HIPAA
Protegez les donnees de sante et atteignez la conformite HIPAA avec CyberOrigen.
Vue d'Ensemble
HIPAA (Health Insurance Portability and Accountability Act) protege les informations sensibles de sante des patients (PHI). Elle s'applique aux entites couvertes et a leurs partenaires commerciaux.
Regles HIPAA
Regle de Confidentialite
Protege l'utilisation et la divulgation des PHI :
- Droits des patients
- Norme du minimum necessaire
- Exigences d'autorisation
Regle de Securite
Mesures de protection techniques pour les ePHI :
| Categorie | Exigence |
|---|---|
| Administrative | Politiques, formation, analyse des risques |
| Physique | Acces aux installations, securite des postes de travail |
| Technique | Controles d'acces, chiffrement, audit |
Regle de Notification des Violations
Exige une notification lorsque les PHI sont compromises :
- Notification aux patients (dans les 60 jours)
- Notification au HHS
- Notification aux medias (>500 individus)
Exigences de la Regle de Securite
Mesures Administratives
| Standard | Implementation |
|---|---|
| 164.308(a)(1) | Analyse et gestion des risques |
| 164.308(a)(2) | Responsable securite designe |
| 164.308(a)(3) | Securite du personnel |
| 164.308(a)(4) | Gestion des acces a l'information |
| 164.308(a)(5) | Sensibilisation et formation securite |
| 164.308(a)(6) | Procedures d'incidents de securite |
| 164.308(a)(7) | Plan de continuite |
| 164.308(a)(8) | Evaluation |
| 164.308(b)(1) | Accords avec les partenaires commerciaux |
Mesures Physiques
| Standard | Implementation |
|---|---|
| 164.310(a)(1) | Controles d'acces aux installations |
| 164.310(b) | Utilisation des postes de travail |
| 164.310(c) | Securite des postes de travail |
| 164.310(d)(1) | Controles des dispositifs et medias |
Mesures Techniques
| Standard | Implementation |
|---|---|
| 164.312(a)(1) | Controle d'acces |
| 164.312(b) | Controles d'audit |
| 164.312(c)(1) | Integrite |
| 164.312(d) | Authentification personne/entite |
| 164.312(e)(1) | Securite de transmission |
Pour Commencer
1. Activer le Referentiel
- Allez dans GRC → Referentiels
- Cliquez sur S'inscrire sur HIPAA
- Cliquez sur Activer
2. Analyse des Risques
HIPAA exige une analyse des risques documentee :
- Allez dans GRC → Registre des Risques
- Identifiez les emplacements des ePHI
- Evaluez les menaces et vulnerabilites
- Documentez les niveaux de risque
3. Implementer les Mesures de Protection
Adressez les standards requis et adressables :
- Requis : A implementer obligatoirement
- Adressable : Implementer ou documenter une alternative
Controles Cles
Controles Techniques
| Exigence | Fonctionnalite CyberOrigen |
|---|---|
| 164.312(a)(1) Controle d'Acces | Analyse des acces, revues |
| 164.312(b) Controles d'Audit | Suivi des logs d'audit |
| 164.312(c)(1) Integrite | Verifications d'integrite des fichiers |
| 164.312(e)(1) Transmission | Analyse TLS/chiffrement |
Controles Administratifs
| Exigence | Fonctionnalite CyberOrigen |
|---|---|
| 164.308(a)(1) Analyse des Risques | Registre des risques |
| 164.308(a)(5) Formation | Accusé de reception des politiques |
| 164.308(a)(6) Incidents | Workflow de remediation |
Identification des PHI
Qu'est-ce que les PHI ?
Les Protected Health Information incluent :
- Noms
- Dates (naissance, admission, sortie)
- Numeros de telephone/fax
- Adresses email
- Numeros de securite sociale
- Numeros de dossier medical
- IDs de plan de sante
- Numeros de compte
- Numeros de certificat/licence
- Identifiants de vehicule
- Identifiants de dispositif
- URLs
- Adresses IP
- Identifiants biometriques
- Photos
- Tout numero d'identification unique
Systemes ePHI
Identifiez les systemes avec PHI electroniques :
- Allez dans GRC → Bibliotheque de Controles
- Mappez les actifs au traitement des PHI
- Suivez dans l'inventaire des actifs
Accords avec les Partenaires Commerciaux
Exigences BAA
Suivez les BAA fournisseurs :
- Allez dans GRC → Fournisseurs
- Ajoutez les fournisseurs avec acces aux PHI
- Telechargez les documents BAA
- Suivez les dates d'expiration
Evaluation des Risques Fournisseur
Evaluez la securite des BA :
- Questionnaires de securite
- Rapports SOC 2
- Resultats de tests de penetration
Collecte des Preuves
Preuves Automatisees
- Analyses des controles d'acces
- Verification du chiffrement
- Evaluations de vulnerabilites
- Exports des logs d'audit
Preuves Manuelles
- Politiques et procedures
- Documentation d'analyse des risques
- Registres de formation
- BAA
- Plans de reponse aux incidents
Mappage des Controles
HIPAA se mappe aux autres referentiels :
| HIPAA | SOC 2 | ISO 27001 |
|---|---|---|
| 164.312(a)(1) | CC6.1 | A.9.1.1 |
| 164.312(b) | CC7.2 | A.12.4.1 |
| 164.312(e)(1) | CC6.7 | A.10.1.1 |
| 164.308(a)(1) | CC3.2 | 6.1 |
Reponse aux Violations
Quand Notifier
Notification requise lorsque :
- Acces non autorise aux PHI
- Utilisation ou divulgation violant la Regle de Confidentialite
- Impossible de demontrer une faible probabilite de compromission
Etapes de Reponse
- Identifier l'etendue de la violation
- Documenter l'investigation
- Notifier les individus (dans les 60 jours)
- Notifier le HHS
- Notifier les medias (si >500 individus)
- Remedier les vulnerabilites
Lacunes Courantes
| Exigence | Probleme | Solution |
|---|---|---|
| 164.308(a)(1) | Pas d'analyse des risques | Completer l'evaluation des risques |
| 164.312(a)(2)(i) | Comptes partages | IDs utilisateur uniques |
| 164.312(e)(1) | Email non chiffre | Solution de chiffrement |
| 164.308(b)(1) | BAA manquants | Suivi des BAA |