Segurança e TI na área da saúde: Um questionário sobre conformidade com a HIPAA

Agosto 26, 2014
Amy Newman
HIPAA

Como MSP no mercado atual, você provavelmente já ouviu falar da sigla “HIPAA”. Se algum de seus clientes for um prestador de serviços de saúde, uma câmara de compensação ou uma empresa que lida com informações eletrônicas de saúde protegidas (ePHI), então você certamente já ouviu falar em conformidade com a HIPAA.

A HIPAA, ou Health Insurance Portability and Accountability Act (Lei de Portabilidade e Responsabilidade dos Seguros de Saúde), é um conjunto de normas nos Estados Unidos que se aplica a todas as pessoas que têm acesso aos dados e/ou redes que contêm ePHI. Se você apenas gerencia uma rede para um cliente que lida com ePHI, e mesmo que nunca acesse as informações, você ainda será considerado um "associado comercial" de acordo com a lei, é legalmente obrigado a estar em conformidade com a lei e pode ser responsabilizado no caso de uma violação de dados.

Isso significa que, se você presta ou pretende prestar serviços a clientes na área da saúde, precisa estar em conformidade com a HIPAA. Embora a HIPAA seja uma lei dos Estados Unidos, muitos países possuem legislações semelhantes com requisitos análogos.

Isso nos leva a uma questão fundamental: o que a conformidade com a HIPAA exige no que diz respeito à segurança de TI, identidade e gestão de acesso?

Felizmente, resumi as respostas a essa pergunta em uma lista de perguntas simples de sim ou não que você pode fazer ao seu cliente. Se a resposta for "não", considere isso um mau sinal.

Políticas e procedimentos de segurança

É necessário estabelecer políticas para lidar com todas as violações de segurança e gerenciá-las. Você pode fazer perguntas aos seus clientes, como:

  • Os seus funcionários estão cientes das penalidades decorrentes de violações de segurança?
  • Existem sanções internas para os funcionários que violarem os procedimentos de segurança?
  • Todos os seus usuários sabem o que fazer em caso de incidentes ou problemas de segurança?
  • Existe algum processo em vigor para documentar, monitorar e resolver problemas ou incidentes de segurança?
  • Existe alguém encarregado de verificar todos os registros, relatórios e arquivos de segurança?
  • Vocês têm um responsável pela segurança encarregado de definir uma política de senhas e de segurança inteligente?
  • Você já realizou uma análise de risco?

Gerenciamento de acesso

O acesso ao ePHI deve ser restrito àqueles que têm permissão para acessá-lo. Você pode fazer perguntas aos seus clientes como:

  • Você tem medidas em vigor para autorizar ou supervisionar o acesso ao ePHI?
  • Existem processos para determinar a validade do acesso ao ePHI?
  • Em caso de demissão do funcionário, o acesso dele ao ePHI é bloqueado?

Treinamento de conscientização sobre segurança

A HIPAA exige que seja implementado um programa de treinamento em conscientização sobre segurança para todos os funcionários. Você pode fazer perguntas aos seus clientes, como:

  • Os funcionários são regularmente lembrados sobre questões de segurança?
  • Vocês realizam reuniões sobre a importância da segurança de senhas, de software e de TI?
  • Seus funcionários estão cientes do processo que envolve o software malicioso?
  • Você tem procedimentos para revisar regularmente as tentativas de login?
  • Esses procedimentos verificam se há discrepâncias ou problemas?
  • Você estabeleceu procedimentos para monitorar, gerenciar e proteger as senhas?

O pior cenário possível

Deve haver um plano em vigor para a proteção e o uso do ePHI em caso de emergência ou desastre. Você deve fazer perguntas aos seus clientes como:

  • Existem planos testados e revisados para uma emergência?
  • Os aplicativos e os dados necessários para esses planos de emergência foram analisados?
  • No caso de um desastre (I.T.E.O.A.D.), é possível fazer ou recuperar cópias do ePHI?
  • I.T.E.O.A.D... Toda a ePHI pode ser restaurada ou recuperada?
  • I.T.E.O.A.D... Seu ePHI será protegido?
  • I.T.E.O.A.D... As funções comerciais críticas relacionadas ao ePHI podem ser concluídas?

