Aplicación utilizada en la industria de la salud: HIPAA HITECH "requisitos" de alojamiento

Navega tus respuestas
1

En mi empleador tenemos una situación en la que alojamos una aplicación que se utiliza para cargar, almacenar, y amp; Gestión de documentos relacionados con facturas de pacientes de proveedores de salud. Sabemos hasta ahora que estos documentos contienen PHI, y hay muchas políticas desarrolladas en nuestro Programa de Seguridad para mitigar los riesgos de nuestra solución de alojamiento actual.

Desde el punto de vista de la arquitectura de la aplicación pura, la aplicación está expandiendo rápidamente su espacio de disco usado, y estamos tratando de decidir si podemos aprovechar el almacenamiento en la nube de alguna manera. Obviamente, la introducción de otro proveedor de alojamiento debe ir acompañada de nuestra verificación de mitigación de riesgos en su nombre, como en la forma de un Acuerdo de Asociados Comerciales (BAA) ...

al menos esa es la forma tradicional de mantener la "cadena de custodia" de cualquier número de proveedores de hosting.

Primero preguntaré: ¿estoy fuera de la base con esa declaración ^^?

Luego, haré la pregunta: ¿se requiere que un BAA (¿por ley?) sea el anfitrión de la PHI para que exista una cadena de custodia? Si no es así, ¿es un BAA aún aplicable o incluso plausible para cualquier persona que desee utilizar los servicios del proveedor de la nube?

¡Gracias por tu ayuda! ¡Aclamaciones! SAM

    
pregunta maloitpro 03.04.2017 - 20:07
fuente

1 respuesta

1

Usted no está fuera de base en su evaluación. Poner la PHI en la nube significa que ese proveedor ahora es responsable del cumplimiento. Ahora juegan un papel importante en la cadena de custodia de la PHI.

Los BAA se requieren tanto como si utiliza un proveedor en la nube y no tiene un BAA hermético, usted está en el anzuelo por el riesgo. Piensa en la cadena de esta manera:

Hospital (Entidad cubierta) < - > Usted al servicio del hospital (BA) < - > AWS

Es probable que tenga un BAA en el hospital donde asumió todos los riesgos técnicos de manejar la PHI del hospital. Pero AWS es una parte crítica en la cadena que maneja la PHI. Si no tiene un BAA con AWS, no está transfiriendo el riesgo de cumplimiento a la parte realmente responsable. Por ejemplo, si por algún motivo impío, un centro de datos importante fue robado y los discos duros fueron robados, USTED está enganchado si no tiene un BAA.

Sin embargo, tenga en cuenta que todas las nubes públicas solo cubren una fracción muy pequeña del cumplimiento en su totalidad. La traducción es "cadena de custodia" a "Modelo de responsabilidad compartida". Aquí está AWS: enlace

Entonces, por ejemplo, con AWS, solo cubren alrededor de 1/10 (seguridad física, firewall). Su BAA no asume otros controles como el cifrado o el registro o la recuperación de desastres.

Si desea utilizar la nube, debe investigar una empresa como Datica, para la que trabajo. Empresas como esa que se sientan en la parte superior de las nubes públicas mantendrán y asumirán el riesgo de los otros 10/10, por así decirlo. Este recurso le puede resultar útil para explicar el concepto.

    
respondido por el Kris Gösser 29.08.2017 - 16:46
fuente

Lea otras preguntas en las etiquetas

Procesos de usuario de Windows ejecutándose como hijos de explorer.exe Cómo verificar si mi versión de OpenSSL es vulnerable a CVE-2016-7056 (ECDSA P-256 Key Recovery Timing Attack)