Perché l'HIPAA richiede la crittografia?
L'HIPAA richiede la crittografia per vari motivi. In sostanza, è richiesto come mezzo per garantire la riservatezza e la sicurezza delle PHI - Informazioni sanitarie protette, che comprendono tutte le informazioni sanitarie identificabili individualmente create, ricevute, mantenute o trasmesse da fornitori di assistenza sanitaria, piani sanitari, fornitori di assistenza sanitaria o da qualsiasi loro associato commerciale.
In poche parole, la crittografia converte i dati sensibili in un formato che può essere letto solo con la chiave di decodifica associata. In questo modo, anche se gli attori malintenzionati mettono le mani su informazioni sensibili PHI, i dati saranno inutili, a meno che non dispongano di una chiave per decifrarli.
La crittografia si rivela utile anche come misura preventiva, ad esempio quando si tratta di mitigare la violazione dei dati: se i dati personali crittografati vengono rubati, il rischio di danneggiare le persone si riduce drasticamente, poiché gli hacker dovranno ottenere anche la chiave di decifrazione.
L'implementazione della crittografia è un modo proattivo per ridurre il rischio associato all'accesso non autorizzato ai dati, ed è considerato un requisito di conformità dall'HIPAA.
In generale, la mancata implementazione di misure solide in materia di cybersecurity per il settore sanitario può comportare sanzioni finanziarie e danni alla reputazione in caso di violazione o accesso non autorizzato.
Chi deve rispettare la Regola di sicurezza HIPAA?
Secondo il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti - "La Regola di Sicurezza si applica ai piani sanitari, ai centri di clearing dell'assistenza sanitaria e a qualsiasi fornitore di assistenza sanitaria che trasmette informazioni sanitarie in forma elettronica in relazione a una transazione per la quale il Segretario dell'HHS ha adottato degli standard ai sensi dell'HIPAA (le entità coperte "" ) e ai loro associati d'affari".
Le entità coperte includono -
- Fornitori di assistenza sanitaria - medici, infermieri, cliniche, ospedali, case di cura e altri operatori o strutture sanitarie che trasmettono o conservano i dati personali in formato digitale.
- Piani sanitari - Compagnie di assicurazione sanitaria, Organizzazioni di mantenimento della salute, Medicare, Medicaid e altri programmi assicurativi che trasmettono o conservano elettronicamente i dati personali.
- Centri di compensazione sanitaria - entità pubbliche o private, compresi i servizi di fatturazione, le società di repricing, i sistemi informativi di gestione della salute della comunità o i sistemi informativi sanitari della comunità.
Esempi di soci d'affari sono
- Amministratori di terze parti
- Società di fatturazione
- Fornitori di storage in cloud
- Servizi di trascrizione medica
- Fornitori di tecnologie informatiche sanitarie
Le responsabilità e gli obblighi del Business Associate sono delineati in un accordo, noto come BAA - Business Associate Agreement - che viene firmato tra l'entità coperta e l'entità business associate.
Cosa proteggono i requisiti di crittografia HIPAA?
I requisiti di crittografia HIPAA proteggono i PHI elettronici (ePHI) dalla divulgazione, nel caso in cui questi dati siano accessibili da una parte non autorizzata.
Tuttavia, la crittografia è solo una parte di una solida strategia di cybersecurity, che le organizzazioni sanitarie devono prendere in considerazione per proteggere le informazioni elettroniche. Gli attori malintenzionati sono molto creativi e non si arrendono facilmente. Le parti non autorizzate potrebbero ingannare chi sta dalla parte dell'organizzazione sanitaria, facendo credere di essere autorizzato e di potersi fidare. Ed è qui che la sola crittografia non riuscirebbe a proteggere le informazioni sensibili.
Quali sono i requisiti di crittografia HIPAA?
