Облачные решения для хранения данных, соответствующие требованиям HIPAA:обеспечение соответствия требованиям здравоохранения

Больницы, клиники и другие организации здравоохранения прошли тернистый путь к внедрению облачных технологий за последние несколько лет. Подразумеваемые риски безопасности, связанные с использованием общедоступного облака или работой со сторонним поставщиком услуг, значительно задержали внедрение облака в отрасли здравоохранения.

Даже сегодня, когда 84 % организаций здравоохранения используют облачные сервисы, вопрос выбора подходящего поставщика облачных услуг, соответствующего требованиям HIPAA, может стать головной болью.

Все поставщики медицинских услуг, данные клиентов которых хранятся в США, подпадают под действие ряда правил, известных как соответствие HIPAA

Сегодня любая организация, работающая с конфиденциальными данными пациентов, должна соблюдать требования HIPAA к хранению данных.

Что такое соответствие HIPAA?

Стандарты HIPAA обеспечивают защиту данных о здоровье. Любой поставщик, работающий с организацией здравоохранения или предприятием, обрабатывающим файлы о состоянии здоровья, должен соблюдать правила конфиденциальности HIPAA. Есть также много вспомогательных отраслей, которые должны придерживаться руководящих принципов, если у них есть доступ к медицинским данным и данным пациентов. Именно здесь важную роль играет облачное хранилище, совместимое с HIPPA.

В 1996 году «Министерство здравоохранения и социальных служб США (HHS) издало Правило конфиденциальности для реализации требований Закона о переносимости и подотчетности медицинского страхования (HIPAA) 1996 года». Правило конфиденциальности касается «электронной защищенной медицинской информации» пациентов и того, как организации или «юридические лица, подпадающие под действие HIPAA», подпадающие под действие Правил конфиденциальности, должны соблюдать их.

Большинство медицинских учреждений используют те или иные электронные устройства для оказания медицинской помощи. Это означает, что информация больше не хранится на бумажном графике, а хранится на компьютере или в облаке. В отличие от обычных предприятий или большинства коммерческих организаций, медицинские учреждения по закону обязаны использовать самые надежные методы резервного копирования данных.

Итак, как это влияет на их выбор облачного провайдера?

Планируя переход на облачные вычисления, медицинские учреждения должны убедиться, что их поставщик соответствует определенным критериям безопасности.

Эти критерии переводятся в требования и пороговые значения, которым компания должна соответствовать и поддерживать, чтобы стать готовой к HIPAA. Они сводятся к набору сертификатов, аудиту и отчетности SOC, уровням шифрования и функциям физической безопасности.

Решения для облачного хранения HIPAA должны работать так, чтобы обеспечить соответствие требованиям простым и понятным способом. Таким образом, у организаций здравоохранения будет на одну проблему меньше, и они смогут сосредоточиться на улучшении своих важнейших процессов.

 Требования HIPAA к облачному хранилищу и резервному копированию данных

Поставщик облачных услуг, ведущий дела с компанией, работающей в соответствии с правилами закона HIPAA-HITECH, считается деловым партнером. Таким образом, он должен показать, что он соответствует стандартам соответствия облачным технологиям и соответствует всем соответствующим стандартам. Хотя поставщик не обрабатывает информацию о пациентах напрямую, он получает, управляет и хранит защищенную медицинскую информацию (PHI). Уже один этот факт возлагает на них ответственность за его защиту в соответствии с руководящими принципами закона HIPAA-HITECH.

Соответствие HIPAA означает выполнение всех правил и положений, которые предлагает Закон. Любой поставщик, предлагающий услуги, подпадающие под действие закона, должен предоставить документацию, подтверждающую их соответствие. Эту документацию необходимо отправить не только своим клиентам, но и в Управление по гражданским правам (OCR). OCR — это дочернее агентство Министерства образования США, которое продвигает равный доступ к программам здравоохранения и социальных услуг.

Организации отрасли здравоохранения, желающие работать с облачным хранилищем, соответствующим требованиям HIPAA  поставщик должен запросить подтверждение соответствия, чтобы защитить себя. Если поставщик соблюдает все стандарты, он без колебаний предоставит вам соответствующую документацию.

Требования HIPAA для организаций облачного хостинга такие же, как и для деловых партнеров. Они делятся на три отдельные категории:административные, физические и технические меры безопасности.

