¿Existe un estándar explícito para la seguridad de la información de salud protegida similar al de la industria de tarjetas de pago (PCI)?

Navega tus respuestas
5

Vea lo siguiente para tratar con información de crédito:

enlace

¿Existe un estándar similar para PHI? ¿Se está desarrollando uno?

    
pregunta John Straka 12.10.2011 - 23:32
fuente

3 respuestas

3

Existe una Regla de seguridad de HIPAA que establece los objetivos generales.

enlace

Además de esto, hay una próxima Regla de Gobernanza de ONC NwHIN que debería establecer condiciones adicionales de interoperabilidad y confianza, y yo, por ejemplo, he señalado a PCI como un buen modelo para los estándares de seguridad. (Esa regla de gobierno se aplicaría a las entidades certificadas por NwHIN, mientras que la Oficina de Derechos Civiles de HHS establece reglas que se aplican a todas las organizaciones que están bajo HIPAA).

He pasado por auditorías genéricas de "HIPAA" por parte de los planes de salud y hospitales (las citas de miedo son porque fuera de una acción de OCR, no hay nada que pueda llamarse una certificación o auditoría oficial de HIPAA) y la auditoría de cumplimiento de PCI y PCI El cumplimiento es un proceso mucho más estricto.

En general, si se ajusta a PCI (con ajustes razonables debido a los diferentes riesgos: divulgación de datos del titular de la tarjeta frente a divulgación de PHI), estará muy por encima de la práctica habitual para las Entidades Cubiertas de HIPAA y los BA.

    
respondido por el Arien Malec 13.10.2011 - 04:46
fuente
3

HIPAA describe (a un alto nivel) algunas políticas a seguir, y la legislación de HITECH define aún más algunas de esas disposiciones. Puede consultar el Wikipedia HIPAA article para obtener más detalles sobre esas disposiciones.

Estas disposiciones se requieren en los EE. UU., no estoy seguro acerca de otros países. No existe un estándar global, como PCI, ya que la atención de salud tiende a tratarse de manera diferente según el país.

    
respondido por el Marshall Anschutz 13.10.2011 - 02:03
fuente
2

PCI tiene requisitos generales (objetivos) y detalles sobre cómo lograrlos (controles). HIPAA se limita a los requisitos generales y no especifica detalles concretos de auditoría para ser certificado como compatible con la seguridad.

En el mundo del cumplimiento de la seguridad de HIPAA, implementar las mejores prácticas para evitar la divulgación indebida de información es lo que se ofrece.

    
respondido por el Jeff Ferland 13.10.2011 - 04:08
fuente

Lea otras preguntas en las etiquetas

Detectar o prevenir inyecciones de memoria de proceso en Windows (anti-hack) ¿Un TMSI cambia con la frecuencia suficiente para evitar el seguimiento?