Saúde em Cibersegurança – O que é e como se adequar a HIPAA

Observando o cenário de vulnerabilidade nos sistemas de dados dos hospitais, em 1996, o governo americano criou um conjunto de normas obrigatórias chamada Health Insurance Portability and Accountability Act (HIPAA). 

A HIPAA aplica a todos os institutos com fins hospitalares dos Estados Unidos, e seu objetivo é bastante simples: manter a segurança dos dados dos pacientes contra vazamentos de dados, ciberataques, consulta de informações indevidas e fraudes.

Os principais pontos da HIPAA

A HIPAA possui 3 pontos principais em suas normas:

1) Privacidade: a norma exige que os dados pessoais do paciente sejam confidenciais.

2) Segurança: além de manter privado, o instituto deve garantir que as informações estão seguras física e digitalmente, para que não haja nenhum tipo de vazamento ou fraude nas informações.

3) Identificadores: são as informações que não podem ser liberadas se coletadas para fins de pesquisa.

Os pontos geralmente mais violados são:

• Divulgações inadmissíveis de informações protegidas de saúde (PHI).
• Acessos não autorizados aos dados.
• Descarte impróprio de informações pessoais.
• Falha ao conduzir uma análise de risco.
• Falha em gerenciar riscos à confidencialidade, integridade e disponibilidade de PHI.
• Falha em manter e monitorar registros de acesso PHI.
• Falha em entrar em um acordo de parceria comercial em conformidade com HIPAA com fornecedores antes de dar acesso a PHI.
• Falha em fornecer aos pacientes cópias de suas PHI mediante solicitação.
• Falha ao implementar controles de acesso para limitar quem pode ver PHI.
• Falha ao rescindir os direitos de acesso ao PHI quando não for mais necessário.
• A divulgação de mais PHI do que o necessário para uma determinada tarefa a ser realizada.
• Falha em fornecer treinamento HIPAA e treinamento de conscientização de segurança.
• Roubo de registros de pacientes.
• Liberação não autorizada de PHI para indivíduos não autorizados a receber as informações.
• Compartilhamento de PHI online ou via mídia social sem permissão.
• Manuseio incorreto e envio incorreto de PHI.
• Mensagens de texto em PHI.
• Falha em criptografar PHI ou usar uma medida alternativa equivalente para evitar acesso / divulgação não autorizados.
• Falha em documentar os esforços de conformidade.

O descumprimento das normas podem gerar multas de até 50 mil dólares por violação aos responsáveis, além de ter uma grande perda de reputação.

Como se adequar à HIPAA

É fundamental implementar uma tecnologia que garanta a segurança da informação na instituição.

Uma maneira bastante utilizada pelas instituições são as soluções PAM (Privileged Access Management), por meio das quais podem ser criados ambientes que só podem ser acessados por pessoas autorizadas, possuindo travas de segurança e registrando qualquer tipo de ação dentro do ambiente através da gravação das sessões realizadas, logs detalhados e relatórios de acessos completos, procedimentos estes que garantem a segurança e a transparência das ações realizadas no ambiente.

Como escolher a melhor solução para o seu negócio

O senhasegura é uma das principais soluções PAM do mundo. A nossa solução, além de garantir o gerenciamento durante a sessão privilegiada, também garante o antes e o depois da realização da consulta no sistema, o que é fundamental para o cumprimento da HIPAA.

Além disso, a nossa solução é reconhecida como Challenger pelo Quadrante Mágico; e foi reconhecida como uma das principais soluções PAM do mercado no relatório do Critical Capabilities do Gartner, uma das principais instituições de pesquisa de tecnologia.

Agende uma demonstração com nossos especialistas e descubra por que o senhasegura pode resolver sua necessidade facilmente.