He leído información contradictoria sobre si la PHI se puede almacenar y entregar en una nube de una manera compatible con HIPAA. Escucho a muchas personas que dicen que no se puede compartir la infraestructura y cumplir con HIPAA.
¿Qué se debe tener en cuenta al almacenar la PHI en una nube?
En general está de acuerdo con Lynn.
Y para agregar más, las nubes públicas son nubes de propósito general y, por lo tanto, la privacidad no se implementa completamente. Ese es el núcleo del requisito de HIPAA. Pero si hay nubes que son equivalentes a HealthVault o nubes puramente privadas, es muy posible.
Mi punto es: las nubes públicas actuales no están diseñadas teniendo en cuenta la atención médica. Pero un aplicaciones de uso general conectado. Y por lo tanto, no son totalmente compatibles con HIPAA. Además, las personas que gestionan las nubes deben tener certificaciones HIPAA o CITI o similares para poder ser convocadas como personal calificado para administrar la nube. ¡Dudo mucho que haya alguna oferta de nube pública que cumpla con estos criterios básicos!
Por supuesto, esta es mi observación personal después de trabajar en esta industria por mucho tiempo y sin obligaciones.
Seguridad física: debe asegurarse de que solo las personas autorizadas puedan acceder a los servidores. Si se trata de su nube, esto probablemente no sea un problema, pero si solo está almacenando datos en alguna granja de almacenamiento en la nube compartida, tendrá que investigar sus medidas de seguridad y concluir si son adecuadas.
Seguridad de la transmisión: me parece que los datos en la nube se enviarían a más, lo que presenta desafíos adicionales relacionados con la seguridad de la transmisión. Pero no es nada que no pueda superar con los canales de datos seguros.
Amazon ofrece un documento técnico sobre este mismo tema para su servicio web de Amazon y promociona a varios clientes que han avanzado.
Consulte la sección "¿Está interesado en el cumplimiento de HIPAA?" barra lateral aquí , así como este documento técnico .
Actualización: Hice un seguimiento del enlace proporcionado a continuación por Mike Schenk y encontré lo siguiente declaración :
Q. ¿Ofrece AWS GovCloud mejor seguridad que otras regiones de AWS?
AWS GovCloud ofrece el mismo nivel de seguridad que otros AWS Regiones y admite los controles y certificaciones de seguridad existentes de AWS. tales como FISMA, SAS-70, ISO 27001, puntos finales compatibles con FIPS 140-2, y PCI DSS Nivel 1. AWS también proporciona un entorno que permite agencias para cumplir con las regulaciones de la HIPAA. La única diferencia es que AWS ha agregado una capa de permisos a la región GovCloud de AWS que restringe el acceso a aquellos en una lista aprobada de personas de EE. UU.
Tuve la oportunidad de preguntarle a Mark Russinovich del proyecto Microsoft Azure sobre esto. Dijo (parafraseando) que las industrias de la salud y la banca son probablemente el último grupo en adoptar la computación en la nube precisamente por estas razones.
También dijo que es responsabilidad de los propietarios de la nube (Microsoft, en este caso) obtener las certificaciones necesarias para el cumplimiento de HIPAA. Mencionó que estaban certificados por SAS / ISO y auditados regularmente por terceros.
Yo diría que cambia la pregunta de "¿qué está haciendo su equipo para implementar HIPAA" a "si el tercero está implementando HIPAA". En mi opinión, una pregunta no es necesariamente más fácil de responder que la otra, depende de sus recursos y de los recursos de terceros.
Estos son requisitos y recomendaciones desde la perspectiva de un centro de datos / proveedor de alojamiento compatible con HIPAA auditado por terceros:
Requerido:
Recomendado (ofrece seguridad mejorada):
Ya sea una nube privada o servidores administrados, estos son estándar. Lea el documento técnico aquí: enlace
Lamentablemente, las leyes siempre tendrán que ponerse al día con la tecnología.
Analicé esto antes de que mi empleador comprara un nuevo servidor y seguí encontrando Firehost enlace eche un vistazo en su información sobre el cumplimiento de la ley HIPAA. Otra vía que busqué para compartir documentos es Google docs, que no cumple con los requisitos (al menos cuando lo investigué). Solo asegúrese de documentar todo y disminuirá el riesgo considerablemente si se mantiene con los proveedores documentados de HIPAA. Sé que algunos hospitales alquilan espacio para sus antiguos sistemas heredados (AS / 400) a partir de muestras, ya que es más barato pagarles para asegurar sus aplicaciones y datos que contratar a I.T. personal, pero eso es en un entorno empresarial.
Amazon AWS admite el alojamiento compatible con HIPAA. Sin embargo, no es barato: deberá usar instancias dedicadas o un host dedicado. AWS firmará un Acuerdo de Asociado de Negocios (BAA) con usted validando su cumplimiento con HIPAA. Más información está disponible aquí: enlace
Tienen un informe técnico aquí: enlace
Los proveedores de terceros de la nube (Google, Dropbox, ...) NO son compatibles con HIPAA. No tienen que estar de acuerdo con la ley y una lectura de sus Términos de servicio y Preguntas frecuentes le dirá esto. Estas son algunas de las razones:
Estos proveedores escanean todas las cargas a su almacenamiento. Los empleados (incluso los no estadounidenses) están permitidos y leen sus datos. Estos servicios establecen que, si bien NO TIENEN PROPIO que sus datos se carguen, se le exige que les dé permiso para hacer lo que quieran con sus datos, incluida la edición y la visualización pública de sus datos. Esto también incluye el derecho a ceder sus datos a terceros.
Lea otras preguntas en las etiquetas cloud-computing hipaa