La Regola di Sicurezza HIPAA non fornisce dettagli tecnici specifici su come deve essere utilizzata la crittografia. Delinea piuttosto i requisiti e gli standard generali per la protezione delle informazioni personali elettroniche attraverso la crittografia.
Anche se le organizzazioni devono prendere in considerazione l'utilizzo della crittografia per proteggere i dati dei pazienti, sono obbligate a farlo solo se è ragionevole e gestibile. Questo può ad esempio essere determinata conducendo una valutazione del rischio.
Gli aspetti chiave dei requisiti di crittografia HIPAA includono tecniche di crittografia forti per i dati a riposo e i dati in transito, la crittografia del disco virtuale (VDE) e la crittografia di file/cartelle, tra gli altri.
La sfida dei requisiti di crittografia HIPAA
I requisiti di crittografia HIPAA creano una sfida significativa per i team IT incaricati di garantire la privacy e la sicurezza nell'assistenza sanitaria.
Nel 1996, l'Health Insurance Portability and Accountability Act, o HIPAA, ha stabilito che tutti i fornitori di servizi sanitari devono garantire la privacy delle informazioni sanitarie protette (PHI). Da allora, l'e-mail è diventata una forma di comunicazione dominante e viene spesso utilizzata per condividere i dati protetti dei pazienti. Per le organizzazioni IT, conformarsi ai requisiti di crittografia HIPAA significa adottare una qualche forma di tecnologia di secure messaging.
La sfida per i team IT è garantire che tutte le e-mail soddisfino i requisiti di crittografia HIPAA. Una soluzione che consente agli operatori sanitari di inviare e-mail crittografate HIPAA è una cosa; garantire che i pazienti e i loro assistenti al di fuori dell'organizzazione possano inviare messaggi di ritorno crittografati è un'altra. La maggior parte delle soluzioni progettate per soddisfare i requisiti di crittografia HIPAA comportano funzioni amministrative onerose o software che le persone devono scaricare per ricevere un messaggio crittografato.
In qualità di fornitore leader di soluzioni per la sicurezza, l'archiviazione e la continuità delle e-mail, Mimecast offre una soluzione all-in-one che semplifica la conformità delle organizzazioni sanitarie ai requisiti di crittografia HIPAA.
Diversi tipi di crittografia utilizzati per soddisfare i requisiti HIPAA.
I tipi di crittografia più comuni utilizzati per soddisfare i requisiti HIPAA sono l'Advanced Encryption Standard (AES-256), Transport Layer Security (TLS), OpenPHP (Pretty Good Privacy) e S/MIME.
Rispettare i requisiti di crittografia HIPAA con Mimecast
Il servizio di abbonamento basato sul cloud di Mimecast consente alle organizzazioni sanitarie di ridurre i costi e la complessità della gestione e della protezione delle e-mail, rispettando i requisiti di crittografia HIPAA. Come soluzione basata su SaaS, Mimecast può essere implementato rapidamente e scalare facilmente per adattarsi alle mutevoli esigenze aziendali.
I servizi completi di Mimecast consentono alle organizzazioni di semplificare l'Email Archive, garantendo l'email continuity anche durante le interruzioni, e di difendersi da una miriade di minacce alla sicurezza informatica del settore sanitario. Oltre a soddisfare i requisiti HIPAA per la posta elettronica, Mimecast offre difese contro il ransomware, lo spear-phishing e gli attacchi di impersonificazione, comunemente utilizzati per penetrare le difese di rete e rubare le informazioni dei pazienti.
L'importanza di utilizzare la crittografia per le comunicazioni e-mail che contengono dati personali.
Proteggere i dati dei pazienti è fondamentale. Può includere informazioni sensibili come radiografie, immagini dei pazienti e altre cartelle cliniche, che sono altamente riservate.
Le e-mail, contenenti questo tipo di dati sensibili, devono essere crittografate, al fine di garantire la riservatezza, l'integrità e la disponibilità dei dati personali. La crittografia delle e-mail è un modo efficace per proteggere i dati dei pazienti.
