¿Puede alguien explicar brevemente el cumplimiento de HIPPA?

0

Trabajé en alojamiento web durante varios años, particularmente en seguridad. Estoy familiarizado con el cumplimiento de PCI y diría que la guía "corta y dulce" de PCI para una tienda de comercio electrónico es la siguiente:

  1. El cliente va al banco y obtiene una cuenta de comerciante.
  2. El comerciante le dice al cliente que use algún "proveedor autorizado de escaneo" (ASV) (es decir, TrustWave) para escanear el servidor y el sitio.
  3. El ASV ejecuta un análisis automatizado que encuentra un montón de "vulnerabilidades" aleatorias, como versiones antiguas de software o la capacidad de enumerar directorios. Los mejores realmente escanean el sitio en busca de XSS y otras vulnerabilidades web.
  4. El cliente me envía un PDF con todos los puntos vulnerables.
  5. Bloqueo del servidor & reportar todos los backports.
  6. El ASV ejecuta el escáner de nuevo y se apaga.
  7. ¡GANANCIA!

La forma en que veo PCI es un tipo de cosa "Cubre tu culo". Un ASV autorizado se despide diciendo que el sitio es "seguro", por lo que se desvía la responsabilidad del cliente.

Dicho esto, ¿cómo funciona el cumplimiento con HIPPA? Digamos que Joe, el médico, se acercó a mí y me dijo: "Haga que mi oficina cumpla con la HIPPA". Conozco la seguridad pero ¿por dónde partiría desde el sentido legal? ¿Hay alguna organización HIPPA "autorizada" que realice escaneos y firme que la organización está segura? ¿Existen reglas rígidas (es decir, las contraseñas deben caducar ANTES de n días)? ¿Podría incluso ayudar a Joe o debo estar certificado de alguna manera?

Explique brevemente el cumplimiento de HIPPA en el sentido práctico.

No estoy haciendo nada por un cliente, solo tengo curiosidad ya que este tema es muy ambiguo y no tengo experiencia en ello.

    
pregunta hippa-hippo 12.10.2013 - 03:50
fuente

1 respuesta

2

El cumplimiento de HIPAA es un poco más complicado. Existen estándares mínimos de seguridad con respecto a la configuración en la red, los sistemas y los dominios de seguridad física que se deben cumplir antes de que su organización pueda ser certificada como "Cumple con HIPAA". Hay demasiados para enumerar aquí, pero para darle una idea, aquí hay algunas líneas de pedido.

En el lado de la red, tales estándares de seguridad mínimos incluyen:

  • VLAN separada para registros médicos / tráfico de dispositivos médicos
  • Listas de control de acceso con denegación predeterminada, que restringen el acceso a la VLAN médica
  • Políticas de acceso de denegación predeterminada (los usuarios deben tener acceso explícito)

En el lado de los sistemas:

  • Las estaciones de trabajo bloquean sus pantallas automáticamente después de X minutos (generalmente < 15)
  • Los usuarios deben cambiar las contraseñas cada X días (generalmente 90)
  • Permisos granulares para recursos compartidos de red, con denegación predeterminada

En el lado físico:

  • El acceso físico a las áreas de mantenimiento de la red / sistemas se debe asegurar a través de Lock & clave como mínimo, se prefiere dos factores
  • Las cámaras de seguridad deben monitorear las entradas de los edificios y las salas de servidores / redes

En el lado administrativo:

  • Las credenciales de los empleados terminados deben revocarse el mismo día
  • Las verificaciones de antecedentes de los empleados deben ser realizadas por una agencia revisada

... y la lista sigue y sigue. Eso es solo la punta del iceberg.

En general, los requisitos de seguridad de la red / sistemas siguen las guías NIST SCAP: listas de verificación de seguridad de "mejores prácticas", que se pueden encontrar aquí :

NOTA: Gran parte de estos sitios web no están disponibles durante el cierre del gobierno.

EDITADO para agregar:

En un sentido legal, deberá asegurarse de seguir todas las pautas. Esta es la "diligencia debida" para el cumplimiento de HIPAA. Consulte aquí

Tenga en cuenta que si el Departamento de Salud & Servicios Humanos lo audita y encuentra problemas de cumplimiento de seguridad, su organización puede encontrarse en el lado equivocado de más de un organismo regulador.

EDIT 2: También tenga en cuenta que la "certificación" por parte de un tercero no exime a la entidad comercial de cualquier responsabilidad relacionada con el cumplimiento de HIPAA.

    
respondido por el Panther Modern 12.10.2013 - 08:15
fuente

Lea otras preguntas en las etiquetas