• Административные меры безопасности:  Эти типы гарантий представляют собой прозрачные политики, которые описывают, как бизнес будет соблюдать требования с операционной точки зрения. Операции могут включать в себя управление оценкой рисков безопасности, соответствующие процедуры, реагирование на стихийные бедствия и чрезвычайные ситуации, а также управление паролями.
• Физическая защита: Физические средства защиты обычно представляют собой системы, предназначенные для защиты данных клиентов. Они могут включать надлежащее хранение, резервное копирование данных и соответствующую утилизацию носителей в центре обработки данных. Важные меры предосторожности для объектов, на которых размещаются аппаратные или программные устройства хранения данных, также относятся к этой категории.
• Технические меры безопасности: Эта группа мер безопасности относится к техническим функциям, реализованным для минимизации риска данных и максимальной защиты. Требование уникальной информации для входа, политики автоматического выхода из системы и аутентификация для доступа к PHI — это лишь некоторые из технических мер безопасности, которые должны быть на месте.

Что делает поставщика облачных услуг, сертифицированного HIPAA, совместимым?

Предоставить аппаратное или программное обеспечение для хранения файлов, совместимое с HIPAA, не так просто, как щелкнуть выключателем. Компании требуется огромное количество времени и усилий, чтобы соответствовать требованиям.

Важнейшим элементом, на который следует обратить внимание поставщику облачных хранилищ, сертифицированному HIPAA, является его готовность заключить соглашение о деловом партнерстве. Это соглашение, известное как BAA, заключается между двумя сторонами, планирующими передавать, обрабатывать или получать PHI. Его основная цель – защитить обе стороны от любых юридических последствий, связанных с неправомерным использованием защищенной медицинской информации.

Соглашение о деловом партнерстве BAA не должно добавлять, отнимать или противоречить общим стандартам HIPAA. Однако, если обе стороны согласны, допускается добавление специальной терминологии. Есть также некоторые основные условия, которые составляют основу для соглашения о деловом партнерстве, соответствующего требованиям, и должны оставаться в силе, чтобы договор считался юридически обязывающим.

Уровень шифрования, включенный облачным провайдером, требует надлежащего внимания. Компания должна шифровать файлы не только в пути, но и в состоянии покоя. Advanced Encryption Standard (AES) — это минимальный уровень шифрования, который следует использовать для хранения и обмена файлами. AES является преемником стандарта шифрования данных (DES) и был разработан Национальным институтом стандартов и технологий (NIST) в 1997 году. Это усовершенствованный алгоритм шифрования, обеспечивающий улучшенную защиту от различных нарушений безопасности.

Выбор совместимого поставщика облачного хранилища

При выборе поставщика услуг, соответствующего требованиям HIPAA, ищите веб-хостинг HIPAA, соответствующий мерам, изложенным в предыдущем разделе. Убедитесь, что вы спросили их об их методах обеспечения безопасности хранения данных, чтобы узнать, насколько защищены ваши данные PHI.

Предлагает ли потенциальный поставщик соглашение об уровне обслуживания?

В контракте SLA указывается гарантированное время реагирования на угрозы, обычно в пределах 24-часового окна. Как компании, передающей PHI, вам необходимо знать, как быстро поставщик может уведомить вас в случае инцидента. Чем быстрее вы получите уведомление о нарушении, тем эффективнее сможете отреагировать.

Не забывайте, что хранение электронных облачных медицинских карт должно осуществляться в защищенном дата-центре.

Какие меры безопасности принимаются на случай инцидента? Как определяется доступ к объекту? Запросите подробное описание того, как они реализуют и обеспечивают физическую безопасность. Проверьте, как они реагируют в случае утечки данных. Убедитесь, что вы получили всю необходимую информацию, прежде чем рисковать своими данными.

У выбранного поставщика также должен быть план аварийного восстановления и обеспечения непрерывности.

План обеспечения непрерывности предусматривает возможные потери из-за стихийных бедствий, утечки данных и других непредвиденных происшествий. Он также обеспечит необходимые процессы и процедуры, если или когда такие события произойдут. Что касается передовых методов предотвращения потери данных, важно также определить, как часто предлагаемый метод подвергается тщательному тестированию.

Безопасность медицинской документации — как я могу быть уверен?

Поставщики облачных услуг, которые серьезно относятся к соблюдению требований, обеспечат актуальность своих сертификатов. Есть несколько способов проверить, соответствуют ли они стандартам и соответствующим правилам.

