Informações de saúde protegidas eletronicamente (ePHI) são quaisquer informações identificáveis geradas, processadas, armazenadas ou transmitidas eletronicamente por instalações de saúde, incluindo hospitais, asilos e agências de seguro saúde. Exemplos de ePHI incluem dados demográficos de pacientes, como nomes, endereços postais de e-mail, bem como dados de saúde, como prescrições, relatórios de exames de sangue e identificadores biométricos.
Nos EUA, a Lei de Portabilidade e Responsabilidade de Seguro Saúde (HIPAA) exige padrões de segurança rigorosos para armazenar, compartilhar e gerenciar informações de saúde protegidas. Negligenciar o cumprimento desses padrões de segurança ou não proteger a privacidade dos pacientes pode resultar em penalidades financeiras pesadas e danos à reputação. As organizações que cumprem a HIPAA devem monitorar de perto os acessos e modificações em arquivos contendo ePHI e evitar seu vazamento e roubo. Uma ferramenta de conformidade com o HIPAA pode ser usado para ajudar a manter padrões rigorosos de segurança de dados.
Alguns dos principais requisitos de segurança cibernética baseados em controles técnicos exigidos pela HIPAA para proteger ePHI incluem:
Rastrear todas as mudanças não autorizadas em arquivos para garantir que a integridade dos dados seja preservada. (Seções 10.5.5 e 11.5)
Detectar atividades cruciais em arquivos e pastas com a ajuda de notificações oportunas, o que é necessário para rastrear vazamentos potenciais ou roubos de dados. (Seção 164.312)
Analisar as permissões de segurança dos arquivos contendo ePHI para garantir que somente o pessoal adequado tenha acesso aos dados. (Seção 164.312)
Responder prontamente a eventos de acesso em massa a arquivos para evitar infecções por malware ou violações de dados. (Seção 164.312)
As ePHI, como todas as outras informações confidenciais, devem ser protegidas utilizando as medidas mais rigorosas. Dados pessoais armazenados em servidores de arquivos, armazenamento em nuvem ou outros repositórios podem ser descobertos e localizados usando uma ferramenta de descoberta de dados. Em seguida, eles devem ser processados por uma ferramenta de classificação de dados para que as prioridades corretas possam ser aplicadas no nível certo de controle de segurança.
Uma vez localizados e classificados, os dados sensíveis precisam ser protegidos em todas as instâncias — servidor de arquivos, armazenamento em nuvem e endpoints — para evitar manipulação ou roubo. Implantar uma solução de prevenção de vazamento de dados para monitorar e controlar a atividade de endpoints, incluindo ações de cópia em arquivos classificados como confidenciais. Usar softwares de proteção em nuvem para monitorar o acesso do usuário a aplicações web e o tráfego de entrada da Internet.
O DataSecurity Plus da ManageEngine é uma plataforma unificada de visibilidade e segurança de dados que oferece relatórios granulares e um mecanismo rápido de alerta e resposta para ajudar a detectar riscos à segurança de dados. Com ela, você pode:
Experimente todos os recursos acima e muito mais em uma avaliação grátis e totalmente funcional de 30 dias.
Baixe o teste grátis