Oprogramowanie zapewniające zgodność z HIPAA

Monitorowanie aktywności wewnętrznej i wykrywanie anomalii. Reaguj na incydenty. ALL-IN-ONE

Dostęp do portalu demonstracyjnego Kontakt

Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) reguluje szeroki zakres działań związanych z usługami opieki zdrowotnej. Jedną z jej głównych funkcji jest zapobieganie oszustwom i nadużyciom danych w opiece zdrowotnej. Surowe przepisy dotyczące zgodności z HIPAA mają na celu ochronę danych osobowych dotyczących opieki zdrowotnej przed nieuprawnionym dostępem.

Kto musi spełniać wymogi HIPAA?

HIPAA definiuje trzy kategorie podmiotów objętych przepisami:

Podmioty świadczące usługi medyczne — szpitale, kliniki, laboratoria medyczne, apteki, domy opieki, lekarze, psychologowie, dentyści, kręgarze itp.
Plany opieki zdrowotnej — firmy oferujące ubezpieczenia zdrowotne i usługi w zakresie profilaktyki zdrowotnej, programy rządowe, takie jak Medicare i Medicaid, programy opieki zdrowotnej dla wojskowych
Centra wymiany informacji medycznych — organizacje, które tworzą, otrzymują, przechowują, edytują lub przekazują wszelkie chronione informacje medyczne (PHI).

Business associates (and their subcontractors) that work with healthcare organizations are also subject to HIPAA compliance requirements. Although they aren’t listed as HIPAA covered entities, these associates process PHI and therefore share the same responsibilities.

Podmioty świadczące usługi medyczne

Plany opieki zdrowotnej

Centra rozliczeniowe opieki zdrowotnej

Partnerzy biznesowi w sektorze opieki zdrowotnej

Innymi słowy, każda organizacja zajmująca się danymi medycznymi (PHI) musi spełniać wymagania HIPAA. Ustawa nie określa jasno częstotliwości audytów, ale ogólnie zaleca się przeprowadzanie audytów HIPAA i samooceny raz w roku lub po wprowadzeniu istotnych zmian w środowisku IT.

Przejście audytu zgodności z HIPAA może stanowić spore wyzwanie i zazwyczaj wymaga użycia specjalnego oprogramowania do monitorowania i kontrolowania dostępu użytkowników do danych wrażliwych.

Kluczowe wymagania dotyczące zgodności z HIPAA w zakresie ochrony danych

Wymogi dotyczące zgodności z HIPAA są określone w kilku kluczowych zasadach:

Lista kontroli HIPAA dotyczących ochrony danych została opisana w dwóch pierwszych zasadach.

Zasada prywatności określa standardy bezpieczeństwa danych medycznych (PHI) oraz środki ochrony prywatności tych danych. Zasada ta określa również warunki, w których dane te mogą być wykorzystywane bez zgody pacjenta.

Zasada bezpieczeństwa określa środki bezpieczeństwa dotyczące elektronicznych danych medycznych (ePHI) oraz wymagane funkcje oprogramowania zapewniającego zgodność z HIPAA. Zasada ta określa następujące zabezpieczenia:

Administracyjne — Wymagane praktyki, zasady i procedury zapewniające bezpieczeństwo ePHI
Fizyczne — środki mające na celu zapewnienie fizycznego bezpieczeństwa budynków i urządzeń, w których przechowywane są dane ePHI.
Techniczne — technologie zapewniające dostęp do elektronicznych danych medycznych (ePHI) i chroniące je przed zagrożeniami cyfrowymi.

Uwaga!

Kontrole HIPAA mogą być wymagane lub możliwe do zastosowania.
Wymagane środki kontroli są obowiązkowe dla wszystkich podmiotów objętych przepisami lub partnerów biznesowych. Środki kontroli, które można zastosować, muszą zostać wdrożone, jeśli jest to uzasadnione w przypadku danej organizacji. Wybór należy udokumentować w odpowiedniej polityce bezpieczeństwa. Jeśli nie masz pewności, czy dany wymóg, który można zastosować, ma zastosowanie w Twoim przypadku, najlepiej go wdrożyć — ostrożności nigdy za wiele.

Łatwo wdrażaj wszystkie kluczowe zabezpieczenia administracyjne i techniczne.

