Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Cumplimiento de HIPAA > Requisitos y Cumplimiento de la Regla de Seguridad de HIPAA

Requisitos y Cumplimiento de la Regla de Seguridad de HIPAA

by Robert Dougherty updated diciembre 14, 2024 Cumplimiento de HIPAA
Reading Time: 6 minutes

La regla de seguridad de HIPAA es vital para proteger la ePHI. Para entender esta regla, necesitas conocer las protecciones necesarias y cómo aplicarlas en tu organización.

¿Qué es la regla de seguridad de HIPAA? La regla de seguridad de HIPAA creó regulaciones para proteger la información personal de salud de una persona cuando es utilizada por una entidad cubierta. Esto incluye la creación de protecciones administrativas, físicas y técnicas en una organización para proteger esta información.

¿Qué es la regla de seguridad de HIPAA?

El marco de cumplimiento de HIPAA se divide en tres reglas, cada una de las cuales se refiere a las responsabilidades de los proveedores de atención médica (Entidades Cubiertas) y sus socios (Asociados de Negocios):

  1. La Regla de Privacidad define la información personal y privada del paciente (Información de Salud Personal, o PHI), cómo puede o no puede ser utilizada y cómo las empresas deben proteger esos datos y mantener la privacidad del paciente.
  2. La Regla de Seguridad describe las medidas de seguridad que los proveedores de atención médica deben proporcionar para proteger los datos del paciente.
  3. La Regla de Notificación de Brechas especifica cuándo y cómo una CE o BA debe notificar a los pacientes afectados y al público en general en caso de una brecha de seguridad.

¿Quiénes son las Entidades Cubiertas y los Asociados de Negocios de HIPAA?

Al hablar de cumplimiento, verás referencia a varias partes diferentes:

  1. La Entidad Cubierta (CE): Las entidades cubiertas son organizaciones de atención médica primaria, e incluyen grupos como hospitales, clínicas, aseguradoras y Redes de Entrega Integrada (IDNs).
  2. El Asociado de Negocios (BA): Los asociados de negocios son empresas que ayudan a las CEs a realizar su trabajo, generalmente asumiendo alguna función empresarial o administrativa. Los BAs pueden variar desde proveedores de tecnología (Proveedores de Servicios Administrados, Proveedores de Servicios en la Nube, empresas de procesamiento de datos, etc.) o grupos administrativos. Esencialmente, un BA manejará PHI en nombre de las CEs.

Ten en cuenta que una Entidad Cubierta puede trabajar como Asociado de Negocios para otra Entidad Cubierta incluso mientras realizan funciones de CE.

¿Cuáles son las protecciones de la regla de seguridad de HIPAA?

La Regla de Seguridad es típicamente la más relevante para las empresas de atención médica, ya que dicta las medidas que estas empresas deben mantener. Más específicamente, la Regla de Seguridad divide las medidas en tres categorías de responsabilidad de CE:

  1. Protecciones administrativas. Estas protecciones se refieren a las políticas, procedimientos y planes que una organización debe tener para asegurar la seguridad y protección de todos los datos del paciente. Las responsabilidades en esta área incluyen la gestión de seguridad, la gestión de personal, la capacitación de la fuerza laboral y las evaluaciones. En resumen, una organización debe promulgar políticas y procedimientos de capacitación para que su personal y sus operaciones permanezcan en cumplimiento.
  2. Protecciones físicas. Las protecciones físicas se refieren al acceso físico real a los datos y cómo se protegen. Las medidas aquí cubren el acceso a un centro de datos u otras instalaciones de trabajo, el cifrado de estaciones de trabajo, la protección de dispositivos móviles y los discos duros u otros medios desmontables que necesitan ser transportados o eliminados.
  3. Protecciones técnicas. Cubre cifrado de HIPAA, control de acceso, autenticación, integridad de datos y otras medidas de protección. Las protecciones técnicas deben estar en su lugar mientras los datos se almacenan, están en tránsito o en uso en una estación de trabajo.

Ten en cuenta que la Regla de Seguridad no especifica el tipo exacto de tecnología que tu organización debe usar para mantenerse en cumplimiento. En cambio, las medidas deben enfrentar los desafíos de seguridad tal como existen en el momento de la implementación.

Estas protecciones esencialmente protegerán la ePHI si permaneces en cumplimiento y te mantienes al tanto de las últimas medidas.

¿Qué es la evaluación de riesgos de HIPAA y cómo impacta en el cumplimiento de seguridad?

Los requisitos de cumplimiento de HIPAA establecen que las CEs y sus BAs implementen la evaluación de riesgos como parte de sus operaciones de seguridad. De hecho, la evaluación de riesgos está delineada en la Regla de Privacidad como un absoluto que los proveedores de atención médica y otras CEs deben realizar como parte de su cumplimiento.

¿Qué es una evaluación de riesgos? Una evaluación de riesgos es una operación donde una organización evalúa los riesgos potenciales de sus implementaciones de seguridad actuales y futuras. Esta evaluación les ayuda a entender sus vulnerabilidades y áreas de mejora.