I vantaggi della crittografia conforme a HIPAA
Il vantaggio principale della crittografia conforme allo standard HIPAA è che le Entità coperte e i loro Associati d'affari hanno meno probabilità di subire una violazione a causa di ePHI non sicure.
Tutti i dati che vengono trasmessi devono essere crittografati, e anche i dati che vengono memorizzati devono essere crittografati. La crittografia conforme a HIPAA garantisce la protezione dei dati, anche in caso di smarrimento o furto del dispositivo.
Soluzioni Mimecast per soddisfare i requisiti di crittografia HIPAA
Il servizio di Secure Messaging di Mimecast consente alle organizzazioni di garantire la privacy e la sicurezza sanitaria e di soddisfare facilmente i requisiti di crittografia HIPAA. Con Secure Messaging, gli utenti possono semplicemente fare clic su Invia sicuro quando compongono un messaggio nel loro client di posta elettronica, per garantire che il messaggio venga inviato in modo sicuro. Dopo aver premuto Invia, i messaggi e gli allegati vengono caricati in modo sicuro nel cloud Mimecast, scansionati per malware e virus e archiviati in un archivio sicuro crittografato AES. I destinatari ricevono quindi un avviso di messaggio in attesa, con istruzioni su come accedere al portale sicuro Mimecast per leggere, rispondere e comporre nuovi Secure Messaging.
Mimecast Secure Messaging consente inoltre alle organizzazioni di inviare automaticamente messaggi conformi ai requisiti di crittografia HIPAA quando contengono determinati contenuti o sono inviati a determinati destinatari o domini.
Per saperne di più su Mimecast e sui requisiti di crittografia HIPAA.
Rispettare i requisiti di crittografia HIPAA con Mimecast
Il servizio di abbonamento basato sul cloud di Mimecast consente alle organizzazioni sanitarie di ridurre i costi e la complessità della gestione e della protezione delle e-mail, rispettando i requisiti di crittografia HIPAA. Come soluzione basata su SaaS, Mimecast può essere implementato rapidamente e scalare facilmente per adattarsi alle mutevoli esigenze aziendali.
I servizi completi di Mimecast consentono alle organizzazioni di semplificare l'Email Archive, garantendo l'email continuity anche durante le interruzioni, e di difendersi da una miriade di minacce alla sicurezza informatica del settore sanitario. Oltre a soddisfare i requisiti HIPAA per la posta elettronica, Mimecast offre difese contro il ransomware, lo spear-phishing e gli attacchi di impersonificazione, comunemente usati per penetrare le difese di rete e rubare le informazioni dei pazienti.
Domande frequenti: Requisiti di crittografia HIPAA
Che cos'è la crittografia HIPAA a riposo?
In parole povere, quando le ePHI sono "a riposo" o non vengono trasmesse attivamente, devono comunque essere protette da potenziali violazioni o accessi non autorizzati. La crittografia delle informazioni elettroniche a riposo aggiunge un ulteriore livello di protezione, rimodellando i dati in un formato che può essere compreso e accessibile solo da persone autorizzate che dispongono della chiave di decodifica.
Requisiti di crittografia HIPAA per i dati a riposo
I requisiti di crittografia HIPAA per i dati a riposo si riferiscono a qualsiasi ePHI memorizzata su un server, un file sul desktop, una USB o un dispositivo mobile. È una best practice applicare la crittografia HIPAA a riposo al maggior numero possibile di dispositivi su cui vengono conservati i dati, per ridurre al minimo la possibilità che un malintenzionato acceda a dispositivi non crittografati.
Che cos'è la crittografia HIPAA in transito?
