¿Por qué exige la HIPAA la encriptación?
La HIPAA exige la encriptación por varias razones. En esencia, se exige como medio para garantizar la confidencialidad y la seguridad de la PHI - Información Sanitaria Protegida, que incluye cualquier información sanitaria identificable individualmente que sea creada, recibida, mantenida o transmitida por proveedores de asistencia sanitaria, planes de salud, proveedores de asistencia sanitaria o cualquiera de sus socios comerciales.
En pocas palabras, la encriptación convierte los datos sensibles en un formato que sólo puede leerse con la clave de desencriptación asociada. De esta forma, incluso si actores maliciosos ponen sus manos en información sensible de PHI, los datos serán inútiles, a menos que tengan una clave para desencriptarlos.
La encriptación también resulta útil como medida preventiva, por ejemplo cuando se trata de mitigar la violación de datos: si se roba la PHI encriptada, el riesgo de perjudicar a las personas se reduce drásticamente, ya que los piratas informáticos también necesitarán obtener la clave de desencriptación.
La implementación de la encriptación es una forma proactiva de reducir el riesgo asociado al acceso no autorizado a los datos, y se considera un requisito de cumplimiento de la HIPAA.
En general, no aplicar medidas sólidas en materia de ciberseguridad para la sanidad puede acarrear sanciones económicas y daños a la reputación si se produce una brecha o un acceso no autorizado.
¿Quién debe cumplir la norma de seguridad de la HIPAA?
Según el Departamento de Salud y Servicios Humanos de EE.UU. - "La Regla de Seguridad se aplica a los planes de salud, a los centros de intercambio de información sanitaria y a cualquier proveedor de servicios sanitarios que transmita información sanitaria en formato electrónico en relación con una transacción para la que el Secretario del HHS haya adoptado normas en virtud de la HIPAA (las "entidades cubiertas") y a sus socios comerciales."
Las entidades cubiertas incluyen
- Proveedores de asistencia sanitaria: médicos, enfermeras, clínicas, hospitales, residencias de ancianos y otros profesionales o centros sanitarios, que transmiten o almacenan la PHI digitalmente.
- Planes de asistencia sanitaria - Compañías de seguros médicos, organizaciones para el mantenimiento de la salud, Medicare, Medicaid y otros programas de seguros que transmiten o almacenan la PHI electrónicamente.
- Centros de información sanitaria: entidades públicas o privadas, incluidos los servicios de facturación, las empresas de retarificación, los sistemas de información de gestión sanitaria comunitaria o los sistemas de información sanitaria comunitaria.
Algunos ejemplos de asociados comerciales son
- Administradores externos
- Empresas de facturación
- Proveedores de almacenamiento en la nube
- Servicios de transcripción médica
- Proveedores de tecnología de la información sanitaria
Las responsabilidades y obligaciones del asociado comercial se describen en un acuerdo, conocido como BAA - Business Associate Agreement - que se firma entre la entidad cubierta y la entidad asociada comercial.
¿Qué protegen los requisitos de encriptación de la HIPAA?
Los requisitos de encriptación de la HIPAA protegen la PHI electrónica (ePHI) de su divulgación en caso de que una parte no autorizada acceda alguna vez a estos datos.
Sin embargo, el cifrado es sólo una parte de una sólida estrategia de ciberseguridad, que las organizaciones sanitarias deben tener en cuenta, con el fin de proteger la ePHI. Los actores maliciosos son muy creativos y no se rendirán fácilmente. Las partes no autorizadas podrían engañar a quienquiera que esté del lado de la organización sanitaria haciéndole creer que están autorizadas y que se puede confiar en ellas. Y aquí es donde la encriptación por sí sola fracasaría a la hora de proteger la información sensible.
¿Cuáles son los requisitos de encriptación de la HIPAA?
La Regla de Seguridad de la HIPAA no proporciona detalles técnicos específicos, en cuanto a cómo debe utilizarse la encriptación. Más bien esboza los requisitos y normas generales para proteger la ePHI mediante la encriptación.