En términos de cumplimiento, una evaluación de riesgos también puede decirle a la organización y a los expertos si cumplen o no con los requisitos.

Según el Departamento de Salud y Servicios Humanos, una evaluación de riesgos de HIPAA debe incluir:

  1. Documentación de PHI y su ubicación, transmisión y almacenamiento.
  2. Evaluación de las medidas de seguridad actuales.
  3. Determinación de amenazas razonablemente anticipadas y el riesgo de una brecha de HIPAA de PHI, y cualquier impacto asociado con esas brechas.
  4. Calcular los niveles de riesgo para combinaciones de amenazas y vulnerabilidades a través de múltiples protecciones de seguridad.
  5. Informar, documentar y registrar todas las evaluaciones, cambios e implementaciones de medidas de seguridad.

Esta evaluación se aplica a pequeñas organizaciones y corporaciones a nivel empresarial. Las reglas se refieren a la seguridad de los datos, no al tamaño de la empresa. Debido a esto, la seguridad y el cumplimiento de HIPAA pueden ser increíblemente difíciles para grandes empresas e intimidantes para nuevas PYMEs que ingresan a la industria.

¿Cuáles son las sanciones por incumplimiento de HIPAA?

La evaluación de riesgos y el cumplimiento son importantes porque las sanciones por incumplimiento pueden devastar rápidamente a una organización de atención médica.

Las violaciones de las regulaciones se dividen en cuatro niveles:

  1. Nivel 1: La CE o BA no estaba al tanto de la violación y no podría haberla prevenido razonablemente.
  2. Nivel 2: La CE o BA debería haber estado al tanto de la violación y no lo estaba, pero no obstante no podría haberla prevenido razonablemente.
  3. Nivel 3: La CE o BA es culpable de negligencia intencionada de las regulaciones pero ha hecho intentos de rectificar la situación.
  4. Nivel 4: La CE o BA es culpable de negligencia intencionada y no ha hecho ningún intento de corregir la violación.

Las sanciones tienden a ser más severas cuanto más alto es el nivel. En el nivel 1, las sanciones pueden ser tan bajas como $100 por violación. Por el contrario, las sanciones por una violación negligente sin intento de corrección pueden acumular tarifas de un mínimo de $50,000 por violación.

Vale la pena repetir que las sanciones son por violación. Aunque hay límites anuales en los daños dependiendo de los tipos de violaciones, no es raro que una CE en negligencia intencionada de las reglas sufra millones de dólares en sanciones dentro de un solo evento de brecha de datos.

¿Cómo ayuda Kiteworks a las empresas con el cumplimiento de seguridad de HIPAA?

Para las empresas que dependen de proveedores de nube o SaaS, asegurar la integridad técnica y la funcionalidad es una de las partes más integrales del cumplimiento.

Ten en cuenta que cuando trabajas con cualquier proveedor de software de terceros, deben ser abiertamente conocedores en cumplimiento y gestión de datos en la industria de la salud. Si van a almacenar PHI o gestionar transmisiones de ePHI de cualquier manera para tu organización, deben ser un Asociado de Negocios autorizado y debes firmar un Acuerdo de Asociado de Negocios (BAA) con ellos para mantener el cumplimiento.

La plataforma Kiteworks es un proveedor de software compatible con HIPAA que puede apoyar a tu empresa de atención médica en todos los aspectos importantes de la seguridad de PHI:

  1. Cumplimiento: Esto incluye proporcionar informes con un solo clic para auditorías, protecciones administrativas y copias de seguridad de datos. También obtendrás protecciones físicas certificadas bajo auditorías SOC 2 sobre plataformas AWS y Microsoft Azure, o la opción de implementar en tus propias instalaciones o recursos IaaS.
  2. Visibilidad: Los rastros de documentos son críticos para el cumplimiento, y la plataforma Kiteworks te brinda las capacidades para rastrear el acceso a documentos, la autenticación y autorización de usuarios, y capas de informes para respuestas a incidentes, evaluación de riesgos y uso compartido de archivos. Tus médicos, empleados y pacientes pueden colaborar sin comprometer la PHI.
  3. Seguridad: La tecnología de la plataforma Kiteworks soporta medidas de grado empresarial, compatibles con HIPAA como cifrado AES-256, TLS-1.2 y cifrado de correo electrónico S/MIME HIPAA, y gestión de contraseñas con autenticación multifactor.

Confía en Kiteworks para tus necesidades de cumplimiento de HIPAA

Con la plataforma Kiteworks, obtienes comunicaciones, correo electrónico, firewall de contenido, cifrado y más que cumple con los requisitos en todos los aspectos. Libérate de la carga de la gestión de TI y trabaja con un socio que apoya tu negocio para que puedas centrarte en la atención médica y los pacientes.

Para saber más sobre la implementación de nube híbrida compatible con HIPAA de Kiteworks, programa una demostración personalizada de Kiteworks hoy.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks