Conceptos básicos sobre el cifrado del correo electrónico y el cumplimiento de la HIPAA
¿Qué es el cumplimiento de la HIPAA?
La HIPAA, o Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios, establece normas para la privacidad y seguridad de la información sanitaria protegida (PHI) de los pacientes, incluidos nombres, direcciones, historiales médicos y otra información identificable del paciente.
Cualquier empresa que trabaje con información sanitaria protegida (PHI) debe ajustarse a las normas de privacidad y seguridad de la HIPAA. Esto no sólo incluye a las organizaciones sanitarias, sino también a muchas empresas que prestan servicios administrativos, financieros, jurídicos, de consultoría y de gestión a las organizaciones sanitarias y que trabajan con información sanitaria protegida.
¿Qué significa correo electrónico conforme a la HIPAA?
Para lograr el cumplimiento de la HIPAA, las empresas deben tomar medidas para proteger la PHI que crean, recopilan o transmiten electrónicamente o que encuentran como parte de su trabajo. Dado que muchas organizaciones comunican la PHI a través del correo electrónico, el cumplimiento de la HIPAA exige que el correo electrónico que contenga PHI esté protegido contra el acceso no autorizado en tránsito y en reposo, y que tenga una responsabilidad de 100% mensajes a través de controles de auditoría.
¿Cómo envío un correo electrónico conforme a la HIPAA?
El envío de un correo electrónico conforme a la HIPAA requiere el uso de encriptación o el uso de un servidor de mensajes seguro, como un portal del paciente, para proteger la PHI dentro del correo electrónico mientras está en tránsito. El correo electrónico conforme a la HIPAA también requiere el uso de controles de acceso que garanticen que sólo el remitente y el destinatario previsto puedan acceder al mensaje.
¿Cumplen Outlook y Office 365 la HIPAA?
Depende. Las cuentas de correo electrónico en Outlook.com no cumplen con la HIPAA. Outlook dentro de Office 365 puede cumplir con la HIPAA si Office 365 está configurado correctamente. Y Outlook instalado como software en un ordenador portátil o de sobremesa también puede cumplir la HIPAA, siempre y cuando su servicio de correo electrónico y el ordenador que esté utilizando también la cumplan.
Microsoft Office 365 ofrece paquetes compatibles con el cumplimiento de la HIPAA, pero Office 365 por sí solo no proporciona todos los controles (como el mantenimiento de registros de auditoría) que se requieren para cumplir con la HIPAA.
¿Cumple Gmail la HIPAA?
Aunque Gmail por sí mismo no cumple con la HIPAA, Gmail como parte de GSuite puede cumplir con la HIPAA con la adición de software de encriptación de terceros.
El cumplimiento de la ley HIPAA sobre correo electrónico cifrado exige soluciones innovadoras
El cumplimiento de la normativa sobre mensajería HIPAA es un reto importante para las organizaciones sanitarias. Muchos profesionales médicos confían en el correo electrónico como principal forma de comunicación, y sus mensajes suelen incluir información sanitaria protegida (PHI) de los pacientes. Aunque la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA) exige que las organizaciones se esmeren en proteger la PHI en el correo electrónico, la gran cantidad de correos electrónicos que se envían y reciben cada día hace que los errores por descuido sean inevitables y el valor de la PHI para los ciberdelincuentes aumenta la probabilidad de que se produzcan ciberataques.
Para proteger la PHI y garantizar el cumplimiento de la HIPAA en el correo electrónico, las organizaciones necesitan soluciones que puedan garantizar la seguridad del correo electrónico en tránsito y en reposo, mantener controles de auditoría para el acceso y el uso, y defender a la organización y los datos del correo electrónico contra una amplia variedad de amenazas avanzadas. Para las organizaciones que buscan una tecnología fácil de usar que no sobrecargue a los equipos de TI con trabajo adicional, Mimecast ofrece soluciones líderes en el sector para el archivado y la seguridad del correo electrónico.
Cifrado de correo electrónico HIPAA de Mimecast
Mimecast ofrece una plataforma en la nube fácil de usar que unifica la entrega y la gestión de la seguridad, la continuidad y la protección de datos del correo electrónico. Miles de organizaciones de todo el mundo confían en Mimecast para mejorar la ciberresiliencia, agilizar el cumplimiento normativo, minimizar la complejidad informática y mantener su organización en funcionamiento.
Para los equipos de TI, la solución basada en SaaS de Mimecast es fácil de implantar (no hay costes de capital) y de gestionar, con un control centralizado proporcionado a través de una única consola administrativa. Para garantizar el cumplimiento de la HIPAA en el correo electrónico, las ofertas de Mimecast han superado la Evaluación de Cumplimiento de Seguridad de la HIPAA, que verifica las salvaguardas que protegen la información sanitaria dentro del software y la infraestructura de Mimecast.
Con Mimecast, las organizaciones sanitarias y sus socios pueden:
- Evite las infecciones de ransomware por correo electrónico y otros ataques avanzados
- Cifre los mensajes de correo y comparta los archivos adjuntos de forma segura
- Bloquee la actividad web maliciosa o inapropiada
- Detenga las URL y los archivos adjuntos maliciosos
- Satisfaga los requisitos de la HIPAA con registros de auditoría y cadenas de custodia basadas en el cumplimiento.
Tecnología Mimecast para el correo electrónico cifrado HIPAA
Para habilitar los mensajes de correo electrónico cifrados conforme a la HIPAA, Mimecast ofrece una solución de mensajería segura para el sector sanitario que resulta fácil de utilizar tanto para los profesionales sanitarios como para los pacientes. Para iniciar un mensaje seguro, los usuarios sólo tienen que hacer clic en la casilla Enviar seguro de Outlook o de su cliente de correo electrónico preferido. Los mensajes y los archivos adjuntos se suben a la nube segura de Mimecast, en lugar de enviarse directamente a los destinatarios. Tras ser revisados en busca de malware, los mensajes se almacenan en un archivo encriptado AES, y se notifica a los destinatarios el correo electrónico encriptado HIPAA y cómo acceder a él accediendo a un portal seguro. Desde el portal, los destinatarios pueden leer los mensajes y ver los archivos adjuntos, responder al remitente o redactar un nuevo mensaje de vuelta a los destinatarios de la organización.
Más información sobre el correo electrónico cifrado HIPAA y Mimecast.
Herramientas adicionales para el cumplimiento de la HIPAA por correo electrónico
La completa plataforma de seguridad del correo electrónico de Mimecast incluye una variedad de soluciones para mejorar el cumplimiento de la HIPAA en el correo electrónico, entre las que se incluyen:
- Advanced Email Security con protección frente a amenazas selectivas utiliza sofisticados motores de detección e inteligencia frente a amenazas para proteger el correo electrónico de ataques selectivos, así como de malware, spam y phishing.
- Las soluciones de control de contenidos y prevención de pérdida de datos (DLP) ayudan a las organizaciones a evitar filtraciones involuntarias o malintencionadas que pueden dejar al descubierto datos confidenciales de los pacientes.
Las soluciones de mensajería segura y envío de archivos de gran tamaño facilitan a los empleados la realización de negocios de forma rápida y sencilla sin preocuparse por los requisitos de encriptación para el cumplimiento de la normativa HIPAA sobre correo electrónico.