Один из способов — провести аудит вашего потенциального поставщика с помощью независимой стороны. Аудит привлечет ваше внимание к любым возможным рискам и выявит тактику безопасности поставщика. Облачное хранилище для поставщиков медицинских карт должно регулярно проверять свои системы и среды на предмет защиты от угроз, чтобы соответствовать требованиям. Термин «регулярно» не определяется законом, поэтому необходимо запрашивать документацию и информацию не реже одного раза в квартал. Вы также должны иметь постоянный доступ к отчетам и документации с подробным описанием самого последнего аудита.

Еще один способ определить, соответствует ли компания требованиям, — это оценить квалификацию ее сотрудников. Все сотрудники должны быть обучены самым современным стандартам и ознакомлены с конкретными мерами безопасности. Только при их наличии организации могут добиться соответствия требованиям.

Задайте своему потенциальному поставщику сложные вопросы. Любой, у кого есть доступ к PHI, должен пройти соответствующее обучение безопасным методам передачи данных. Обучение должно включать в себя возможность безопасного шифрования информации о пациентах независимо от того, где они хранятся.

Компания, соответствующая требованиям HIPAA, не будет запрашивать у вас бэкдор для доступа к вашим данным или разрешение на обход ваших протоколов управления доступом. Такие поставщики осознают риск, связанный с необходимостью дополнительной аутентификации или точек доступа. Компрометация доступа к протоколам аутентификации и требованиям к паролям является серьезным нарушением и никогда не должна происходить.

Часто задаваемые вопросы о резервном копировании и хранении в облаке

Узнайте у потенциальных поставщиков облачных услуг, какой метод они используют для оценки вашего соответствия HIPAA.

Доступен ли для использования шаблон политики HIPAA? Предоставляет ли поставщик рекомендации и отзывы о соблюдении требований? Как они обеспечивают, чтобы вы были в курсе и знали о правилах и нормах безопасности? Предлагают ли они электронную почту, соответствующую требованиям HIPAA?

Есть ли в компании штатные сотрудники?

Присутствие на месте и круглосуточная доступность — это механизм, обеспечивающий повышенную безопасность. Доступный представитель делает безопасность PHI более надежной и гарантирует быстрый ответ в случае необходимости. Кроме того, вы можете быть спокойны, зная, что компания, отвечающая за защиту ваших данных, полностью разбирается в необходимых стандартах.

Подходящий поставщик также должен быстро адаптироваться к изменениям и информировать вас обо всем, что напрямую влияет на вашу PHI или ваш доступ к ней.

Удаление данных является важным компонентом при выборе подходящего делового партнера HIPAA. Как долго информация хранится в течение определенного периода перед очисткой? Как предотвращается утечка данных, когда серверы выводятся из эксплуатации или стираются? Предоставляются ли вам данные перед удалением? Закон не содержит указаний относительно требуемой продолжительности времени, но это соглашение, которое вы и ваш врач должны заключить вместе.

В дополнение к вашим знаниям определите, насколько хорошо ваш потенциальный поставщик услуг разбирается в правилах HIPAA. Облачные компании часто не следят за последними изменениями в законодательстве, и вам приходится искать ту, которая проявляет постоянную приверженность.

Магазин вокруг. Не довольствуйтесь первой цитатой.

Многие компании рекламируют свою безопасность HIPAA только для того, чтобы обнаружить, что они не соответствуют меркам. Проведите исследование, задайте вопросы и определите, какой поставщик лучше всего соответствует вашим потребностям.

Облачное хранилище, соответствующее требованиям HIPAA, имеет решающее значение

Когда дело доходит до защиты медицинских записей в облаке, phoenixNAP поддержит вас, предоставив услуги высочайшего качества, безопасности и надежности.

Мы предоставляем выбор центров обработки данных, которые обеспечивают современную защиту ваших медицинских файлов. Благодаря масштабируемым облачным решениям, 100-процентной гарантии безотказной работы и непревзойденному аварийному восстановлению вы можете быть уверены, что ваша инфраструктура соответствует требованиям.

Сертификации HIPAA могут быть запутанными, сложными и напряженными.

Вы должны быть в состоянии доверять своему облачному провайдеру, чтобы сохранить ваши файлы в безопасности. Глобальные ИТ-услуги PhoenixNap позволят вам сосредоточить свое внимание на других областях вашего бизнеса и обеспечить защиту ваших организаций и деловых партнеров.