Soluciones de almacenamiento en la nube que cumplen con HIPAA:mantenga el cumplimiento de la atención médica

Los hospitales, las clínicas y otras organizaciones de salud han tenido un camino accidentado hacia la adopción de la nube en los últimos años. Los riesgos de seguridad implícitos de usar la nube pública o trabajar con un proveedor de servicios externo retrasaron considerablemente la adopción de la nube en la industria de la salud.

Incluso hoy, cuando el 84 % de las organizaciones de atención médica utilizan servicios en la nube, la cuestión de elegir el proveedor de nube adecuado que cumpla con HIPAA puede ser un dolor de cabeza.

Todos los proveedores de atención médica cuyos datos de clientes se almacenan en los EE. UU. están sujetos a un conjunto de regulaciones conocidas como cumplimiento de HIPAA

Hoy en día, cualquier organización que maneje datos confidenciales de pacientes debe cumplir con los requisitos de almacenamiento de HIPAA.

¿Qué es el cumplimiento de HIPAA?

Los estándares de HIPAA brindan protección de datos de salud. Cualquier proveedor que trabaje con una organización de atención médica o una empresa que maneje archivos de salud debe cumplir con las reglas de privacidad de HIPAA. También hay muchas industrias auxiliares que deben cumplir con las pautas si tienen acceso a datos médicos y de pacientes. Aquí es donde el almacenamiento en la nube que cumple con HIPPA juega un papel importante.

En 1996, "el Departamento de Salud y Servicios Humanos de EE. UU. ("HHS") emitió la Regla de privacidad para implementar el requisito de la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) de 1996". La Regla de privacidad aborda la "información de salud electrónica protegida" de los pacientes y cómo deben cumplir las organizaciones o "entidades cubiertas por HIPAA" sujetas a las Reglas de privacidad.

La mayoría de las instituciones de atención médica utilizan algún tipo de dispositivo electrónico para brindar atención médica. Esto significa que la información ya no reside en un gráfico de papel, sino en una computadora o en la nube. A diferencia de las empresas generales o la mayoría de las entidades comerciales, las instituciones de atención médica están legalmente obligadas a emplear las prácticas de respaldo de datos más confiables.

Entonces, ¿cómo afecta esto su elección de un proveedor de nube?

Al planificar su cambio a la computación en la nube, las instituciones de atención médica deben asegurarse de que su proveedor cumpla con los criterios de seguridad específicos.

Estos criterios se traducen en requisitos y umbrales que una empresa debe cumplir y mantener para estar lista para HIPAA. Estos se reducen a un conjunto de certificaciones, informes y auditorías SOC, niveles de encriptación y funciones de seguridad física.

Las soluciones de almacenamiento en la nube de HIPAA deberían funcionar para que el cumplimiento sea simple y directo. De esta manera, las organizaciones de atención médica tienen una cosa menos de qué preocuparse y pueden enfocarse en mejorar sus procesos críticos.

 Requisitos de copia de seguridad de datos y almacenamiento en la nube de HIPAA

Un proveedor de servicios en la nube que hace negocios con una empresa que opera bajo las reglas de la ley HIPAA-HITECH se considera un socio comercial. Como tal, debe demostrar que cumple con los estándares de cumplimiento de la nube y sigue cualquier estándar relevante. Aunque el proveedor no maneja directamente la información del paciente, sí recibe, administra y almacena información de salud protegida (PHI). Este solo hecho los hace responsables de protegerlo de acuerdo con las pautas de la ley HIPAA-HITECH.

Cumplir con HIPAA significa implementar todas las normas y reglamentos que propone la Ley. Todo proveedor que ofrezca los servicios objeto de la ley deberá aportar documentación que acredite su conformidad. Esta documentación debe enviarse no solo a sus clientes sino también a la Oficina de Derechos Civiles (OCR). La OCR es una subagencia del Departamento de Educación de los EE. UU., que promueve la igualdad de acceso a los programas de atención médica y servicios humanos.

Organizaciones de la industria de la salud que buscan trabajar con un almacenamiento en la nube compatible con HIPAA  el proveedor debe solicitar una prueba de cumplimiento para protegerse. Si el proveedor sigue todos los estándares, no debería tener reparos en compartir la documentación adecuada con usted.

Los requisitos de HIPAA para las organizaciones de alojamiento en la nube son los mismos que los requisitos para los socios comerciales. Se dividen en tres categorías distintas:salvaguardias administrativas, físicas y técnicas.