Aunque las organizaciones deben considerar el uso de la encriptación para proteger los datos de los pacientes, sólo están obligadas a hacerlo si es razonable y manejable. Esto puede, por ejemplo determinarse mediante la realización de una evaluación de riesgos.
Los aspectos clave de los requisitos de encriptación de la HIPAA incluyen técnicas de encriptación sólidas para los datos en reposo y en tránsito, encriptación de discos virtuales (VDE) y encriptación de archivos y carpetas, entre otros.
El reto de los requisitos de encriptación de la HIPAA
Los requisitos de encriptación de la HIPAA suponen un reto importante para los equipos informáticos encargados de garantizar la privacidad y la seguridad en la atención sanitaria.
En 1996, la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios, o HIPAA, estableció la norma de que todos los proveedores de asistencia sanitaria deben garantizar la privacidad de la información sanitaria protegida (PHI). Desde entonces, el correo electrónico se ha convertido en una forma dominante de comunicación y se utiliza con frecuencia para compartir datos protegidos de los pacientes. Para las organizaciones de TI, cumplir con los requisitos de encriptación de la HIPAA significa adoptar algún tipo de tecnología de mensajería segura sanitaria.
El reto para los equipos informáticos es garantizar que todo el correo electrónico cumpla los requisitos de encriptación de la HIPAA. Una solución que permite a los proveedores sanitarios enviar correo electrónico cifrado conforme a la HIPAA es una cosa; garantizar que los pacientes y sus cuidadores ajenos a la organización puedan enviar mensajes de vuelta cifrados es otra muy distinta. La mayoría de las soluciones diseñadas para cumplir los requisitos de encriptación de la HIPAA implican onerosas funciones administrativas o software que los particulares deben descargar para poder recibir un mensaje encriptado.
Como proveedor líder de soluciones para la seguridad, el archivo y la continuidad del correo electrónico, Mimecast ofrece una solución todo en uno que facilita a las organizaciones sanitarias el cumplimiento de los requisitos de encriptación de la HIPAA.
Diferentes tipos de cifrado utilizados para cumplir los requisitos de la HIPAA
Los tipos de cifrado más utilizados para cumplir los requisitos de la HIPAA son el estándar de cifrado avanzado (AES-256), la seguridad de la capa de transporte (TLS), OpenPHP (Pretty Good Privacy) y S/MIME.
Cumpla los requisitos de encriptación de la HIPAA con Mimecast
El servicio de suscripción basado en la nube de Mimecast permite a las organizaciones sanitarias reducir el coste y la complejidad de la gestión y protección del correo electrónico, cumpliendo al mismo tiempo los requisitos de encriptación de la HIPAA. Como solución basada en SaaS, Mimecast puede implantarse rápidamente y escalarse con facilidad para adaptarse a los cambiantes requisitos de la empresa.
Los servicios integrales de Mimecast permiten a las organizaciones simplificar el archivado del correo electrónico, garantizando la continuidad del mismo incluso durante las interrupciones, y defenderse frente a un sinfín de amenazas de ciberseguridad del sector sanitario. Además de cumplir los requisitos de la HIPAA para el correo electrónico, Mimecast proporciona defensas contra el ransomware , el spear-phishing y los ataques de suplantación de identidad que se utilizan habitualmente para penetrar las defensas de la red y robar información de los pacientes.
Importancia de utilizar la encriptación para las comunicaciones por correo electrónico que contengan PHI
Proteger los datos de los pacientes es fundamental. Puede incluir información sensible como radiografías, imágenes de pacientes y otros registros sanitarios, que son altamente confidenciales.
Los correos electrónicos, que contienen este tipo de datos sensibles, deben ser encriptados, con el fin de garantizar la confidencialidad, integridad y disponibilidad de la PHI. La encriptación del correo electrónico es una forma eficaz de proteger los datos de los pacientes.
