Correo electrónico conforme a la HIPAA

Proteger los datos de los pacientes requiere una tecnología de correo electrónico que cumpla la HIPAA

Para las organizaciones sanitarias, la adopción de una tecnología de correo electrónico que cumpla la HIPAA no sólo simplifica el cumplimiento, sino que puede agilizar las tareas relacionadas con la protección de los datos de los pacientes frente a las amenazas a la seguridad, así como frente a las filtraciones de datos malintencionadas o involuntarias.

La HIPAA, o Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios, establece una serie de normas para las organizaciones, así como para los proveedores y socios que puedan necesitar acceder a información sanitaria protegida (PHI) y a información de identificación personal (PII) durante el proceso de prestación de cuidados. Debido a que el correo electrónico es tan omnipresente en las comunicaciones sanitarias y a que sufre constantemente los ataques de individuos malintencionados que buscan robar datos lucrativos de los pacientes, las normas de seguridad de la HIPAA estipulan que las organizaciones deben tomar medidas para proteger la PII y la PHI en el correo electrónico.

Un sistema de correo electrónico que cumpla la HIPAA debe controlar el acceso a los datos del correo electrónico mediante una autenticación adecuada, proteger la seguridad del correo electrónico durante su transmisión, garantizar que los datos del correo electrónico no se alteren o destruyan indebidamente y mantener controles de auditoría que registren el acceso y el uso de los datos del correo electrónico.

Cuando buscan implantar de forma rápida y sencilla una tecnología de correo electrónico que cumpla la HIPAA, cada vez más organizaciones sanitarias recurren a las soluciones de Mimecast.

Soluciones de correo electrónico de Mimecast que cumplen la HIPAA

Mimecast ofrece un servicio de suscripción basado en la nube que proporciona soluciones de correo electrónico conformes con la HIPAA para la seguridad, el archivo y la continuidad. Como servicio basado en SaaS, Mimecast puede implantarse de forma rápida y rentable en toda una organización, sin necesidad de adquirir, instalar o mantener hardware o software.

Mimecast proporciona tecnología de correo electrónico conforme a la HIPAA con servicios que incluyen:

• Cifrado. Mimecast Secure Messaging hace que la encriptación sea fácil y automática, permitiendo a los usuarios proteger y enviar correos electrónicos que contengan material sensible sin necesidad de conocer métodos de encriptación complejos ni tener que gestionar claves de encriptación. La mensajería segura también puede cifrar automáticamente los mensajes cuando Mimecast identifica que un mensaje puede contener material sensible o información sanitaria protegida.
• Protección contra amenazas. Mimecast bloquea el acceso a URL y archivos adjuntos potencialmente maliciosos en el correo electrónico para detener la propagación de amenazas como el ransomware, el spear-phishing o un ataque del tipo  "man in the browser" en.
• Control de contenidos y prevención de fugas de datos. Mimecast escanea todo el correo electrónico para identificar posibles filtraciones y bloquea o pone en cuarentena los mensajes sospechosos.
• Archivo. El Mimecast Cloud Archive proporciona un repositorio central para los datos de correo electrónico con herramientas que simplifican y agilizan la retención de correo electrónico y la gestión de políticas.

Ventajas de los servicios de correo electrónico de Mimecast que cumplen la HIPAA

Con la tecnología de correo electrónico de Mimecast que cumple con la HIPAA, podrá:

• Reduzca el coste y la complejidad de la protección de los datos de los pacientes en el correo electrónico.
• Implante rápidamente una solución de correo electrónico conforme a la HIPAA, sin gastos de capital inicial.
• Proporcione a los administradores herramientas que simplifiquen la gestión de las soluciones de cumplimiento de la normativa sanitaria de, mejoren la preparación para loslitigios de y minimicen la carga administrativa que supone responder a las consultas legales y de cumplimiento de la normativa. 

Obtenga más información sobre las soluciones de correo electrónico que cumplen con la HIPAA y sobre Mimecast, y sobre las soluciones de Mimecast para la copia de seguridad del correo electrónico de Office 365 y cumplimiento de la seguridad de Office 365.

Preguntas frecuentes: Correo electrónico conforme a la HIPAA

¿Qué es el correo electrónico conforme a la HIPAA?

El correo electrónico conforme a la HIPAA se refiere a los mensajes de correo electrónico que se envían de acuerdo con las normas de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) que rigen el uso del correo electrónico para comunicar información sanitaria protegida, o PHI. Las normas de la HIPAA exigen que el correo electrónico que contenga PHI se proteja cuando se transmita electrónicamente a los destinatarios y que las organizaciones dispongan de políticas y procedimientos para restringir el acceso, proteger la integridad y evitar el acceso no autorizado a la PHI en el correo electrónico. Además de proteger el correo electrónico en tránsito, la normativa HIPAA exige una rendición de cuentas de los mensajes al 100% mediante controles de acceso, integridad y auditoría.

¿Cómo hacer que el correo electrónico cumpla la HIPAA?

Aunque no existe una fórmula única para crear un correo electrónico conforme a la HIPAA, hay una serie de pasos que las organizaciones pueden dar para garantizar el cumplimiento de la normativa HIPAA.

• Las tecnologías de cifrado o los portales de mensajería segura pueden proteger con éxito el correo electrónico en tránsito. El cifrado hace ilegible un correo electrónico interceptado, mientras que los portales de mensajería segura combinan el cifrado con protocolos de acceso seguro que añaden capas adicionales de protección.
• Las soluciones de archivado de correo electrónico pueden ayudar a las organizaciones a cumplir los requisitos de acceso, integridad y controles de auditoría, y facilitar la producción de correo electrónico para la detección legal o las auditorías de cumplimiento.

¿Qué es una violación de la normativa sobre correo electrónico conforme a la HIPAA?

Entre las acciones que pueden infringir la normativa relativa al correo electrónico conforme a la HIPAA y a la información sanitaria protegida (PHI) se incluyen:

• No proteger la PHI con encriptación, mensajería segura u otras tecnologías que impidan el acceso no autorizado.
• Enviar por correo electrónico información sanitaria personal no protegida o no cifrada sin el consentimiento del paciente.
• Enviar correo electrónico sin un Acuerdo de Asociado Comercial con su proveedor de correo electrónico que garantice que también cumplen con la HIPAA.
• No proporcionar pistas de auditoría que documenten el acceso y garanticen la integridad del correo electrónico que contenga PHI.

¿Es Gmail un servicio de correo electrónico que cumple la HIPAA?

La plataforma Gmail no habilita automáticamente el correo electrónico conforme a la HIPAA. Para lograr el cumplimiento de la HIPAA con Gmail, las organizaciones tienen que utilizar un proveedor de cifrado externo y enviar el correo electrónico a través de GSuite de Google, lo que permite a Google firmar el Acuerdo de Asociado Empresarial exigido por la normativa de la HIPAA.

¿Es Outlook un servicio de correo electrónico que cumple la HIPAA?

Las cuentas de correo electrónico gestionadas a través de Outlook.com no cumplen la normativa HIPAA. Outlook que se incluye con Office 365 puede ser compatible si se configura correctamente. Y Outlook instalado en un ordenador portátil o de sobremesa también puede cumplir la HIPAA, siempre que el ordenador en el que esté instalado el software y el proveedor de correo electrónico del usuario sean capaces de gestionar el correo electrónico conforme a la HIPAA.