Requisitos de armazenamento em nuvem HIPAA

Não há como negar que o armazenamento em nuvem oferece uma conveniência incomparável. No entanto, será que consegue proteger informações de saúde protegidas e manter a conformidade com a HIPAA?

A Lei de Portabilidade e Responsabilidade de Seguros de Saúde tem obrigações específicas para provedores de armazenamento em nuvem que lidam com dados de saúde. Esses requisitos são essenciais para proteger informações confidenciais e estão estreitamente alinhados com aqueles aplicáveis aos sistemas de armazenamento locais.

Quer você seja um profissional de saúde, um administrador de TI ou um responsável pela conformidade, este artigo fornecerá uma visão geral abrangente dos requisitos para armazenamento em nuvem compatível com HIPAA.

Os dados HIPAA podem ser armazenados na nuvem?

A HIPAA não proíbe as organizações de saúde de armazenar PHI na nuvem. No entanto, exige salvaguardas específicas de privacidade e segurança para garantir a confidencialidade, integridade e disponibilidade de PHI eletrónicas (ePHI). Esses requisitos garantem que as organizações de saúde possam aproveitar com segurança o armazenamento em nuvem e, ao mesmo tempo, proteger a privacidade do paciente.

Apesar do termo “nuvem” ser frequentemente associado a algo intangível e transitório, a computação em nuvem depende de servidores físicos. Posteriormente, todos os requisitos de segurança da HIPAA se aplicam igualmente a sistemas de armazenamento de dados em nuvem, nuvem híbrida ou locais.

Quais são os requisitos da HIPAA para armazenamento em nuvem?

Os provedores de armazenamento em nuvem (CSPs) em conformidade com a HIPAA devem aderir aos controles rigorosos estipulados pelas regras de privacidade e segurança da HIPAA. Estas regulamentações exigem salvaguardas administrativas, físicas e técnicas para garantir que os dados sensíveis sejam protegidos de forma consistente. Além disso, a Regra de notificação de violação da HIPAA exige que o CSP notifique imediatamente a entidade coberta ou associado comercial em caso de violação de PHI.

Aqui estão os requisitos para armazenamento em nuvem compatível com HIPAA:

1. Controles de acesso robustos

As soluções de armazenamento em nuvem compatíveis com HIPAA devem ter controles rígidos para restringir o acesso não autorizado a informações eletrônicas de saúde protegidas (ePHI). Exemplos de salvaguardas incluem autenticação multifatorial, controle de acesso baseado em funções e criptografia ponta a ponta.

2. Registro de eventos e trilhas de auditoria

Os CSPs devem manter logs de eventos abrangentes que capturem e documentem todas as atividades do sistema. Esses registros servem como trilha de auditoria, permitindo que auditores internos ou externos rastreiem acessos, modificações e outras ações relacionadas ao ePHI.

A disponibilidade de trilhas de auditoria detalhadas também ajuda na investigação de violações de dados e na realização de avaliações de vulnerabilidade.

3. Avaliações regulares de risco

Os CSPs devem realizar avaliações de risco frequentes e avaliações completas da segurança da sua plataforma. Uma estratégia proativa de gerenciamento de riscos identifica pontos fracos e permite a correção oportuna. As revisões regulares também garantem que o ambiente de armazenamento esteja em conformidade com as regulamentações em constante evolução.

4. Alto tempo de atividade e disponibilidade

As organizações de saúde precisam de acesso contínuo aos dados dos pacientes, pois qualquer interrupção ou tempo de inatividade pode afetar o atendimento ao paciente e violar a HIPAA. Portanto, soluções em nuvem de alta disponibilidade são essenciais para armazenar ePHI.

Os CSPs devem ter infraestrutura robusta, medidas de redundância e protocolos de continuidade de negócios e recuperação de desastres para manter a disponibilidade ininterrupta de ePHI.