Las ventajas del cifrado conforme a la HIPAA
El principal beneficio de la encriptación conforme a la HIPAA es que las entidades cubiertas y sus asociados comerciales tienen menos probabilidades de sufrir una infracción debido a la falta de seguridad de la ePHI.
Cualquier dato que se transmita debe estar encriptado, y cualquier dato que se almacene, también debe estar encriptado. El cifrado conforme a la HIPAA garantiza la protección de los datos, incluso en caso de pérdida o robo del dispositivo.
Soluciones Mimecast para cumplir los requisitos de encriptación de la HIPAA
El servicio de mensajería segura de Mimecast permite a las organizaciones garantizar la privacidad y la seguridad de la atención sanitaria y cumplir fácilmente los requisitos de encriptación de la HIPAA. Con la mensajería segura, los usuarios sólo tienen que hacer clic en Enviar seguro al redactar un mensaje en su cliente de correo electrónico para garantizar que el mensaje se envía de forma segura. Después de que pulsen Enviar, los mensajes y los archivos adjuntos se suben de forma segura a la nube de Mimecast, se analizan en busca de malware y virus, y se almacenan en un archivo cifrado AES seguro. Los destinatarios reciben entonces un aviso de que hay un mensaje en espera, con instrucciones sobre cómo iniciar sesión en el portal seguro de Mimecast para leer, responder y redactar nuevos mensajes seguros.
Mimecast Secure Messaging también permite a las organizaciones enviar automáticamente mensajes que cumplan los requisitos de encriptación de la HIPAA cuando contengan determinados contenidos o se envíen a determinados destinatarios o dominios.
Más información sobre Mimecast y los requisitos de encriptación de la HIPAA.
Cumpla los requisitos de encriptación de la HIPAA con Mimecast
El servicio de suscripción basado en la nube de Mimecast permite a las organizaciones sanitarias reducir el coste y la complejidad de la gestión y protección del correo electrónico, cumpliendo al mismo tiempo los requisitos de encriptación de la HIPAA. Como solución basada en SaaS, Mimecast puede implantarse rápidamente y escalarse con facilidad para adaptarse a los cambiantes requisitos de la empresa.
Los servicios integrales de Mimecast permiten a las organizaciones simplificar el archivado del correo electrónico, garantizando la continuidad del mismo incluso durante las interrupciones, y defenderse frente a un sinfín de amenazas de ciberseguridad del sector sanitario. Además de cumplir los requisitos de la HIPAA para el correo electrónico, Mimecast proporciona defensas contra el ransomware, el spear-phishing y los ataques de suplantación de identidad que se utilizan habitualmente para penetrar las defensas de la red y robar información de los pacientes.
Preguntas frecuentes: Requisitos de encriptación de la HIPAA
¿Qué es el cifrado HIPAA en reposo?
En términos sencillos, cuando la ePHI se encuentra en "en reposo" o no se transmite activamente, sigue siendo necesario protegerla de posibles violaciones o accesos no autorizados. Cifrar la ePHI en reposo añade una capa adicional de protección al remodelar los datos en un formato que sólo pueden entender y acceder las personas autorizadas que tengan la clave de descifrado.
Requisitos de encriptación de la HIPAA para datos en reposo
Los requisitos de encriptación de la HIPAA para los datos en reposo se refieren a cualquier ePHI almacenada en un servidor, archivo de escritorio, un USB o en un dispositivo móvil. Es una buena práctica aplicar el cifrado HIPAA en reposo a tantos dispositivos como sea posible en los que se mantengan datos, con el fin de minimizar la posibilidad de que un actor malicioso acceda a dispositivos no cifrados.
¿Qué es el cifrado HIPAA en tránsito?