Dzięki Syteca możesz łatwo wdrożyć wszystkie kluczowe zabezpieczenia administracyjne i techniczne:

Zabezpieczenia administracyjne

Izolowanie dostępu stron trzecich

Uprawnienia dostępu

Ustanowienie i modyfikacja dostępu

Zarządzanie hasłami

Raportowanie i reakcje

Zabezpieczenia techniczne

Unikalna identyfikacja użytkownika

Procedura dostępu w sytuacjach awaryjnych

Kontrole integralności

Zabezpieczenia administracyjne

§164.308.A.4 (A) Izolowanie dostępu stron trzecich (wymagane). Podmiot objęty przepisami musi chronić swoje ePHI przed dostępem innych organizacji. Firma Syteca osiąga to poprzez ciągłe monitorowanie dostawców zewnętrznych, rejestrowanie sesji RDP i SSH oraz zestaw narzędzi do zarządzania tożsamością i dostępem.
§164.308.A.4 (B) Uprawnienia dostępu (adresowalne). Wszyscy pracownicy mający dostęp do ePHI muszą posiadać odpowiednie uprawnienia. Firma Syteca stosuje funkcję zarządzania tożsamością, która obejmuje uwierzytelnianie dwuskładnikowe (2FA). Funkcja ta pozwala potwierdzić tożsamość osoby i jej uprawnienia dostępu poprzez wysłanie kodu potwierdzającego na zweryfikowane urządzenie.
§164.308.A.4 (C) Ustanowienie i modyfikacja dostępu (adresowalne). Podmiot powinien mieć możliwość ustanawiania i modyfikowania zasad dostępu użytkowników. Funkcja zarządzania dostępem Syteca zapewnia elastyczne kontrole dostępu HIPAA zarówno dla zwykłych, jak i uprzywilejowanych użytkowników.
§164.308.A.5 (D) Zarządzanie hasłami (adresowalne). Podmiot musi bezpiecznie tworzyć, przechowywać i dystrybuować dane uwierzytelniające użytkowników. Funkcja zarządzania hasłami firmy Syteca spełnia wszystkie te wymagania i umożliwia zarządzanie kluczami SSH/Telnet (dla środowisk UNIX), kluczami Windows Active Directory oraz innymi danymi poufnymi.
§164.308.A.6 Reakcja i zgłaszanie (wymagane). Wszystkie zagrożenia bezpieczeństwa powinny być identyfikowane i zgłaszane. Syteca pomaga wykrywać zagrożenia poprzez ciągłe monitorowanie wszystkich działań użytkowników, powiadamianie personelu bezpieczeństwa o podejrzanych działaniach oraz dostarczanie szczegółowych raportów dotyczących każdego incydentu na potrzeby audytu bezpieczeństwa HIPAA.

Zabezpieczenia techniczne

§164.312.A.2. (i) Unikalna identyfikacja użytkownika (wymagana). Każdy użytkownik powinien posiadać unikalne dane uwierzytelniające. Syteca zarządza danymi uwierzytelniającymi dla każdego użytkownika i zapewnia dodatkowe uwierzytelnianie w celu rozróżnienia użytkowników kont współdzielonych.
§164.312.A.2. (ii) Procedura dostępu w sytuacjach awaryjnych (wymagana). W przypadku sytuacji awaryjnej administrator podmiotu powinien mieć możliwość uzyskania dostępu do ePHI lub zakończenia podejrzanych sesji użytkowników. Syteca może automatycznie zablokować działanie, sesję lub użytkownika po wykryciu naruszenia bezpieczeństwa. Funkcjonariusz ds. bezpieczeństwa może również wykonać tę czynność ręcznie, a także przyznać awaryjny dostęp do wrażliwych danych, wydając jednorazowe hasła.
§164.312.C.2. Uwierzytelnianie użytkownika (adresowalne). Podmiot objęty przepisami powinien dysponować mechanizmem uwierzytelniania każdego użytkownika, który zmienia lub niszczy ePHI. Syteca realizuje to za pomocą 2FA. Ponadto funkcja monitorowania użytkowników zapewnia wgląd w wszelkie działania związane z ePHI.
§164.312.E.2.(i) Kontrola integralności (adresowalna). Nie można wprowadzać niezauważalnych zmian w danych ePHI podczas ich przesyłania. Dzięki monitorowaniu Syteca każda interakcja z danymi jest rejestrowana. Dlatego też, jeśli ktoś spróbuje zmodyfikować dane podczas ich przesyłania, podmiot będzie miał pełną dokumentację tego zdarzenia. Ponadto dokumentacja ta może zostać wyeksportowana do chronionego pliku w celu przeprowadzenia dalszych działań kryminalistycznych.

Syteca to wydajna platforma ochrony przed zagrożeniami wewnętrznymi, która pomaga spełnić wymogi kontroli bezpieczeństwa HIPAA. Elastyczne licencjonowanie punktów końcowych i architektura dostosowana do potrzeb przedsiębiorstw sprawiają, że Syteca jest idealnym rozwiązaniem zapewniającym zgodność z HIPAA.

Spełniaj inne wymagania bezpieczeństwa IT z Syteca

NISPOM Change 2 and H.R. 666

Porozmawiajmy o potrzebach w zakresie ochrony danych przedsiębiorstwa

Bezpieczeństwo danych korporacyjnych nigdy nie było bardziej zagrożone niż obecnie. Skontaktuj się z nami, aby dowiedzieć się więcej o tym, jak Ekran System może zapewnić ochronę Twoich danych przed zagrożeniami wewnętrznymi.

Skontaktuj się