Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Cumplimiento de HIPAA > Transferencia de Archivos Administrada y Soluciones Cumplidoras con la Ley HIPAA

Transferencia de Archivos Administrada y Soluciones Cumplidoras con la Ley HIPAA

by Bob Ertl updated diciembre 15, 2024 Cumplimiento de HIPAA
Reading Time: 6 minutes

Las instalaciones de salud requieren que su transferencia de archivos administrada sea compatible con HIPAA, pero encontrar una solución compatible no siempre es fácil.

¿Es la transferencia de archivos, por su naturaleza, compatible con HIPAA? No, la transferencia básica de archivos no es compatible con HIPAA. Con el cumplimiento de HIPAA viene un mayor énfasis en proteger los datos para asegurar que la información de salud protegida (PHI) no sea robada, por lo que una solución compatible con HIPAA implica más requisitos de seguridad que un programa básico de transferencia de archivos.

¿Qué son las regulaciones HIPAA y HITECH?

La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) fue aprobada en 1996 para proporcionar cumplimiento normativo para los proveedores de salud que manejan información sensible de los pacientes. Esta ley definió dos tipos diferentes de organizaciones que caen bajo la jurisdicción de estas regulaciones:

  • Entidades cubiertas (CEs) son médicos de atención primaria, consultorios médicos, hospitales, compañías de seguros o cualquier organización primaria que gestione y procese directamente la información de los pacientes.
  • Asociados de negocios (BAs) están compuestos por empresas y proveedores de terceros que apoyan a las CEs con productos y servicios que entran en contacto con la información de los pacientes, por ejemplo, un procesador de pagos para terminales de tarjetas de crédito en oficinas hospitalarias.

La implementación de regulaciones ha cambiado a lo largo de los años debido a la modernización de los sistemas de información médica y el uso de la comunicación en red. La evolución de estas regulaciones solo se aceleró en 2009 con la Ley de Tecnología de la Información de Salud para la Economía y la Salud Clínica (HITECH), que promovió la adopción de registros digitales y en red en el sector de la salud.

Aunque los tipos de tecnologías utilizadas en el cuidado de la salud han cambiado, las regulaciones centrales de HIPAA permanecen relativamente intactas y organizadas bajo tres reglas principales:

  1. La Regla de Privacidad de Datos: Esta Regla de Privacidad de Datos describe las responsabilidades de los proveedores de salud bajo las regulaciones para proteger la información de los pacientes, llamada información de salud protegida (PHI). Toda la PHI debe permanecer protegida y privada sin la amenaza de divulgación no autorizada. Hay muy pocas excepciones a estas reglas, y cualquier otra divulgación de PHI debe contar con el consentimiento explícito del paciente.
  2. La Regla de Seguridad: Para implementar la Regla de Privacidad de Datos, la Regla de Seguridad define controles razonables de seguridad y privacidad que una CE o BA debe implementar en su infraestructura de datos. Esto incluye políticas para cifrado, cortafuegos y software anti-malware, gestión de estaciones de trabajo, dispositivos móviles y centros de datos, y otros controles.
  3. La Regla de Notificación de Brechas: En una brecha donde la PHI se ve comprometida, la CE o BA tiene requisitos específicos de cumplimiento de HIPAA para notificar a las partes afectadas, y en algunos casos, al público en general. Algunos requisitos de notificación incluyen correos electrónicos y descargos de responsabilidad en sitios web para brechas típicas y comunicados de prensa a transmisiones de noticias locales y notificaciones a funcionarios gubernamentales relevantes para las más significativas.

Aunque hay otras reglas, el núcleo de las regulaciones se encuentra en estas tres reglas. Sin embargo, una actualización importante llamada la Regla Omnibus de 2013 introdujo nuevas y actualizadas directrices que aumentan las regulaciones existentes para proteger mejor los datos almacenados en sistemas digitales modernos. Más notablemente, la Regla Omnibus amplió la responsabilidad de la implementación y gestión de regulaciones de manera más integral para los BAs que trabajan con CEs.

Aunque la Regla Omnibus incluye un desglose exhaustivo de las regulaciones que las CEs y los BAs deben cumplir, hay algunas prácticas básicas que se espera que las organizaciones cumplan para tecnologías como el uso compartido seguro de archivos:

  1. Uso de algoritmos de cifrado adecuados: La PHI almacenada como datos digitales debe estar cifrada tanto en reposo en un servidor como en tránsito durante las transferencias de archivos. Estos estándares de cifrado de HIPAA establecen que el cifrado debe ser capaz de proteger contra cualquier intento razonable de romperlo, lo que significa en la práctica que los algoritmos de cifrado apropiados incluyen AES-128 o AES-256 para datos en reposo y TLS 1.2+ para datos en tránsito.
  2. Implementación de registros de auditoría: Una parte clave de la seguridad es mantener registros de auditoría para el acceso y eventos del sistema. Estos registros están destinados a apoyar el cumplimiento en todo un sistema, proporcionar evidencia de cumplimiento durante las auditorías y apoyar investigaciones en brechas como evidencia forense.
  3. Acuerdos de asociados de negocios (BAAs): Si una CE utiliza una solución de transferencia de archivos proporcionada por un proveedor (o cualquier servicio que toque la PHI), la CE debe tener un BAA vigente con ese proveedor que describa las responsabilidades del proveedor como asociado de negocios bajo HIPAA.
  4. Protección física y administrativa: Bajo HIPAA, cualquier CE o BA también debe proteger físicamente los sistemas que contienen PHI, lo que significa asegurar centros de datos y computadoras, laptops y dispositivos móviles. Esto también significa que estas organizaciones tienen políticas en su lugar para proteger estos datos, capacitar a los empleados y gestionar el riesgo. Esto se aplica tanto a las CEs primarias como a cualquier proveedor que ofrezca un servicio basado en datos.

