Унция предотвращения: вопросы, которые вы должны задать поставщикам облачных хранилищ, чтобы соответствовать требованиям HIPAA

Опубликовано: 4 Марта, 2023
Унция предотвращения: вопросы, которые вы должны задать поставщикам облачных хранилищ, чтобы соответствовать требованиям HIPAA

Распространение облачных хранилищ и приложений было медленным, но уверенным в том, что касается отрасли здравоохранения. Медицинские фирмы, как частные, так и государственные, все больше склоняются к идее использования облака для повышения спроса и качества своих услуг. Однако ни одна из этих организаций не хочет хранить данные пациентов в общедоступном облаке.

Персональные облачные хранилища, такие как Google Drive, Box и Dropbox, наряду с другими вариантами облачных хранилищ, привели к появлению массивных теневых хранилищ в глобальном здравоохранении. Простота доступа для врачей и медсестер, которые используют такие сервисы для быстрого доступа к данным пациентов, обмена ими и совместной работы с ними, часто достигается за счет зашифрованных ИТ-практик и слабого контроля над безопасностью данных.

Именно здесь облачное хранилище, совместимое с HIPAA, становится нормой для здравоохранения. Закон о переносимости и подотчетности медицинского страхования является всемирно признанным и актуальным нормативным актом, целью которого является выпуск руководств и директив по обеспечению безопасности и конфиденциальности медицинских данных. Если вы работаете на рынке здравоохранения и хотите расширить ИТ, начиная с облачного хранилища, вам необходимо искать решения для облачного хранения, соответствующие требованиям HIPAA. Для этого мы вооружим вас главными вопросами, которые вы можете задать поставщикам.

Кто шифрует данные, когда и как?

Шифрование данных лежит в основе соответствия HIPAA. Как поставщик медицинских услуг, контроль над шифрованием должен лежать на вас. Данные будут вытекать из ваших локальных устройств хранения, а также из облачного хранилища. Эти данные будут зашифрованы при хранении или передаче, чтобы несанкционированный доступ третьих лиц не раскрывал конфиденциальную информацию. Однако у поставщика решения для облачного хранения должны быть механизмы, гарантирующие, что даже он не сможет расшифровать и прочитать данные каким-либо образом, даже если возможности шифрования являются результатом его систем. Ключевым моментом является тщательное понимание того, кто генерирует ключи шифрования, как они хранятся и как к ним получают доступ.

Требует ли поставщик изменить существующие механизмы контроля доступа?

Изображение 556
Шаттерсток

Медицинские организации полагаются на локальную Active Directory, протоколы аутентификации и требования к паролям, чтобы обеспечить контроль над данными пациентов. Теперь, когда вы подключаетесь к поставщику облачных хранилищ, они не должны требовать от вас включения каких-либо бэкдоров для доступа к данным в обход ваших протоколов управления доступом. Поставщики, соответствующие требованиям HIPAA, осознают необходимость полной интеграции со всеми видами протоколов управления доступом и могут соответствующим образом предоставлять услуги. Любой компромисс в отношении управления доступом для внедрения облачного хранилища, вероятно, не будет соответствовать требованиям HIPAA. Кроме того, убедитесь, что существует полный контрольный журнал всех файлов доступа в облаке, точно так же, как это делается для локально хранимых данных.

Какой механизм поддержки резервного копирования данных, аварийного восстановления и обеспечения непрерывности бизнеса есть у поставщика?

Если ваши локальные файловые серверы по какой-то причине будут отключены, как вы обеспечите доступ к данным пациентов? Чтобы предусмотреть такие ситуации, HIPAA обязывает медицинские организации обеспечивать регулярное резервное копирование данных. Для этого вам необходимо понимать механизмы резервного копирования данных, используемые вашим поставщиком облачных хранилищ. Кроме того, согласно HIPAA медицинские организации должны иметь возможность восстанавливать резервные копии данных, если это необходимо, в разумные сроки. Это, в свою очередь, становится вашим последующим вопросом к вашему поставщику облачного хранилища: какие средства и методы существуют для обеспечения доступа к вашим файлам, размещенным в облаке, если соединение каким-либо образом будет прервано? Кроме того, если в географическом регионе, где расположен центр обработки данных, произойдет стихийное бедствие, какие существуют альтернативные средства хранения для обеспечения непрерывности бизнеса?

Подпишет ли продавец соглашение о деловом партнерстве?

Ключевым компонентом HIPAA является подписание Соглашения о деловом партнерстве между всеми сторонами, участвующими в создании, преобразовании, обслуживании, передаче, хранении и защите данных. Это соглашение помогает передать ответственность за конфиденциальность данных и нарушения безопасности поставщику услуг облачного хранилища. Это выявляет лучшее от продавцов по мере необходимости. Кроме того, готовность поставщика подписать соглашение свидетельствует о его уверенности в предоставлении высокозащищенных и надежных услуг хранения.

Есть ли у поставщика локальные штатные сотрудники, чтобы обеспечить соблюдение требований HIPAA?

Правила HIPAA утверждают, что все поставщики услуг облачных хранилищ имеют штатных сотрудников, работающих локально, чтобы обеспечить соблюдение всех требований HIPAA. Это делает безопасность медицинских данных намного более надежной и дает организациям здравоохранения столь необходимое спокойствие, понимая, что у поставщика услуг есть средства и механизмы круглосуточного мониторинга и быстрого реагирования.

Какой процесс шифрования используется для кодирования данных перед передачей?

Все обмены данными между облачным хранилищем и другими облачными приложениями вашей организации, локальными приложениями и любыми другими системами должны быть зашифрованы. HIPAA требует, чтобы шифрование FIPS-14-2 обеспечивалось для всей ePHI (медицинская информация, защищенная электронным способом) при передаче. Кроме того, должно быть шифрование данных, хранящихся в SAN (сетях хранения данных), локальных жестких дисках и резервных копиях жестких дисков. Убедитесь, что ваш поставщик облачного хранилища предоставляет точный механизм шифрования в соответствии с правилами, чтобы обеспечить соответствие требованиям HIPAA.

Какие процессы повышения осведомленности и улучшения безопасности у них есть?

Безопасность и конфиденциальность данных — это не разовые усилия. Динамика кибербезопасности требует, чтобы любой поставщик облачных хранилищ оставался приверженным постоянному наставничеству и совершенствованию механизмов безопасности. HIPAA требует, чтобы поставщики облачных хранилищ регулярно оценивали существующие механизмы безопасности и следили за тем, чтобы они соответствовали требованиям закона HIPAA. Поставщикам также необходимо внедрить структурированные и непрерывные программы обучения, чтобы ознакомить своих сотрудников с идеей безопасности данных. По мере обновления правил HIPAA поставщики также должны стремиться привести свою деятельность в соответствие с обновленными правилами.

Унция профилактики

Всем известна поговорка «профилактика лучше, чем лечение». Что ж, оказывается, эта пословица верна для медицины в целом, а также для безопасности данных в здравоохранении. Итак, убедитесь, что вы получили ответы на эти вопросы от поставщиков облачных хранилищ, включенных в короткий список.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023