Descargo de responsabilidad; No he hecho el trabajo de HIPAA durante más de una década, y la realidad puede variar de la historia. Doy la bienvenida a los comentarios y respuestas alternativas de alguien que trabaja actualmente en el espacio.
Las especificaciones de cifrado de HIPAA son " direccionable ", que es por ejemplo, no son "requeridos". Puede elegir hacer otra cosa siempre que documente por escrito que cree que su alternativa es una "medida de seguridad razonable y apropiada":
En el cumplimiento de estándares que contienen implementación direccionable
especificaciones, una entidad cubierta hará una de las siguientes acciones para cada
especificación direccionable:
(a) implementar las especificaciones de implementación direccionables;
(b) implementar una o más medidas de seguridad alternativas para lograr el mismo propósito;
(c) no implementa una especificación de implementación direccionable o una alternativa.
La elección de la entidad cubierta debe estar documentada. La entidad cubierta
debe decidir si una especificación de implementación direccionable dada
es una medida de seguridad razonable y apropiada para aplicar dentro de su
Marco de seguridad particular.
Por lo tanto, puede elegir implementar el cifrado o bloquear las unidades en un cajón, o no hacer nada en absoluto, siempre que documente que su decisión es una "medida de seguridad razonable y apropiada".
Ahora, en realidad, querrá implementar soluciones que sus auditores estén de acuerdo que sean razonables y apropiadas, o que el informe aparezca como un vacío. Su administración querrá que no haya brechas en ninguna auditoría, o su susceptibilidad a las multas aumenta. Y cuando algo malo sucede, los documentos que aceptan el riesgo de hacerlo se vuelven aún más importantes.
Por lo tanto, la mejor respuesta que puedo darle es obtener un auditor acreditado para que revise y apruebe cualquier alternativa que considere. HIPAA es conocido por ser difícil de implementar por esta razón.