Transferencia de Archivos Administrada y HIPAA

Hemos utilizado el término “transferencia de archivos” de manera general aquí, pero es esencial especificar cómo pueden funcionar las transferencias en un entorno de atención médica.

Cuando se trata de compartir archivos, todas las reglas de HIPAA se aplican. Eso significa que cualquier método utilizado para compartir archivos debe incluir protecciones adecuadas como cifrado, registros de auditoría, etc. Las soluciones de transferencia de archivos básicas como SFTP, aunque proporcionan cifrado para transferencias seguras de archivos, no cumplen con los requisitos de HIPAA sin cambios significativos en la configuración. Esta falta de cumplimiento no es solo un problema de seguridad: La tecnología central de SFTP no está diseñada para manejar los aspectos de registro e informes de HIPAA, ni es capaz de satisfacer las demandas empresariales de la mayoría de las empresas que trabajan en la industria de la salud.

La transferencia de archivos administrada (MFT) resuelve muchos de los problemas con la transferencia y el intercambio básico de archivos al integrar SFTP o FTPS configurados (u otras tecnologías de compartición de archivos compatible con HIPAA) junto con la analítica, informes, auditoría y otras funcionalidades que satisfacen tanto las regulaciones de HIPAA como las demandas empresariales.

Dicho esto, MFT viene en numerosas variantes. La mayoría de las soluciones de software de transferencia de archivos administrada están integradas en productos existentes de compartición de archivos empresariales, más o menos. No todas las soluciones de compartición de archivos incluyen todo lo que una organización necesita en un MFT.

Plataforma Kiteworks: MFT Integral para Cumplimiento de HIPAA

Ningún negocio debería sacrificar características y flexibilidad por cumplimiento. Kiteworks ofrece el conjunto más completo de capacidades de seguridad y cumplimiento, que incluye cumplimiento de HIPAA, para MFT en el mercado. Kiteworks cifra tanto los datos sensibles en tránsito como su almacenamiento en el servidor, proporciona informes de auditoría completos y ofrece una protección de seguridad robusta. Las capacidades de seguridad incluyen geofencing, protección avanzada contra amenazas, prevención de pérdida de datos y protección continua de datos.

Algunas de las características clave incluyen:

  • Un Panel de CISO proporciona acceso integral a datos, acceso de usuarios, tendencias y movimientos de datos, y controles sobre transferencias de datos.
  • Automatización y programación de MFT sin interrupciones impulsa políticas robustas de compartición y transferencia de archivos, incluyendo transferencias fuera de horario y operaciones desencadenadas por la actividad de empleados o pacientes.
  • Enlaces de correo electrónico seguros protegen la PHI mientras mantienen una comunicación fácil y fluida con los pacientes a través de correo electrónico.
  • Integración con SIEM con plataformas populares como IBM QRadar, ArcSight, FireEye Helix y Splunk Forwarder proporcionan a las organizaciones una vista única para ver y gestionar los riesgos de seguridad. Además, la integración estandariza los registros de auditoría en un solo formato de archivo para apoyar el consumo generalizado de SIEM.
  • Integración de DLP para escanear todos los datos en tránsito y determinar si contienen o no datos sensibles o personales.
  • Recuperación ante desastres con sistemas activos y redundancia de datos en múltiples sitios garantizan que tus sistemas se mantengan activos en caso de emergencia.
  • Entornos de nube de tenencia única que aseguran que las amenazas a otros usuarios no se propaguen a tu instancia de la plataforma Kiteworks.
  • Controles de acceso sobre flujos y conexiones para proteger datos sensibles de accesos ilícitos.
  • Cifrado compatible, incluyendo AES-256 para datos en reposo y cifrado TLS 1.2 para datos en tránsito.
  • Transferencia y almacenamiento de archivos grandes con límites de hasta 16 TB.
  • Informes detallados de HIPAA con un solo clic destacan riesgos en tus políticas de seguridad y gobernanza. Úsalos en auditorías para demostrar rápidamente el cumplimiento con tus controles documentados, como la integración del escáner DLP, políticas de acceso a datos, lista blanca de dominios y controles de expiración de archivos.
  • Capas adicionales de protección se incluyen para claves de cifrado utilizando integración con un módulo de seguridad de hardware (HSM) o el Servicio de Gestión de Claves de Amazon Web Services (AWS KMS).

Las organizaciones que manejan transferencia de archivos administrada con PHI, independientemente de si están en la industria de la salud, deben tener el gobierno y los controles de seguridad adecuados y el seguimiento en su lugar para asegurar el cumplimiento con HIPAA. Para obtener más información sobre las robustas capacidades de seguridad y cumplimiento de MFT en la plataforma Kiteworks, programa una demostración personalizada hoy.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks