¿Puede la PHI ser compatible con HIPAA en una nube?

25

He leído información contradictoria sobre si la PHI se puede almacenar y entregar en una nube de una manera compatible con HIPAA. Escucho a muchas personas que dicen que no se puede compartir la infraestructura y cumplir con HIPAA.

¿Qué se debe tener en cuenta al almacenar la PHI en una nube?

    
pregunta 02.03.2012 - 20:57
fuente

8 respuestas

12

En general está de acuerdo con Lynn.

Y para agregar más, las nubes públicas son nubes de propósito general y, por lo tanto, la privacidad no se implementa completamente. Ese es el núcleo del requisito de HIPAA. Pero si hay nubes que son equivalentes a HealthVault o nubes puramente privadas, es muy posible.

Mi punto es: las nubes públicas actuales no están diseñadas teniendo en cuenta la atención médica. Pero un aplicaciones de uso general conectado. Y por lo tanto, no son totalmente compatibles con HIPAA. Además, las personas que gestionan las nubes deben tener certificaciones HIPAA o CITI o similares para poder ser convocadas como personal calificado para administrar la nube. ¡Dudo mucho que haya alguna oferta de nube pública que cumpla con estos criterios básicos!

Por supuesto, esta es mi observación personal después de trabajar en esta industria por mucho tiempo y sin obligaciones.

    
respondido por el abirnale 05.03.2012 - 04:52
fuente
10

La Regla de seguridad de la HIPAA habla sobre los controles de seguridad necesarios para proteger la PHI. Hay muchas cosas que hay que tener en cuenta: controles administrativos, seguridad física, seguridad técnica. No he visto nada personalmente que pudiera descartar completamente el almacenamiento en la nube, pero no he investigado exhaustivamente. Tendrías que trabajar a través de todos los ángulos para que tu propia aplicación esté segura. Y el almacenamiento en la nube sin duda presenta algunos desafíos, entre ellos:

  • Seguridad física: debe asegurarse de que solo las personas autorizadas puedan acceder a los servidores. Si se trata de su nube, esto probablemente no sea un problema, pero si solo está almacenando datos en alguna granja de almacenamiento en la nube compartida, tendrá que investigar sus medidas de seguridad y concluir si son adecuadas.

  • Seguridad de la transmisión: me parece que los datos en la nube se enviarían a más, lo que presenta desafíos adicionales relacionados con la seguridad de la transmisión. Pero no es nada que no pueda superar con los canales de datos seguros.

respondido por el Lynn 03.03.2012 - 05:55
fuente
9

Amazon ofrece un documento técnico sobre este mismo tema para su servicio web de Amazon y promociona a varios clientes que han avanzado.

Consulte la sección "¿Está interesado en el cumplimiento de HIPAA?" barra lateral aquí , así como este documento técnico .

Actualización: Hice un seguimiento del enlace proporcionado a continuación por Mike Schenk y encontré lo siguiente declaración :

  

Q. ¿Ofrece AWS GovCloud mejor seguridad que otras regiones de AWS?

     

AWS GovCloud ofrece el mismo nivel de seguridad que otros AWS   Regiones y admite los controles y certificaciones de seguridad existentes de AWS.   tales como FISMA, SAS-70, ISO 27001, puntos finales compatibles con FIPS 140-2, y   PCI DSS Nivel 1. AWS también proporciona un entorno que permite   agencias para cumplir con las regulaciones de la HIPAA. La única diferencia es que   AWS ha agregado una capa de permisos a la región GovCloud de AWS que   restringe el acceso a aquellos en una lista aprobada de personas de EE. UU.

    
respondido por el dividius 07.03.2012 - 23:01
fuente
2

Tuve la oportunidad de preguntarle a Mark Russinovich del proyecto Microsoft Azure sobre esto. Dijo (parafraseando) que las industrias de la salud y la banca son probablemente el último grupo en adoptar la computación en la nube precisamente por estas razones.

También dijo que es responsabilidad de los propietarios de la nube (Microsoft, en este caso) obtener las certificaciones necesarias para el cumplimiento de HIPAA. Mencionó que estaban certificados por SAS / ISO y auditados regularmente por terceros.

Yo diría que cambia la pregunta de "¿qué está haciendo su equipo para implementar HIPAA" a "si el tercero está implementando HIPAA". En mi opinión, una pregunta no es necesariamente más fácil de responder que la otra, depende de sus recursos y de los recursos de terceros.

    
respondido por el bryanjonker 05.03.2012 - 16:33
fuente
1

Estos son requisitos y recomendaciones desde la perspectiva de un centro de datos / proveedor de alojamiento compatible con HIPAA auditado por terceros:

Requerido:

  • Antivirus
  • gestión de parches del sistema operativo
  • Copia de seguridad y recuperación de desastres
  • Alta disponibilidad, cortafuegos redundantes
  • Alta disponibilidad, enrutadores redundantes
  • Proveedores de servicios de Internet (ISP) redundantes y de alta disponibilidad
  • Personal capacitado de HIPAA y políticas documentadas

Recomendado (ofrece seguridad mejorada):

  • autenticación de dos factores
  • certificado SSL (para aplicaciones web)
  • Supervisión de integridad de archivos
  • cortafuegos de aplicaciones web
  • Cifrado

Ya sea una nube privada o servidores administrados, estos son estándar. Lea el documento técnico aquí: enlace

    
respondido por el Thu Pham 19.04.2012 - 17:16
fuente
0

Lamentablemente, las leyes siempre tendrán que ponerse al día con la tecnología.

Analicé esto antes de que mi empleador comprara un nuevo servidor y seguí encontrando Firehost enlace eche un vistazo en su información sobre el cumplimiento de la ley HIPAA. Otra vía que busqué para compartir documentos es Google docs, que no cumple con los requisitos (al menos cuando lo investigué). Solo asegúrese de documentar todo y disminuirá el riesgo considerablemente si se mantiene con los proveedores documentados de HIPAA. Sé que algunos hospitales alquilan espacio para sus antiguos sistemas heredados (AS / 400) a partir de muestras, ya que es más barato pagarles para asegurar sus aplicaciones y datos que contratar a I.T. personal, pero eso es en un entorno empresarial.

    
respondido por el Brad 02.04.2012 - 19:20
fuente
0

Amazon AWS admite el alojamiento compatible con HIPAA. Sin embargo, no es barato: deberá usar instancias dedicadas o un host dedicado. AWS firmará un Acuerdo de Asociado de Negocios (BAA) con usted validando su cumplimiento con HIPAA. Más información está disponible aquí: enlace

Tienen un informe técnico aquí: enlace

    
respondido por el Jesse Barnum 25.12.2015 - 17:24
fuente
-3

Los proveedores de terceros de la nube (Google, Dropbox, ...) NO son compatibles con HIPAA. No tienen que estar de acuerdo con la ley y una lectura de sus Términos de servicio y Preguntas frecuentes le dirá esto. Estas son algunas de las razones:

Estos proveedores escanean todas las cargas a su almacenamiento. Los empleados (incluso los no estadounidenses) están permitidos y leen sus datos. Estos servicios establecen que, si bien NO TIENEN PROPIO que sus datos se carguen, se le exige que les dé permiso para hacer lo que quieran con sus datos, incluida la edición y la visualización pública de sus datos. Esto también incluye el derecho a ceder sus datos a terceros.

    
respondido por el Howard Forman 29.03.2013 - 23:15
fuente

Lea otras preguntas en las etiquetas