HIPAA
Proteja datos de salud y logre cumplimiento HIPAA con CyberOrigen.
Vision General
HIPAA (Health Insurance Portability and Accountability Act) protege informacion sensible de salud del paciente (PHI). Aplica a entidades cubiertas y sus socios comerciales.
Reglas HIPAA
Regla de Privacidad
Protege el uso y divulgacion de PHI:
- Derechos del paciente
- Estandar de minimo necesario
- Requisitos de autorizacion
Regla de Seguridad
Salvaguardas tecnicas para ePHI:
| Categoria | Requisito |
|---|---|
| Administrativas | Politicas, capacitacion, analisis de riesgos |
| Fisicas | Acceso a instalaciones, seguridad de estaciones |
| Tecnicas | Controles de acceso, cifrado, auditoria |
Regla de Notificacion de Brechas
Requiere notificacion cuando PHI es comprometida:
- Notificacion al paciente (dentro de 60 dias)
- Notificacion a HHS
- Notificacion a medios (>500 individuos)
Requisitos de la Regla de Seguridad
Salvaguardas Administrativas
| Estandar | Implementacion |
|---|---|
| 164.308(a)(1) | Analisis y gestion de riesgos |
| 164.308(a)(2) | Responsabilidad de seguridad asignada |
| 164.308(a)(3) | Seguridad de la fuerza laboral |
| 164.308(a)(4) | Gestion de acceso a informacion |
| 164.308(a)(5) | Concienciacion y capacitacion de seguridad |
| 164.308(a)(6) | Procedimientos de incidentes de seguridad |
| 164.308(a)(7) | Plan de contingencia |
| 164.308(a)(8) | Evaluacion |
| 164.308(b)(1) | Acuerdos de socios comerciales |
Salvaguardas Fisicas
| Estandar | Implementacion |
|---|---|
| 164.310(a)(1) | Controles de acceso a instalaciones |
| 164.310(b) | Uso de estaciones de trabajo |
| 164.310(c) | Seguridad de estaciones de trabajo |
| 164.310(d)(1) | Controles de dispositivos y medios |
Salvaguardas Tecnicas
| Estandar | Implementacion |
|---|---|
| 164.312(a)(1) | Control de acceso |
| 164.312(b) | Controles de auditoria |
| 164.312(c)(1) | Integridad |
| 164.312(d) | Autenticacion de persona/entidad |
| 164.312(e)(1) | Seguridad de transmision |
Primeros Pasos
1. Habilitar Marco
- Vaya a GRC → Marcos
- Haga clic en Inscribir en HIPAA
- Haga clic en Habilitar
2. Analisis de Riesgos
HIPAA requiere analisis de riesgos documentado:
- Vaya a GRC → Registro de Riesgos
- Identifique ubicaciones de ePHI
- Evalue amenazas y vulnerabilidades
- Documente niveles de riesgo
3. Implementar Salvaguardas
Aborde estandares obligatorios y direccionables:
- Obligatorio: Debe implementar
- Direccionable: Implementar o documentar alternativa
Controles Clave
Controles Tecnicos
| Requisito | Funcion CyberOrigen |
|---|---|
| 164.312(a)(1) Control de Acceso | Escaneo de acceso, revisiones |
| 164.312(b) Controles de Auditoria | Seguimiento de logs de auditoria |
| 164.312(c)(1) Integridad | Verificaciones de integridad de archivos |
| 164.312(e)(1) Transmision | Escaneo TLS/cifrado |
Controles Administrativos
| Requisito | Funcion CyberOrigen |
|---|---|
| 164.308(a)(1) Analisis de Riesgos | Registro de riesgos |
| 164.308(a)(5) Capacitacion | Reconocimiento de politicas |
| 164.308(a)(6) Incidentes | Flujo de trabajo de remediacion |
Identificacion de PHI
¿Que es PHI?
La Informacion de Salud Protegida incluye:
- Nombres
- Fechas (nacimiento, admision, alta)
- Numeros de telefono/fax
- Direcciones de correo electronico
- Numeros de Seguro Social
- Numeros de expediente medico
- IDs de plan de salud
- Numeros de cuenta
- Numeros de certificado/licencia
- Identificadores de vehiculo
- Identificadores de dispositivo
- URLs
- Direcciones IP
- Identificadores biometricos
- Fotos
- Cualquier numero identificador unico
Sistemas ePHI
Identifique sistemas con PHI electronica:
- Vaya a GRC → Biblioteca de Controles
- Mapee activos al manejo de PHI
- Rastree en inventario de activos
Acuerdos de Socios Comerciales
Requisitos de BAA
Rastree BAAs de proveedores:
- Vaya a GRC → Proveedores
- Agregue proveedores con acceso a PHI
- Cargue documentos BAA
- Rastree fechas de expiracion
Evaluacion de Riesgo de Proveedores
Evalue seguridad de BA:
- Cuestionarios de seguridad
- Informes SOC 2
- Resultados de pruebas de penetracion
Recopilacion de Evidencias
Evidencias Automatizadas
- Escaneos de control de acceso
- Verificacion de cifrado
- Evaluaciones de vulnerabilidades
- Exportaciones de logs de auditoria
Evidencias Manuales
- Politicas y procedimientos
- Documentacion de analisis de riesgos
- Registros de capacitacion
- BAAs
- Planes de respuesta a incidentes
Mapeo de Controles
HIPAA se mapea a otros marcos:
| HIPAA | SOC 2 | ISO 27001 |
|---|---|---|
| 164.312(a)(1) | CC6.1 | A.9.1.1 |
| 164.312(b) | CC7.2 | A.12.4.1 |
| 164.312(e)(1) | CC6.7 | A.10.1.1 |
| 164.308(a)(1) | CC3.2 | 6.1 |
Respuesta a Brechas
Cuando Notificar
Notificacion requerida cuando:
- Acceso no autorizado a PHI
- Uso o divulgacion viola Regla de Privacidad
- No puede demostrar baja probabilidad de compromiso
Pasos de Respuesta
- Identificar alcance de la brecha
- Documentar investigacion
- Notificar individuos (dentro de 60 dias)
- Notificar a HHS
- Notificar a medios (si >500 individuos)
- Remediar vulnerabilidades
Brechas Comunes
| Requisito | Problema | Solucion |
|---|---|---|
| 164.308(a)(1) | Sin analisis de riesgos | Completar evaluacion de riesgos |
| 164.312(a)(2)(i) | Cuentas compartidas | IDs de usuario unicos |
| 164.312(e)(1) | Correo sin cifrar | Solucion de cifrado |
| 164.308(b)(1) | BAAs faltantes | Seguimiento de BAA |