- Sobre a HIPAA
- Conformidade com a HIPAA
- Mapeamento de conformidade
Garanta a privacidade e a segurança dos dados de assistência médica e cuidados de saúde ao implementar os controles e salvaguardas exigidos pela HIPAA
A Health Insurance Portability and Accountability Act (HIPAA) é uma lei federal dos Estados Unidos criada para proteger a confidencialidade das informações pessoais de saúde. Ela exige que organizações de assistência médica e cuidados de saúde, seus parceiros de negócios e outras entidades (denominadas entidades cobertas e parceiros de negócios) adotem medidas para garantir a privacidade e a segurança das informações de saúde protegidas (PHI) que possam identificar um indivíduo.
Além disso, a HIPAA concede determinados direitos aos pacientes e estabelece diretrizes para a transmissão eletrônica de dados de saúde.
A conformidade com a HIPAA é obrigatória para todas as entidades cobertas, incluindo prestadores de serviços de assistência médica e cuidados de saúde e seus parceiros de negócios. O não cumprimento das normas, ou a falha em proteger adequadamente as informações dos pacientes contra violações de dados, pode resultar em multas expressivas e danos à reputação da organização.
Adotar esse padrão também traz benefícios importantes para as empresas, como:
Uma parte fundamental da conformidade com a HIPAA é atender às medidas de segurança administrativas, físicas e técnicas previstas pelas normas de segurança da HIPAA.
As soluções de gerenciamento de TI da ManageEngine podem ajudar sua organização a atender aos controles de TI e segurança relacionados a essas medidas.
Medidas administrativas de segurança
Medidas físicas de segurança
Medidas técnicas de segurança
Identifique e analise os riscos às informações eletrônicas de saúde protegidas (ePHI) e mitigue-os por meio de estratégias eficazes, como a aplicação de políticas de segurança e o monitoramento contínuo da atividade do sistema para detectar e tratar incidentes.
Identificar violações de segurança, regular acessos e otimizar os processos de aplicação de patches. Implementar análises de comportamento de usuários e entidades (UEBA) para detectar atividades incomuns. Aplicar políticas de prevenção contra perda de dados (DLP) e consolidar o controle sobre operações em endpoints. Restringir acessos administrativos, priorizar riscos e notificar os administradores sobre violações de políticas.
Garanta que apenas pessoas autorizadas e treinadas tenham acesso a informações sensíveis, por meio de procedimentos de autorização, monitoramento de credenciais e revogação de acessos quando necessário, protegendo os dados contra acessos indevidos e violações.
Automatizar o gerenciamento do ciclo de vida de usuários. Simplificar e proteger acessos com MFA e SSO. Autorizar o acesso às informações eletrônicas de saúde protegidas (ePHI) para usuários e grupos específicos. Revisar e identificar logons inadequados com relatórios de login de usuários. Utilizar controle de acesso baseado em funções para gerenciar privilégios de acesso às informações eletrônicas de saúde protegidas. Controlar conexões de dispositivos e aplicações, automatizando o controle de acessos. Gerenciar contas de usuários em múltiplas plataformas. Garantir registros auditáveis de modificações e emitir alertas em tempo real.
Controle quem pode acessar informações sensíveis por meio da implementação de políticas e procedimentos de autorização, criação e modificação de direitos de acesso, garantindo que apenas indivíduos autorizados tenham acesso a dados específicos.
Rastrear todas as atividades de rede para identificar acessos a dados, abusos de privilégios, atividades de usuários e logons/logoffs. Emitir alertas em tempo real por SMS ou e-mail ao detectar interações suspeitas ou fontes maliciosas na rede. Conceder acesso a arquivos, pastas e registros a usuários ou departamentos específicos. Reforçar a segurança e aumentar a eficiência com MFA e SSO. Remover rapidamente usuários desligados de todos os diretórios vinculados e revogar seus acessos a aplicações.
Estabeleça procedimentos para atualizações regulares de segurança, proteção contra malware, monitoramento de logins, gerenciamento de senhas e geração de relatórios de incidentes de segurança.