5. Estratégia robusta de backup

Os CSPs em conformidade com a HIPAA devem ter uma estratégia de backup sólida para evitar perda de dados. Essa estratégia permite a recuperação de informações em caso de exclusão acidental, falhas de sistema, ataques cibernéticos ou desastres naturais. Os CSPs também devem testar regularmente o seu plano para validar a sua eficácia e capacidade de restaurar dados com precisão.

Acordos de parceria comercial

De acordo com a HIPAA, quando uma entidade coberta ou seu associado comercial contrata um CSP para processar ou armazenar ePHI, o CSP assume a função de associado comercial. Posteriormente, a entidade coberta e o CSP deverão estabelecer um acordo de parceria comercial (BAA) em conformidade com a HIPAA para reger seu relacionamento.

A BAA descreve as obrigações legais do CSP e garante que eles estejam cientes da sua responsabilidade de proteger as ePHI. Mesmo nos casos em que um CSP apenas processa ou armazena ePHI sem ter acesso à chave de criptografia, ele ainda está sujeito ao status de associado comercial.

Além disso, como parceiro comercial, o CSP assume responsabilidade direta caso não armazene ePHI adequadamente. O órgão regulador da HIPAA, o Departamento de Saúde e Serviços Humanos Escritório de Direitos Civis (OCR), conduz auditorias de conformidade da HIPAA como mecanismo de controle primário.

O OCR poderá emitir multas e penalidades se determinar que o CSP causou uma violação da HIPAA devido a dolo ou negligência intencional.

Como escolher armazenamento em nuvem compatível com HIPAA?

A seleção da solução certa de armazenamento em nuvem requer uma consideração cuidadosa. Aqui estão os principais fatores para escolher um provedor de armazenamento em nuvem compatível com HIPAA:

• Acreditação de terceiros: Procure CSPs que sejam credenciados por empresas de conformidade terceirizadas de boa reputação. A acreditação demonstra um compromisso com a conformidade com a HIPAA e a segurança de dados.
• Acordo de nível de serviço (SLA): Priorize provedores que oferecem contratos de nível de serviço que garantam excelente desempenho e quase 100% de tempo de atividade. Um bom SLA garante acesso ininterrupto a informações críticas, minimizando interrupções e atrasos.
• Medidas de criptografia: verifique se o provedor possui medidas sólidas para criptografia de dados em repouso e criptografia de dados em trânsito, alinhando-se com os padrões criptográficos recomendados pelo Instituto Nacional de Padrões e Tecnologia. A criptografia abrangente garante que os dados confidenciais permaneçam protegidos contra acesso não autorizado durante todo o seu ciclo de vida.
• Serviços de recuperação de desastres: avalie a oferta de serviço de recuperação de desastres do provedor, incluindo backup de dados e recursos de armazenamento externo. Um plano de recuperação de desastres abrangente e bem definido garante a continuidade dos negócios e minimiza a perda de dados em caso de desastre ou falha do sistema.
• Resposta à notificação de violação: quanto mais cedo você for notificado, mais rápido poderá responder a uma violação de dados. Informe-se sobre os tempos de resposta e protocolos de notificação de violação do provedor.
• Segurança física: para garantir a proteção dos seus dados, avalie a segurança física dos data centers do provedor. Procure recursos como sistemas de controle de acesso, câmeras de vigilância, controles ambientais e segurança perimetral.

Conclusão

A HIPAA permite que entidades cobertas e parceiros comerciais usem armazenamento em nuvem para informações de saúde protegidas. Os padrões para proteger as PHI eletrônicas na nuvem são tão rigorosos quanto os dos sistemas locais.

Ao selecionar um provedor de nuvem para armazenar ePHI, é crucial garantir que ele possua os recursos e o conhecimento necessários para atender aos mandatos da HIPAA. O estabelecimento de um Acordo de Parceria Comercial (BAA) com o provedor de nuvem obriga o provedor a aderir aos mesmos altos padrões de proteção ePHI que a entidade coberta ou o parceiro comercial.

Ao selecionar um provedor de nuvem confiável e capaz e ingressar em um BAA, as organizações de saúde podem manter a conformidade com a HIPAA e, ao mesmo tempo, aproveitar os benefícios da nuvem.