Como el lenguaje de HIPAA es un tanto vago cuando se trata de requisitos técnicos reales, ¿cuáles son las mejores prácticas para el cifrado de PHI para el cumplimiento de HIPAA?
He visto diferentes niveles en diferentes organizaciones. Algunos simplemente lo cifran en transferencia, otros cuando están en reposo también. Una organización con la que traté el cifrado PGP requerido de los archivos, incluso al transferir a través de SFTP.
Trabajo en la integración de la atención médica y tratar con el cifrado es una necesidad. Si estamos diseñando interfaces HL7 en tiempo real para proveedores externos que están fuera de nuestra red corporativa, entonces definitivamente configuramos una conexión VPN dedicada a tiempo completo y, por supuesto, cifrada entre los dos. Esto se debe principalmente a que muchas aplicaciones no pueden admitir el cifrado SSL en una interfaz HL7 TCP / IP (aunque la mayoría de los motores de integración lo hacen).
Al realizar transferencias de archivos, insistimos en utilizar FTPS (FTP sobre SSL) o SFTP (Protocolo seguro de transferencia de archivos). Algunos proveedores nos exigen que hagamos el cifrado PGP y la firma de archivos también.
Como mínimo, debe tener cifrado de transporte. Además de eso, el cifrado de datos solo puede ayudar.
Como una nota sobre "datos en reposo". Para nuestros servidores MSSQL, hemos implementado el cifrado transparente de datos ( TDE ). Estamos considerando esto como dentro de los límites para proteger la PHI. Para ser justos, no manejamos reclamaciones o información del paciente.
La "mejor" práctica es la evaluación de riesgos y la mitigación de riesgos. El cifrado es solo una de las capas de mitigación de riesgos.
El uso de algoritmos de cifrado certificados por FIPS 140-2 Anexo A sería la mejor práctica; el uso genérico de TLS o SFTP sin configurar los cifrados criptográficos adecuadamente no lo corta.
El uso del cifrado de datos de la capa de base de datos puede ser apropiado, por ejemplo, si existe el riesgo de que el hardware físico sea robado; Si el hardware se encuentra en un centro de datos reforzado, el uso del cifrado de la capa de base de datos puede impresionar a las personas ("nuestros datos están cifrados en reposo") sin mitigar apreciablemente los riesgos de divulgación.
Esta página directamente de HHS.gov tiene un enlace a algunos buenos enfoques y mejores prácticas para los requisitos técnicos de HIPAA. Comenzaría con los enlaces en Serie de documentos educativos sobre normas de seguridad y también verificaría los enlaces a las publicaciones del NIST para obtener más orientación técnica.
Lea otras preguntas en las etiquetas encryption hipaa