• Garantías administrativas:  Estos tipos de salvaguardas son políticas transparentes que describen cómo cumplirá la empresa desde un punto de vista operativo. Las operaciones pueden incluir administrar evaluaciones de riesgos de seguridad, procedimientos apropiados, respuesta ante desastres y emergencias, y administrar contraseñas.
• Protección física: Las medidas de seguridad físicas suelen ser sistemas que se implementan para proteger los datos de los clientes. Pueden incluir el almacenamiento adecuado, la copia de seguridad de datos y la eliminación adecuada de los medios en un centro de datos. Las precauciones de seguridad importantes para las instalaciones donde residen los dispositivos de almacenamiento de hardware o software también forman parte de esta categoría.
• Garantías técnicas: Este grupo de salvaguardas se refiere a las características técnicas implementadas para minimizar el riesgo de datos y maximizar la protección. Requerir información de inicio de sesión única, políticas de cierre de sesión automático y autenticación para el acceso a la PHI son solo algunas de las salvaguardas técnicas que deben implementarse.

¿Qué hace que un proveedor de la nube certificado por HIPAA cumpla?

Proporcionar hardware o software de almacenamiento de archivos compatible con HIPAA no es tan simple como encender un interruptor. Se necesita una enorme cantidad de tiempo y esfuerzo para que una empresa cumpla con las normas.

El elemento crítico que se debe buscar en un proveedor de almacenamiento en la nube certificado por HIPAA es su voluntad de celebrar un acuerdo de asociación comercial. Conocido como BAA, este acuerdo se completa entre dos partes que planean transmitir, procesar o recibir PHI. Su propósito principal es proteger a ambas partes de cualquier repercusión legal que resulte en el mal uso de la información médica protegida.

Un acuerdo de socio comercial BAA no debe sumar, restar ni contradecir los estándares generales de la HIPAA. Sin embargo, si ambas partes están de acuerdo, es aceptable complementar la terminología específica. También hay algunos términos básicos que constituyen la base para un acuerdo de socio comercial compatible y deben permanecer para que el contrato se considere legalmente vinculante.

El nivel de cifrado habilitado por el proveedor de la nube necesita la atención adecuada. La empresa debe cifrar archivos no solo en tránsito sino también en reposo. El estándar de cifrado avanzado (AES) es el nivel mínimo de cifrado que debe usar para almacenar y compartir archivos. AES es un sucesor del Estándar de cifrado de datos (DES) y fue desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST) en 1997. Es un algoritmo de cifrado avanzado que ofrece una defensa mejorada contra diferentes incidentes de seguridad.

Selección de un proveedor de almacenamiento en la nube compatible

Al elegir un proveedor compatible con HIPAA, busque alojamiento web HIPAA que cumpla con las medidas descritas en la sección anterior. Asegúrese de preguntarles sobre sus prácticas de seguridad de almacenamiento de datos y qué tan seguros serán sus datos PHI.

¿El proveedor potencial ofrece un acuerdo de nivel de servicio?

Un contrato de SLA indica tiempos de respuesta garantizados a las amenazas, generalmente dentro de una ventana de veinticuatro horas. Como empresa que transmite PHI, necesita saber con qué rapidez el proveedor puede notificarle en caso de un incidente. Cuanto más rápido reciba una notificación de incumplimiento, más eficientemente podrá responder.

No olvide que el almacenamiento de registros médicos electrónicos basados ​​en la nube debe realizarse en un centro de datos seguro.

¿Cuáles son las medidas de seguridad en caso de incidente? ¿Cómo se determina el acceso a la instalación? Solicite un resumen detallado de cómo implementan y hacen cumplir la seguridad física. Compruebe cómo responden en caso de una violación de datos. Asegúrese de obtener todos los detalles relevantes antes de poner en riesgo sus datos.

Su proveedor seleccionado también debe tener un Plan de Continuidad y Recuperación de Desastres en marcha.

Un plan de continuidad anticipará pérdidas debido a desastres naturales, filtraciones de datos y otros incidentes imprevistos. También proporcionará los procesos y procedimientos necesarios en caso de que tales eventos ocurran. Con respecto a las mejores prácticas de prevención de pérdida de datos, también es esencial determinar con qué frecuencia el método propuesto se somete a pruebas rigurosas.

Seguridad de registros médicos de atención médica:¿cómo puedo estar seguro?