Automatizar a aplicação periódica de patches em dispositivos vulneráveis e proteger o ePHI disponível neles. Identificar e conter rapidamente incidentes por meio de monitoramento robusto, segmentação de rede e desativação de contas comprometidas. Erradicar malwares por meio da remoção, correção de vulnerabilidades e análise dos vetores de ataque.
Estabeleça protocolos para identificar, responder, mitigar e documentar incidentes de segurança, garantindo que violações ou eventos sejam tratados de forma imediata para minimizar danos e evitar recorrências.
Coletar, centralizar e analisar logs de diversas fontes, como servidores, aplicações e dispositivos de rede. Correlacionar dados de logs para detectar instantaneamente padrões de ataque. Identificar, por meio de dados de ameaças globais, fontes maliciosas que interagem com a rede. Gerenciar e acompanhar todos os incidentes com processos definidos em todo o ciclo de vida, configurando status personalizados. Atribuir tickets automaticamente com base na especialidade dos técnicos ou em grupos, garantindo resoluções rápidas e evitando recorrências.
Desenvolva e mantenha políticas e procedimentos para responder a emergências de sistemas, garantindo cópias recuperáveis de ePHI, recuperação de dados, testes periódicos do plano de contingência e avaliação da criticidade de aplicações e dados para apoiar o planejamento.
Correlacionar dados de logs de diversas fontes para detectar incidentes de segurança e emergências de sistemas. Criar tickets de incidentes, atribuir tarefas a responsáveis designados e acompanhar o progresso da resolução. Identificar vulnerabilidades em toda a infraestrutura de TI e priorizá-las de acordo com a gravidade. Avaliar a criticidade de aplicações e dados, identificando vulnerabilidades que possam afetar sua disponibilidade ou integridade durante emergências. Automatizar o gerenciamento de patches para sistemas operacionais, aplicações e softwares de terceiros. Garantir que os sistemas estejam sempre atualizados com os patches de segurança mais recentes.
Efetue avaliações periódicas, considerando as mudanças que afetem a segurança das informações eletrônicas de saúde protegidas, para assegurar a conformidade de entidades cobertas e parceiros de negócio com os padrões desta seção.
Emitir alertas em tempo real para eventos críticos e utilizar relatórios prontos de conformidade com a HIPAA para facilitar auditorias. Arquivar dados de log de forma eficiente por longos períodos, atendendo aos requisitos de conformidade. Tratar prontamente ameaças à segurança das ePHI, gerenciar incidentes e lidar com tickets de problemas identificados, além de garantir que apenas pessoas autorizadas tenham acesso às ePHI, além de monitorar configurações e a integridade da rede para manter a conformidade com políticas de segurança.
Desenvolva e aplique protocolos de acesso às instalações durante emergências, incluindo medidas de segurança para prevenir entradas não autorizadas e adulterações. Implemente controles de acesso baseados em função (RBAC) para o pessoal, incluindo gerenciamento de visitantes e controle de acesso a softwares. Estabeleça políticas que definam requisitos específicos para estações de trabalho no manuseio de informações de saúde protegidas.
Gerenciar centralmente a segurança de endpoints, reforçando os controles de acesso a dados de pacientes com RBAC. Regular o acesso à rede, aumentar a segurança de dispositivos e definir papéis de usuário. Aplicar protocolos de acesso a instalações em emergências, bloqueando remotamente endpoints ou restringindo o acesso a dados sensíveis armazenados neles. Criar e centralizar documentos de base de conhecimento para protocolos como acesso a instalações, controles de acesso e requisitos de estações de trabalho no tratamento de PHI.
Gerencie e proteja dispositivos físicos e mídias de armazenamento que contenham ePHI, utilizando rastreamento de endpoints, descarte seguro, criptografia e controles de acesso para prevenir acessos não autorizados ou perda de dados, garantindo a privacidade dos pacientes.
Gerenciar o ciclo de vida de dispositivos, incluindo o descarte. Apagar remotamente dados de um dispositivo em caso de roubo ou desligamento de colaborador. Restringir e controlar o uso de dispositivos periféricos na rede, tanto em nível de usuário quanto de computador. Configurar políticas de navegador, firewall e segurança via gerenciamento de permissões, assegurando controle de acesso a arquivos, pastas e registros. Aplicar criptografia a arquivos, pastas e unidades.
