La primera pregunta que debe hacer es "¿Afecta HITECH (y por extensión a HIPAA) a mi compañía?" ¿Almacenas archivos con información protegida en ellos? ¿Mueves archivos con información protegida en ellos? Si la respuesta a cualquiera de estas preguntas es SÍ, debe examinar la seguridad de su organización. Asegúrese de que el acceso físico y digital a los archivos / datos esté registrado y sea auditable. Asegúrese de que los archivos / datos residen en el almacenamiento seguro física y digitalmente (en una unidad cifrada con las ACL adecuadas en un servidor en un rack bloqueado, donde el acceso físico al servidor está registrado y puede auditarse). Si los datos se encuentran en una base de datos, ¿está utilizando el cifrado de columnas en datos de identificación personal (piense en el apellido, dirección, dob, ssn, etc.)? Si está moviendo los archivos / datos, asegúrese de usar una conexión cifrada / segura para moverlos, es decir, HTTPS, SFTP, FTPS, etc., y que todos los movimientos se registren y puedan auditarse.
En primer lugar, cumpla con los conceptos básicos anteriores, luego preocupe por profundizar en más detalles de la legislación actual.