Los proveedores de la nube que se toman en serio el cumplimiento se asegurarán de que sus certificaciones estén actualizadas. Hay varias formas de verificar si cumplen con los estándares y las reglamentaciones pertinentes.

Una forma es auditar a su proveedor potencial utilizando una parte independiente. La auditoría llamará su atención sobre cualquier posible riesgo y revelará las tácticas de seguridad del proveedor. Los proveedores de almacenamiento en la nube para registros médicos deben auditar regularmente sus sistemas y entornos para asegurar que las amenazas sigan cumpliendo. El término “regularmente” no está definido en la ley, por lo que es imprescindible solicitar documentación e información al menos trimestralmente. También debe asegurarse de tener acceso constante a los informes y la documentación que detallan la auditoría más reciente.

Otra forma de determinar si la empresa cumple es evaluar las calificaciones de sus empleados. Todo el personal debe ser educado sobre los estándares más actuales y familiarizarse con las salvaguardas específicas. Solo con esto en su lugar, las organizaciones pueden lograr el cumplimiento.

Hágale preguntas difíciles a su proveedor potencial. Cualquiera que tenga acceso a la PHI necesita una capacitación adecuada sobre los métodos seguros de transmisión de datos. La capacitación debe incluir la capacidad de cifrar de forma segura la información del paciente sin importar dónde se almacene.

Una empresa que cumple con HIPAA no le pedirá una puerta trasera para acceder a sus datos o permiso para eludir sus protocolos de administración de acceso. Dichos proveedores reconocen el riesgo de requerir autenticación o puntos de acceso adicionales. Comprometer el acceso a los protocolos de autenticación y los requisitos de contraseña es una infracción grave y nunca debería ocurrir.

Preguntas frecuentes sobre copia de seguridad y almacenamiento en la nube

Pregunte a los posibles proveedores de servicios en la nube qué método utilizan para evaluar su cumplimiento de HIPAA.

¿Hay una plantilla de política HIPAA disponible para su uso? ¿El proveedor ofrece orientación y retroalimentación sobre el cumplimiento? ¿Cómo se aseguran de que usted esté actualizado y sea consciente de las normas y reglamentos de seguridad? ¿Ofrecen correo electrónico compatible con HIPAA?

¿La empresa tiene empleados de tiempo completo en las instalaciones?

Tener presencia en el sitio y disponible las 24 horas es un mecanismo para garantizar una seguridad avanzada. Un representante disponible hace que la seguridad de la PHI sea más confiable y garantiza una respuesta rápida si es necesario. También le da tranquilidad saber que la empresa a cargo de la protección de sus datos conoce a fondo los estándares requeridos.

El proveedor adecuado también debe adaptarse rápidamente a los cambios e informarle sobre cualquier cosa que afecte directamente su PHI o su acceso a ella.

La eliminación de datos es un componente crucial en la elección del socio comercial apropiado de HIPAA. ¿Cuánto tiempo se conserva la información antes de ser depurada? ¿Cómo se evita la fuga de datos cuando los servidores están fuera de servicio o borrados? ¿Se le proporcionan los datos antes de la eliminación? La ley no ofrece pautas con respecto al período de tiempo requerido, pero es un acuerdo que usted y su proveedor deben alcanzar juntos.

Además de su conocimiento, determine qué tan bien conoce su proveedor potencial las regulaciones de HIPAA. Las empresas de la nube a menudo no siguen los últimos cambios normativos y hay que buscar uno con una dedicación constante.

Comprando por ahí. No te conformes con la primera cita.

Muchas empresas promocionan su seguridad HIPAA, solo para descubrir que no alcanzan la vara de medir. Investigue, haga preguntas y determine qué proveedor se adapta mejor a sus necesidades.

El almacenamiento en la nube compatible con HIPAA es fundamental

Cuando se trata de proteger registros médicos en la nube, phoenixNAP respaldará sus esfuerzos con la más alta calidad de servicio, seguridad y confiabilidad.

Ofrecemos una selección de centros de datos que ofrecen protección de última generación para sus archivos médicos. Con soluciones de nube escalables, una garantía de tiempo de actividad del 100 % y una recuperación ante desastres inigualable, puede estar seguro de que su infraestructura es compatible.

Las certificaciones HIPAA pueden ser confusas, complicadas y estresantes.

Debe poder confiar en su proveedor de nube para mantener sus archivos seguros. PhoenixNap Global IT Services le permitirá la libertad de centrar su atención en otras áreas de su negocio y garantizar la protección de sus entidades y socios comerciales.