¿Qué se requiere legalmente para almacenar datos de HIPAA en la "nube"?

7

Estaba estudiando el almacenamiento de copias de seguridad de SQL DB de un sistema de salud en la nube en caso de que un desastre sea compatible con HIPAA. La solución que se me ocurrió fue utilizar las copias de seguridad de Cloudberry. Lo que me gustaría hacer es exportar la base de datos SQL en mi computadora local, usar una frase de contraseña en la configuración de Cloudberry y la configuración de cifrado más alta, y cargarla a S3 todas las noches. Estos datos estarán en reposo .

Por lo que leí en el pasado, esto parece aceptable, y la siguiente declaración también lo hace parecer aceptable, pero quiero estar seguro.

Un PDF en el sitio de Cloudberry indica esto :

  

Aprovechando Amazon S3 como una plataforma de almacenamiento compatible con HIPAA -   La plataforma Amazon S3 ofrece una alternativa rentable para almacenar los datos digitales de sus clientes.   archivos. Todos los datos entrantes se duplican automáticamente en varias ubicaciones distintas para proporcionar   Alta durabilidad y disponibilidad de los datos del cliente. Los algoritmos de cifrado implementados protegen   la confidencialidad de los datos en tránsito (entrante y saliente) y en reposo (residente) según se requiera   por la disposición HIPAA. La autenticación de nivel industrial ayuda a delegar el control de acceso específico   permisos para diferentes cuentas de usuario y administrador.

He leído sobre BAA (acuerdos de socios comerciales) y otras cosas, lo que algunas personas sugieren y algunos dicen que no es necesario. Pensé que sería mejor preguntar a los profesionales: ¿este método de copia de seguridad de los datos de HIPAA es compatible con la nube?

    
pregunta cutrightjm 27.07.2015 - 05:29
fuente

1 respuesta

5

Si está utilizando la copia de seguridad de CloudBerry, habilite el cifrado del lado del cliente para que los archivos se cifren antes de que lleguen a Amazon S3.

Datos cifrados fuera del alcance de HIPAA

No necesita un Acuerdo de Asociado de Negocios (BAA) si está enviando datos encriptados a un proveedor externo. Tenga en cuenta que este cifrado debe realizarse con cifrados compatibles con FIPS 140-2, como AES-128. Esencialmente, bajo HIPAA, encriptados los datos de PHI no están incluidos en el alcance de la protección de la ley, siempre que se realicen con cifrados aprobados. Si solo se comprometen los datos cifrados, no es necesario que notifique a nadie sobre el incumplimiento.

Si no está cifrado, obtenga un BAA

Amazon ofrece ahora paquetes de alojamiento compatibles con HIPAA, por lo que si desea que los datos no estén encriptados en Amazon, tendrá que firmar su BAA (se incluye en un formulario web). Estoy totalmente en desacuerdo con que un BAA no sea necesario para un proveedor en la nube con el que está almacenando datos de PHI. He pasado por muchas auditorías de HIPAA de empresas certificadoras de terceros y siempre preguntan sobre esto. También necesitaría su propia documentación y política de seguridad para reflejar esta relación y documentar las salvaguardas en torno a la PHI.

Material de origen

HHS proporciona información sobre el cifrado y la notificación de incumplimiento aquí

HHS aquí.

    
respondido por el Herringbone Cat 27.07.2015 - 22:44
fuente

Lea otras preguntas en las etiquetas