¿El correo electrónico es menos seguro que el correo de voz, el correo postal o los portales de Internet para transferir información confidencial?

Question

¿El correo electrónico es menos seguro que el correo de voz, el correo postal o los portales de Internet para transferir información confidencial?

#1 de Xander (43 votos)
#2 de ChrisW (8 votos)

34

Donde estoy en los EE. UU., los proveedores de atención médica se niegan a enviar cualquier cosa a través del correo electrónico (por ejemplo, incluso algo tan trivial como un recordatorio de cita). A menudo afirman que el correo electrónico no es seguro.

En su lugar, me enviarán información (por ejemplo, recordatorios de citas, mensajes de mi médico) a través del correo de voz, correo postal o algún portal de Internet mal diseñado y mal diseñado para inscribirse.

¿Existe alguna evidencia de que el correo electrónico sea menos seguro que estos otros modos de comunicación? Me parece que lo contrario es cierto, por ej. el correo postal puede perderse o ser robado por cualquiera que esté dispuesto a pasear por mi buzón (al menos en la mayoría de los Estados Unidos donde no hay candado ni llave para los buzones).

email

pregunta Kenny LJ 18.09.2014 - 15:54

fuente

2 respuestas

Lea otras preguntas en las etiquetas email

¿El almacenamiento de contraseñas antiguas en Facebook compromete la seguridad? [duplicar] ¿Puede alguien explicar qué se logra exactamente mediante la generación de parámetros DH?

score 43 · Answer 1

Sí, el correo electrónico es inseguro y no debe utilizarse para entregar datos confidenciales. Eso no significa que deban rechazar el envío de nada por correo electrónico, pero dada la HIPAA y las posibles sanciones en caso de incumplimiento, no me sorprende que algunos proveedores opten por cometer errores en la Lado de extrema cautela y evitar el correo electrónico por completo.

Este es el motivo por el que el correo electrónico es inseguro: el proveedor no controla todo el canal. Una vez que un correo electrónico dejó su sistema, no tienen forma de garantizar que se cifrará y se protegerá de miradas indiscretas a medida que avanza por Internet y su bandeja de entrada. De hecho, con el estado del correo electrónico actual, es muy probable que no esté cifrado a lo largo de toda la ruta de tránsito. Por lo tanto, si enviaran su PHI por correo electrónico y fue robada o mal utilizada, no sería irrazonable argumentar que no mostraron el debido cuidado y deberían haberlo sabido mejor, por lo tanto, seríamos responsables de la fuga Cuando busca su sitio web en un navegador, pueden afirmar con confianza que la información se se envía de forma segura a su pantalla mediante el uso de HTTPS.

Este riesgo puede eliminarse (virtualmente) mediante el uso de encriptación como PGP. ¿Sabes lo que es la captación de PGP? Porcentaje de todos los usuarios de correo electrónico, en el mejor de un solo dígito bajo. E incluso esos usuarios tienden a odiarlo y lo ven como un mal necesario. Eso puede cambiar en el futuro, pero esa es la realidad de hoy. ¿Sabe cuál es la aceptación del uso de HTTPS a través de la web? 100%. Cada navegador lo admite, y es completamente indoloro para el usuario final. Usa lo que funciona para tus usuarios.

¿Es el correo de caracol más inseguro? ¿No por qué no? Porque la pieza de correo tiene una única ubicación física y no puede ser robada sin la presencia física y el riesgo personal para el ladrón. Robar cosas de internet es fácil. La red captura las capturas, y los servidores de correo que registran el correo electrónico no cifrado no representan tanto un riesgo como un hecho. Es muy poco probable que el correo postal sea interceptado. El USPS tiene toda una división de aplicación de la ley para protegerla. Tienen un registro estelar (no perfecto en ningún sentido de la imaginación, pero muy bueno) de entregar el correo a los destinatarios previstos. Es razonable que una empresa confíe en USPS para entregarle información confidencial sin ser molestado. No es razonable esperar lo mismo del correo electrónico SMTP.

Entonces, sí, el hecho de que no le proporcionen ninguna información por correo electrónico es excesivamente conservador. El hecho de que no proporcionen PHI de esa manera, ciertamente no lo es.

score 8 · Answer 2

HIPAA hace que el uso del correo electrónico sea complicado.

El 99% de las entidades cubiertas cometen el enorme error de pensar que pueden cumplir con HIPAA simplemente implementando una solución de cifrado de correo electrónico. Lo que no entienden es que HIPAA Email Compliance tiene mucho más que solo usar el cifrado.

Sin embargo, un recordatorio de cita trivial podría estar bien , si aceptó y confirmó su dirección de correo electrónico,

La regla de seguridad no prohíbe la comunicación por correo electrónico u otros medios electrónicos. La información puede enviarse a través de Internet siempre que esté adecuadamente protegida. En general, la información de correo electrónico, como los recordatorios de citas, se permite como parte del tratamiento y no requiere autorización bajo la Regla de privacidad. Los proveedores deben asegurarse de que el correo electrónico contenga la cantidad mínima de información necesaria, verificar la dirección de correo electrónico y confirmar que el paciente desea recibir correos electrónicos. El aviso de privacidad debe incluir el lenguaje sobre los recordatorios de citas.

OMI, los proveedores de atención de la salud no son expertos en seguridad y, por lo tanto, no están haciendo un reclamo notable sobre el correo electrónico: en su lugar, están tratando de cumplir con la legislación de HIPAA.