Solicitar plan de contingencia
Evaluaciones: Realice evaluaciones periódicas para ver si hay cambios en su negocio o en la ley que requieran cambios en sus procedimientos de cumplimiento de la HIPAA Obligatorio Solicitar documentación de las revisiones periódicas
Acuerdos de asociación: Tener contratos especiales con socios comerciales que tendrán acceso a su información clínica para asegurarse de que cumplan con los requisitos de la Ley HIPAA Obligatorio Solicitar lista de empresas asociadas que tengan acceso a la información
2 me gusta