Лучший способ поддерживать соответствие требованиям HIPAA в облаке

Услуги облачных вычислений предлагают бесчисленные преимущества для предприятий, которые хотят хранить свои данные и получать к ним доступ в Интернете. Облачные сервисы популярны благодаря гибкости и удобству, которые они предлагают предприятиям с точки зрения простого доступа и удаленного обмена важными данными. Но что важно, так это безопасность данных в облаке. Является ли облачное хранилище безопасным для хранения, обработки и передачи данных, является предметом серьезного беспокойства.

Это особенно актуально для организаций здравоохранения, таких как клиники, больницы и дома престарелых, которые используют облачные сервисы для хранения обработки и передачи медицинской информации. Благодаря регулированию HIPAA обеспечение конфиденциальности и безопасности данных теперь является важным юридическим требованием. Закон о переносимости и подотчетности медицинского страхования (HIPAA) устанавливает четкие правила хранения и обработки медицинских карт пациентов, защищенной медицинской информации (PHI), которая также является индивидуально идентифицируемой медицинской информацией.

Таким образом, для обеспечения соответствия требуется организация, включающая поставщиков облачных услуг, предлагающих услуги по обработке медицинских записей. Медицинские организации также несут ответственность за перенос медицинских данных своих пациентов в облачное хранилище, чтобы убедиться, что облачные услуги, которыми они пользуются, соответствуют требованиям HIPAA.

Подробно объясняя это, мы поделились некоторыми советами и способами, как организации, желающие перенести свои данные в облако, могут поддерживать соответствие HIPAA. Мы даже поделились некоторыми полезными советами для поставщиков облачных услуг, чтобы убедиться, что они предлагают решения для облачных хранилищ, соответствующие HIPAA. При правильном планировании и стратегии предприятия могут построить прочные отношения с поставщиком услуг, предлагающим облачные услуги, соответствующие требованиям HIPAA.

Облачное хранилище, соответствующее требованиям HIPAA

Преимущества решений облачных вычислений не имеют себе равных для компаний, стремящихся использовать передовые технологии и решения для удовлетворения потребностей своего бизнеса. В дополнение к этому поставщики облачных услуг также помогают предприятиям поддерживать соответствие различным отраслевым стандартам и правилам, включая соответствие требованиям HIPAA. Тем не менее, облачные серверы не всегда соответствуют требованиям HIPAA, а скорее требуют дополнительных мер по обеспечению облачного хранилища, соответствующего требованиям HIPAA, в соответствии с потребностями подпадающих под действие организаций и нормативными требованиями.

Несмотря на отсутствие официальной сертификации HIPAA, а также государственных или уполномоченных органов, подтверждающих соответствие HIPAA для облачных сервисов, необходимо, чтобы Охватываемые организации и поставщики облачных сервисов соблюдали требования HIPAA. HIPAA требует выполнения определенных требований и уровней конфиденциальности и безопасности данных в отношении защищенной медицинской информации (PHI) и электронной защищенной медицинской информации (ePHI). Это включает в себя принятие мер по защите и обеспечению конфиденциальности всех бумажных и электронных данных, хранящихся или передаваемых PHI.

Таким образом, когда Защищенная организация хранит PHI в облаке, поставщик услуг облачного хранения данных, также известный как Деловой партнер, обязан применять физические, технические и административные меры безопасности при обработке PHI для обеспечения соответствия требованиям. Несоблюдение этих мер безопасности приведет к нарушению HIPAA. Кроме того, должно быть заключено Соглашение о деловом партнерстве (BAA) между организациями, на которые распространяется действие, и поставщиком облачных услуг, которое определяет каждую из их ролей и обязанностей, которые соответствуют стандартам конфиденциальности и безопасности, изложенным в правилах HIPAA. В соглашении указано, что поставщик облачных услуг должен:

• Защитите данные, хранящиеся в облаке

• Защитите данные при переходе

• Создание систем, облегчающих безопасный доступ к данным

Ведение и запись журналов всех действий, включая все неудачные и успешные попытки доступа

Облачное хранилище, совместимое с HIPAA, требует реализации всех технических, физических и административных средств контроля для обеспечения конфиденциальности, целостности и доступности ePHI. В конце концов, ответственность за разработку политик и процедур, касающихся использования безопасного облачного хранилища HIPAA для этой информации, лежит на подпадающей под действие организации.

Советы по соблюдению требований HIPAA

Рекомендации по обеспечению соответствия HIPAA в облаке

Когда поставщики облачных услуг заявляют, что они соответствуют требованиям HIPAA, это означает, что их инфраструктура защищена и поддерживает конфиденциальность и безопасность данных PHI. Тем не менее, в конечном итоге, ответственность за обеспечение того, чтобы поставщики услуг продолжали соблюдать требования безопасности и поддерживали соответствие, лежит на обслуживаемых организациях. В их обязанности входит аудит и мониторинг действий, связанных с использованием и доступом к данным ePHI. HIPAA требует нескольких реализаций безопасности от поставщиков облачных услуг, которые работают с объектами, на которые распространяется действие. Подробно обсуждая эти реализации безопасности, ниже приведены некоторые советы о том, как поддерживать и обеспечивать соответствие требованиям HIPAA в облаке.