Contratos para associados comerciais

Os contratos de associados comerciais são essenciais para ITSPs e MSPs envolvidos que trabalham no setor de saúde. Embora a não assinatura de um contrato possa proporcionar uma pequena proteção contra a responsabilidade nos termos da lei, o detalhamento e a assinatura de suas obrigações e responsabilidades acordadas podem proporcionar uma proteção significativamente maior no caso de uma investigação, auditoria ou violação. A documentação é fundamental quando se trata de se proteger.

Proteção tecnológica e física

É necessário implementar procedimentos que limitem o acesso físico às instalações e aos equipamentos que abrigam dados de ePHI. Além disso, é igualmente fundamental que os procedimentos garantam que todos os ePHIs sejam acessados somente por funcionários que tenham permissão para isso.

Como profissional de TI, é sua responsabilidade garantir que o acesso a aplicativos e dados que contenham ePHI seja restrito apenas a usuários autorizados. É nesse ponto que a autenticação se torna fundamental.

Um método que você pode discutir com seu cliente é conhecido como autenticação multifatorial (MFA). Com a MFA, os usuários fazem login usando uma senha e um fator de segurança adicional, como a leitura de impressão digital ou um código de uso único gerado por um aplicativo móvel seguro. O nível avançado de segurança da MFA também permite que as empresas explorem outras soluções de produtividade e segurança, como o login único (SSO), que permite que uma única credencial forneça acesso a outros serviços. Para muitas empresas que precisam cumprir as regulamentações da HIPAA, a autenticação multifatorial e o login único são soluções convenientes e práticas para muitos de seus problemas de conformidade.

Uma plataforma completa para gestão de TI e segurança

Kaseya 365 a solução completa para gerenciar, proteger e automatizar a TI. Com integrações perfeitas entre as principais funções de TI, ele simplifica as operações, reforça a segurança e aumenta a eficiência.

Solicite uma demonstração Conheça o Kaseya 365

Uma plataforma. Tudo em TI.

Kaseya 365 desfrutam dos benefícios das melhores ferramentas de gerenciamento de TI e segurança em uma única solução.

Conheça o Kaseya 365

Seu sucesso é nossa prioridade número 1

O Partner First é um compromisso com condições flexíveis, risco compartilhado e suporte dedicado para o seu negócio.

Conheça Partner First Pledge

Relatório Kaseya sobre a Situação dos MSP de 2026

Kaseya - Relatório sobre a Situação dos MSP em 2026 - Imagem para a Web - 1200x800 - ATUALIZADO

Obtenha insights sobre o MSP para 2026 com mais de 1.000 prestadores de serviços e descubra como aumentar a receita, adaptar-se às pressões do mercado e manter a competitividade.

Faça o download agora

Explore as categorias

Conformidade com a HIPAA para MSPs: o que está mudando e o que você deve fazer agora

A HIPAA (Lei de Portabilidade e Responsabilidade dos Seguros de Saúde) é uma das estruturas de conformidade mais conhecidas nos Estados Unidos e

Leia a postagem do blog

O VSA da Kaseya mantém a Methodist Healthcare Ministries em conformidade com a HIPAA

Muitos setores têm normas de conformidade, mas poucos são tão rigorosos quanto a Lei de Portabilidade e Responsabilidade dos Seguros de Saúde de 1996

Leia a postagem do blog

13 coisas que todo MSP deve saber sobre a HIPAA

Conhecer a HIPAA não é apenas importante para quem trabalha na área da saúde – é uma exigência imprescindível. É necessário comprovar que está em conformidade com a HIPAA. Um

Leia a postagem do blog