La crittografia HIPAA durante il transito offre un vantaggio significativo, salvaguardando le comunicazioni elettroniche contenenti ePHI mentre attraversano più router tra il mittente e il destinatario. Lungo questo percorso, i router conservano temporaneamente delle copie delle comunicazioni, rendendo possibile l'intercettazione in qualsiasi punto. La crittografia delle ePHI durante il transito garantisce che anche se un malintenzionato accede a un router o intercetta una comunicazione, le ePHI all'interno rimangono completamente illeggibili, indecifrabili e inutilizzabili per lui.
Requisiti di crittografia HIPAA per i dati in transito
Sebbene la HIPAA Security Rule non fornisca istruzioni tecniche specifiche per i metodi di crittografia, sottolinea l'importanza di salvaguardare le informazioni sanitarie protette elettronicamente (ePHI) durante la trasmissione, o "i dati in transito".
Quali sono i requisiti di crittografia HIPAA per le e-mail?
L'Health Insurance Portability and Accountability Act (HIPAA) stabilisce le norme per la privacy e la sicurezza delle informazioni sanitarie protette (PHI). La HIPAA Security Rule richiede alle organizzazioni di limitare l'accesso ai PHI, di proteggere i PHI da accessi non autorizzati, di garantire l'integrità dei PHI a riposo e di assicurare la responsabilità dei messaggi%. Sebbene la norma non stabilisca requisiti specifici per la crittografia HIPAA, raccomanda che le entità coperte e i business associate utilizzino la crittografia end-to-end quando possibile, ma consente anche alle organizzazioni di adottare soluzioni diverse dalla crittografia che raggiungano lo stesso obiettivo.
Come soddisfare i requisiti di crittografia HIPAA per le e-mail?
Le due tecnologie più efficaci per conformarsi alla HIPAA Security Rule sono la crittografia e il secure messaging. Le tecnologie di crittografia criptano i messaggi prima di inviarli, rendendo impossibile la lettura da parte di persone non autorizzate in caso di intercettazione o fuga involontaria. Le soluzioni di Secure messaging forniscono una piattaforma in cui gli utenti possono effettuare il login per inviare e ricevere messaggi crittografati, aggiungendo un ulteriore livello di controllo degli accessi per soddisfare i requisiti di crittografia HIPAA.
Che cos'è una violazione dei requisiti di crittografia HIPAA?
La violazione più comune dei requisiti di crittografia HIPAA è la mancata adozione di adeguate protezioni end-to-end per i dati personali. Un'altra violazione comune è l'invio di informazioni sanitarie protette via e-mail da una struttura sanitaria a un account di posta elettronica personale, cosa che accade quando i dipendenti inviano a se stessi dei file su cui lavorare a casa. Lo smarrimento o il furto di dispositivi che contengono informazioni personali non criptate è un'altra violazione comune, così come la divulgazione di informazioni personali a terzi che non dispongono di adeguate protezioni di crittografia.
Gmail soddisfa i requisiti di crittografia HIPAA?
Gmail non è una piattaforma conforme all'HIPAA. Le organizzazioni che desiderano utilizzare Gmail con una soluzione conforme all'HIPAA possono utilizzare GSuite di Google, che consente a Google di firmare un Contratto HIPAA con gli Associati d'Affari. Tuttavia, poiché Google non fornisce la crittografia, le organizzazioni dovranno stipulare un contratto con un fornitore terzo per soddisfare i requisiti di crittografia HIPAA.
Outlook soddisfa i requisiti di crittografia HIPAA?
Microsoft offre diverse versioni di Outlook, ognuna delle quali ha capacità diverse per soddisfare i requisiti di crittografia HIPAA. Outlook.com, la versione gratuita di Outlook, non è conforme all'HIPAA e non può soddisfare i requisiti di crittografia HIPAA. Outlook all'interno di Microsoft Office 365 o Outlook installato su un desktop o un laptop possono essere resi conformi alla normativa HIPAA con una configurazione adeguata, con un accordo HIPAA Business Associate con Microsoft e utilizzando un provider di terze parti per la crittografia.