Подписать BAA

Соглашение о деловом партнерстве — это юридический документ соглашения между Подпадающими под действие организациями (пользователем облачных услуг) и деловым партнером (поставщиками облачных услуг), в котором определяются роли, обязанности и процессы, которым должна следовать каждая из организаций для выполнения требований HIPAA. Это помогает поддерживать хорошие отношения между двумя организациями и обеспечивает соответствие HIPAA.

Контроль доступа

Контроль доступа необходим для обеспечения безопасности и конфиденциальности данных. Это также предотвращает несанкционированный доступ или изменение данных. По этим причинам необходимо внедрить и правильно настроить элементы управления полным доступом, чтобы только авторизованные лица могли получить доступ к конфиденциальным данным PHI. При наличии соответствующих мер контроля доступа пользователи облака могут обеспечить и поддерживать соответствие требованиям HIPAA в облаке.

Управление исправлениями

Поставщики облачных услуг должны убедиться, что облачные системы обновлены до последней версии. Это делается для того, чтобы время от времени устранялись необходимые ошибки. Чтобы обеспечить максимальную безопасность, необходимо иметь систему управления исправлениями для устранения ошибок, уязвимостей и ошибок в системах. Это также должно включать функции предупреждений и уведомлений о том, когда необходимо применить исправление к облачным системам.

Брандмауэры с ведением журналов и оповещениями

HIPAA четко указывает на необходимость внедрения брандмауэров в системы и ведения журнала для всех систем и доступа к приложениям. HIPAA требует постоянного отслеживания или мониторинга любого доступа к данным PHI. Таким образом, организации должны включить ведение журналов на брандмауэрах, развернутых в облаке.

Таким образом, журналы и записи о том, как брандмауэры, развернутые в облаке, эффективно управляют трафиком. При наличии брандмауэров и журналов пользователи облака получат информацию об источнике и назначении, IP-адресе, номерах портов и т. д., которую также можно использовать при расследовании в случае атаки. В зависимости от критичности также необходимо настроить автоматические оповещения для оповещения персонала о любом возможном взломе или попытке взлома.

Двухфакторная аутентификация и шифрование

Данные, хранящиеся в облаке и передаваемые, должны быть зашифрованы сквозным шифрованием. HIPAA требует, чтобы облачное хранилище имело двухфакторную аутентификацию и шифрование передаваемой ePHI. Кроме того, требуется, чтобы все устройства, которые хранят или имеют доступ к ePHI, были зашифрованы и имели системы для ключей шифрования между локальными и облачными системами.

Контроль целостности файлов

Пользователи облачных служб и поставщики облачных услуг должны принять меры, обеспечивающие высочайший уровень конфиденциальности и целостности данных ePHI. Для этого им необходимо настроить систему контроля целостности файлов, которая также настроена для реализации системы на основе разрешений, которая ограничивает несанкционированный доступ пользователей. Для его реализации требуется эффективная двухэтапная аутентификация, безопасные пароли и безопасный процесс обмена файлами, который защищает данные от несанкционированного доступа. Кроме того, системы мониторинга целостности файлов должны отслеживать и фиксировать любой несанкционированный доступ к данным PHI и уведомлять в случае любых изменений, внесенных в данные.

Журналы доступа

Пользователи облака должны внедрить сквозные журналы доступа, которые регулярно отслеживают, записывают и проверяют доступ к данным ePHI. Это необходимо для отслеживания всех действий, связанных с использованием и доступом к ePHI. Такая информация журнала доступа дает организации представление о бизнес-операциях в облаке.

Уведомление о нарушении

Уведомление о нарушении является одним из наиболее важных аспектов соответствия HIPAA. И Пользователь облачных вычислений (Застрахованное лицо), и Поставщик облачных услуг (Деловой партнер) обязаны провести расследование и сообщить о своих выводах в OCR в случае утечки данных. По этим причинам как Застрахованная организация, так и Деловые партнеры должны иметь уведомление об утечке данных и обеспечивать соответствие требованиям HIPAA.

Обучение сотрудников

Любой персонал (внутренний или внешний), работающий с защищенной медицинской информацией (PHI) или связанными системами, должен знать свои роли, обязанности и соответствующие процедуры безопасности. Проведение программы обучения необходимо для обеспечения соблюдения требований HIPAA и безопасности данных, хранящихся в облаке.

Ключевые выводы

Сотрудничество с надежным поставщиком облачных услуг необходимо, но оно не гарантирует, что облачные решения соответствуют требованиям HIPAA. Облако не может соответствовать требованиям HIPAA, если не будут реализованы необходимые меры, а системы и приложения не защищены.

И пользователь облака, и поставщики облачных услуг должны настроить элементы управления безопасностью и отслеживать все действия, связанные с данными ePHI. Более того, поскольку пользователь облачных вычислений (застрахованная организация) несет ответственность за обеспечение соответствия своих поставщиков облачных услуг (деловые партнеры), им необходимо регулярно проводить оценку рисков. Таким образом, даже при наличии подписанного BAA пользователи облака должны обеспечить соответствующую конфигурацию, контроль доступа к облаку и вести журналы для обеспечения HIPAA в облаке.