Como a HIPAA se aplica ao armazenamento em nuvem?
Saiba como a HIPAA pode ser aplicada ao armazenamento em nuvem e quais armazenamento mais populares a suportam. Se uma Entidade Coberta armazenar PHI na nuvem, o serviço de armazenamento em nuvem é considerado um parceiro de negócios da Entidade Coberta por lei. Portanto, para estar em conformidade com a HIPAA, um Contrato de Associado Comercial deve estar em vigor.
- Este contrato deve declarar o que o provedor de serviços em nuvem:
- Deve proteger os dados transmitidos para a nuvem.
- Armazenar dados com segurança.
- Fornecer um sistema que permite um controle cuidadoso do acesso aos dados
- Registrar logs de todas as atividades, incluindo tentativas de acesso bem-sucedidas e malsucedidas .
O armazenamento em nuvem compatível com HIPAA contém todos os controles necessários para garantir a confidencialidade, integridade e disponibilidade do ePHI. A entidade afetada é responsável pelo desenvolvimento de políticas e procedimentos que abrangem o uso de armazenamento em nuvem HIPAA seguro para essas informações
Os serviços de armazenamento em nuvem mais populares que suportam HIPAA e HITECH
É certo, que existem vários serviços populares de armazenamento em nuvem que são compatíveis com HIPAA e HITECH. Por outro lado, você deve observar, que nem todas as versões desses serviços são compatíveis.
Geralmente apenas uma versão ou licença específica oferece suporte ao uso compatível com HIPAA. No entanto, todas as plataformas a seguir têm pelo menos uma versão com os recursos de segurança apropriados para serem compatíveis e todas estão prontas para assinar um acordo comercial.
1. Dropbox Business
O Dropbox Business oferece um BAA para entidades cobertas e pode ser configurado para oferecer armazenamento em nuvem compatível com HIPAA.
O serviço oferece uma variedade de controles administrativos, incluindo revisão de acesso do usuário e relatórios de atividade do usuário . Ele também permite a revisão e remoção de dispositivos vinculados e habilita a autenticação em duas etapas para segurança adicional.
2. G Suite e Google Drive
O Google oferece um BAA como um adendo ao contrato padrão do G Suite. Embora nem todos os produtos do G Suite possam ser compatíveis com HIPAA, vários aplicativos úteis do Google seguem os requisitos legais para armazenamento e compartilhamento de ePHI.
Você pode configurar o Google Drive e outros aplicativos, como Documentos, Planilhas, Apresentações e Formulários, para serem compatíveis com HIPAA, assim como serviços como Gmail e Agenda. No entanto, os Contatos do Google e sites não essenciais do Google, como YouTube e Blogger, não podem ser compatíveis com HIPAA. Compatível e, portanto, não se pode incluir em um BAA.
3. Microsoft OneDrive e E5
Os Termos de Serviço Online da Microsoft fornecem automaticamente um Contrato de Associado Comercial. O contrato está disponível para OneDrive for Business , Azure, Azure Government, Cloud App Security e Office 365, entre outros. Os serviços cobertos incluem e-mail, armazenamento de arquivos e calendários. A Microsoft também fornece ferramentas de prevenção de perda de dados .
A licença Enterprise E5 da Microsoft oferece os recursos de segurança mais robustos que a empresa tem disponível. O pacote também inclui gerenciamento avançado de segurança para avaliação de risco.
4. Box Enterprise e Elite
As contas Box Enterprise e Elite incluem monitoramento de acesso, relatórios e trilhas de auditoria para usuários e conteúdo. O serviço também oferece permissões ou autorizações granulares. O Box pode trocar dados com segurança usando um protocolo de mensagens diretas e permite a visualização segura de arquivos DICOM, incluindo raios-X, tomografias computadorizadas e imagens de ultrassom.
Recursos de segurança essenciais para conformidade com HIPAA
A HIPAA requer vários recursos de segurança de serviços que funcionam com entidades cobertas. Todos os serviços de armazenamento em nuvem mencionados permitem uma combinação das seguintes configurações de segurança:
- Um armazenamento em nuvem compatível com HIPAA deve fornecer autenticação de dois fatores ou logon único e criptografia do ePHI transmitido.
- Todos os dispositivos usados para acessar ou enviar ePHI devem ser capazes de criptografar mensagens a serem enviadas fora do firewall e descriptografar mensagens recebidas.
- Toda criptografia deve estar em conformidade com os padrões do NIST. Ao definir as permissões de compartilhamento de arquivos, as organizações afetadas podem implementar um sistema baseado em permissões que restringe o acesso de usuários não autorizados.
- Para serem eficazes, os controles devem ser configurados adequadamente, incluindo autenticação de dois fatores, senhas fortes e práticas seguras de compartilhamento de arquivos para proteger os dados contra acesso não autorizado.
- O monitoramento da atividade da conta exige que você revise regularmente os logs de acesso para garantir que possa identificar atividades inadequadas imediatamente.
- A classificação dos dados é essencial para agrupar e proteger as informações de acordo com o nível de sensibilidade.
- Uma unidade de nuvem não pode ser compatível com HIPAA, a menos que você configure controles de segurança e monitore a atividade em torno dos dados armazenados no sistema.
Algumas conclusões
Contratar um provedor de nuvem com resguardo autêntico é fundamental, porque a imperfeição não garante abastecimento em segurança compossível. Mesmo quando um serviço de nuvem assina um Contrato de Associado Comercial e oferece controles administrativos de segurança, criptografia e outras ferramentas de segurança, isso não garante a restituição involuntariamente da sua empresa compossível com HIPAA.
Portanto, para garantir que seus serviços de armazenamento em nuvem sejam compatíveis com HIPAA, certifique-se de cumprir alguns requisitos como:
- Definir as configurações corretamente.
- Verificar o acesso de aplicativos de terceiros à nuvem.
- Utilizar ferramentas especializadas para auditorias de log para garantir a segurança e a privacidade dos arquivos.
Com essas diretrizes formadas, as organizações de saúde e os pacientes devem confiar em protocolos de segurança cibernética fortes para manter o ePHI protegido contra danos, destruição, alteração e acesso não autorizado. Da mesma forma, o uso de um desses serviços pode ajudar a manter seus dados seguros e sua organização de saúde em conformidade com a lei.
Recursos de segurança tornam o armazenamento em nuvem compatível com HIPAA
Todos os serviços de armazenamento em nuvem compatíveis com HIPAA oferecem:
- Classificação de dados.
- Restrições de permissão para acesso e compartilhamento de arquivos.
- Criptografia e descriptografia de dados.
- Autenticação em duas etapas ou logon único.
- Logs de atividades e controles de auditoria para registrar tentativas de acesso e registrar o que é feito com os dados depois de acessados.
Qual é o propósito de um Acordo de Associado Comercial (BAA)?
Antes que uma entidade coberta possa usar um serviço de armazenamento em nuvem, ela deve assinar um contrato BAA com o serviço. Este acordo:
- Especifica qual PHI o parceiro de negócios pode acessar
- Indica como o PHI pode ser usado.
- Estabelece como a PHI será devolvida ou destruída assim que a tarefa para a qual foi necessária for concluída.
Ter um BAA garante a conformidade da minha organização com a HIPAA e o HITECH Act?
Talvez não. Cabe a você, entidade de saúde, estabelecer as configurações apropriadas, criar as políticas necessárias e realizar a devida diligência para alcançar e manter a conformidade com HIPAA.