Gerencie o acesso autorizado às ePHI por meio de autenticação, autorização, criptografia, auditoria e sistemas de firewall, garantindo confidencialidade, integridade e disponibilidade dos dados, além de apoiar a conformidade regulatória.
Habilitar o gerenciamento centralizado de contas de usuários e políticas de autenticação no Active Directory (AD). Aplicar mecanismos robustos de autenticação, como MFA, para verificar a identidade de usuários que acessam sistemas ou recursos contendo ePHI. Ajustar em massa os direitos de acesso dos usuários em cada aplicação, atribuindo funções e permissões adequadas. Ofereça acesso seguro, com um único clique, para uma ampla gama de aplicações, incluindo AWS, Google Workspace, Salesforce e Microsoft Entra ID (anteriormente chamado de Microsoft Azure AD).
Implemente mecanismos de hardware, software e procedimentos que registrem e examinem atividades em sistemas de informação que contenham ou utilizem ePHI.
Detectar com precisão alterações de permissões de arquivos, como criação, modificação, renomeação ou exclusão. Gerar trilhas de auditoria de todos os eventos em sistemas, aplicações e redes para identificar áreas de risco. Garantir conformidade com templates de auditoria prontos para uso. Produzir relatórios diversos sobre logons e logoffs de usuários, uso de dispositivos USB e alertar equipes sobre softwares adicionados ou removidos, atualizações periódicas de antivírus e status de firewalls, BitLocker e cofres de arquivos.
Implemente políticas para proteger o ePHI contra alterações ou destruições não autorizadas. Utilize mecanismos eletrônicos para verificar a integridade das ePHI, garantindo que permaneçam inalteradas e seguras.
Habilitar o monitoramento em tempo real de arquivos para rastrear modificações e exclusões não autorizadas, emitindo alertas imediatos. Detectar com precisão alterações de permissões de arquivos, como criação, modificação, renomeação ou exclusão. Aplicar controles de acesso e gravação de sessões para segurança das ePHI, com trilhas de auditoria para rastreabilidade.
Implemente procedimentos para avaliar se as pessoas ou entidades que buscam acessar as ePHI são realmente quem afirmam ser.
Aplicar mecanismos de autenticação em dispositivos endpoints, garantindo que apenas usuários autorizados acessem as ePHI armazenadas neles. Habilitar o gerenciamento centralizado de contas de usuários e políticas de autenticação no AD. Reforçar a autenticação forte, como MFA, para validar a identidade de usuários que acessam sistemas e recursos de ePHI.
Implemente medidas técnicas de segurança para proteção contra acessos não autorizados às ePHI transmitidas em redes de comunicação eletrônica. Garanta que as ePHI não sejam alteradas de forma indevida sem detecção até sua exclusão. Sempre que apropriado, utilize mecanismos de criptografia para proteger os dados.
Monitorar e regular a movimentação de dados da empresa a partir de um console centralizado para combater ataques sustentados por informações privilegiadas e perda de dados. Aplicar controles de acesso e transferência baseados em função, com limites configuráveis de transferência de arquivos para proteger os dados.
Confira como os diversos produtos da ManageEngine podem ajudar sua organização a atender diferentes requisitos de gerenciamento de TI e segurança sob a HIPAA. Baixe nosso guia para ver em detalhes como e quais sub-requisitos podem ser cumpridos com nossas soluções.
Baixe este guia para saber como a ManageEngine pode ajudar sua organização a implementar os controles de TI exigidos pela HIPAA.
A implementação completa da HIPAA requer uma variedade de controles de processo, política, pessoas e tecnologia. As soluções mencionadas representam apenas algumas das formas pelas quais as ferramentas de gerenciamento de TI podem apoiar o atendimento aos requisitos da HIPAA. Combinadas a outros processos, políticas e controles adequados, as soluções da ManageEngine podem ajudar sua organização a alcançar a conformidade. Este material é fornecido apenas para fins informativos e não deve ser considerado como aconselhamento jurídico para conformidade com a HIPAA. A ManageEngine não oferece garantias, expressas, implícitas ou estatutárias, quanto às informações contidas neste material. Entre em contato com seu consultor jurídico para saber como a HIPAA afeta sua organização e o que precisa ser feito para estar em conformidade com a HIPAA.