La encriptación HIPAA durante el tránsito proporciona una ventaja significativa al salvaguardar las comunicaciones electrónicas que contienen ePHI mientras atraviesan múltiples enrutadores entre el remitente y el destinatario. A lo largo de esta ruta, los routers conservan temporalmente copias de las comunicaciones, lo que hace posible su interceptación en cualquier punto. Cifrar la ePHI durante el tránsito garantiza que, aunque un actor malintencionado acceda a un router o intercepte una comunicación, la ePHI que contiene seguirá siendo completamente ilegible, indescifrable e inutilizable para él.
Requisitos de encriptación de la HIPAA para los datos en tránsito
Aunque la Regla de Seguridad de la HIPAA no proporciona instrucciones técnicas específicas para los métodos de encriptación, hace hincapié en la importancia de salvaguardar la información sanitaria protegida electrónicamente (ePHI) durante la transmisión, o "datos en tránsito".
¿Cuáles son los requisitos de encriptación de la HIPAA para el correo electrónico?
La Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA) establece normas para la privacidad y seguridad de la información sanitaria protegida (PHI). La regla de seguridad de la HIPAA exige a las organizaciones que restrinjan el acceso a la PHI, que protejan la PHI de accesos no autorizados, que garanticen la integridad de la PHI en reposo y que aseguren al 100% la responsabilidad de los mensajes. Aunque la norma no establece requisitos específicos de encriptación de la HIPAA, sí recomienda que las entidades cubiertas y los socios comerciales utilicen la encriptación de extremo a extremo siempre que sea posible, pero también permite que las organizaciones adopten soluciones distintas de la encriptación que consigan lo mismo.
¿Cómo cumplir los requisitos de encriptación de la HIPAA para el correo electrónico?
Las dos tecnologías más eficaces para cumplir la norma de seguridad de la HIPAA son la encriptación y la mensajería segura. Las tecnologías de cifrado codifican los mensajes antes de enviarlos, lo que hace imposible que personas no autorizadas puedan leerlos si son interceptados o filtrados inadvertidamente. Las soluciones de mensajería segura proporcionan una plataforma en la que los usuarios pueden iniciar sesión para enviar y recibir mensajes cifrados, lo que añade una capa adicional de control de acceso para satisfacer los requisitos de cifrado de la HIPAA.
¿Qué es una violación de los requisitos de encriptación de la HIPAA?
La violación más común de los requisitos de encriptación de la HIPAA es la no adopción de protecciones adecuadas de extremo a extremo para la PHI. Otra infracción habitual es el envío por correo electrónico de información sanitaria protegida desde un centro sanitario a una cuenta de correo personal, lo que ocurre cuando los empleados se envían archivos a sí mismos para trabajar en ellos en casa. La pérdida o el robo de dispositivos que contengan PHI sin cifrar es otra infracción habitual, al igual que la divulgación de PHI a terceros que no dispongan de las protecciones de cifrado adecuadas.
¿Cumple Gmail los requisitos de encriptación de la HIPAA?
Gmail no es una plataforma que cumpla la HIPAA. Las organizaciones que deseen utilizar Gmail con una solución que cumpla la HIPAA pueden utilizar GSuite de Google, que permite a Google firmar un Acuerdo de Asociados Empresariales de la HIPAA. Sin embargo, dado que Google no proporciona cifrado, las organizaciones tendrán que contratar a un proveedor externo para satisfacer los requisitos de cifrado de la HIPAA.
¿Satisface Outlook los requisitos de encriptación de la HIPAA?
Microsoft ofrece varias versiones de Outlook, cada una de ellas con capacidades diferentes para cumplir los requisitos de encriptación de la HIPAA. Outlook.com, la versión gratuita de Outlook, no cumple con la HIPAA y no puede satisfacer los requisitos de encriptación de la HIPAA. Outlook dentro de Microsoft Office 365 o Outlook que está instalado en un ordenador de sobremesa o portátil se puede hacer compatible con la HIPAA con la configuración adecuada, con un Acuerdo de Asociado de Negocios HIPAA con Microsoft, y mediante el uso de un proveedor de terceros para el cifrado.