Almacenamiento en la nube compatible con HIPAA: cifrado y seguridad

Rodrigo Ricardo Publicado el 6 noviembre, 2020 7 minutos y 44 segundos de lectura

HIPAA y almacenamiento en la nube

Las organizaciones sanitarias generan grandes cantidades de datos de pacientes durante el curso de su trabajo. La Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA) y la Ley de Tecnología de la Información de Salud para la Salud Clínica y Económica de 2009 (HITECH) requieren que las organizaciones de atención médica implementen salvaguardas que protejan los datos de atención médica y la información del paciente, o la información médica protegida (PHI) divulgación accidental o robo.

A medida que la información médica protegida electrónica (ePHI) sigue creciendo, las organizaciones buscan soluciones más rentables para almacenar y transportar ePHI, como el almacenamiento en la nube . Las soluciones de almacenamiento en la nube que cumplen con HIPAA no solo necesitan proteger la confidencialidad y la integridad de la información de salud electrónica, sino que también deben hacer que la información sea fácilmente accesible para una organización.

Diagrama de almacenamiento en la nube cifrado
Diagrama de almacenamiento en la nube cifrado2

Cumplimiento de HIPAA

Al buscar el cumplimiento de HIPAA para una solución de almacenamiento en la nube, una organización debe asegurarse de que cumpla con los requisitos en tres áreas principales de protección: administrativa, física y técnica.

Salvaguardias administrativas

Las salvaguardas administrativas son políticas y procedimientos que garantizan la planificación, el desarrollo y la implementación adecuados de las salvaguardas físicas y técnicas. Estas salvaguardas incluyen temas sobre gestión de seguridad, responsabilidad, seguridad de la fuerza laboral o gestión de acceso y contratos. También pueden cubrir temas relacionados con la capacitación, procedimientos de reporte, planes de contingencia para incumplimientos y desastres, así como procedimientos para evaluar y mejorar los procesos periódicamente. Cada salvaguarda puede tener un solo estándar o un conjunto de estándares o requisitos de implementación.

Salvaguardias físicas

Las salvaguardas físicas son requisitos y recomendaciones que una organización debe implementar para proteger físicamente ePHI y otorgar solo acceso autorizado a los datos. Muchas de estas medidas de seguridad se centran en controlar el acceso a las instalaciones y las máquinas utilizadas para acceder a los datos.

Salvaguardias técnicas

HIPAA y HITECH no especifican requisitos tecnológicos exactos. Las salvaguardas técnicas describen la protección de ePHI a través de políticas y procedimientos requeridos que abordan la tecnología utilizada, incluidos los controles de acceso, autenticación y auditoría. También abordan los riesgos para los datos que la tecnología puede eliminar, dejando la selección de la tecnología a la organización. Las salvaguardas técnicas ayudan a responder la pregunta: ¿Utilizando la tecnología, se abordan o eliminan adecuadamente estas preocupaciones sobre los riesgos?

Seguridad en el almacenamiento en la nube

Al implementar una solución de almacenamiento en la nube (CSS) para almacenar datos médicos o ePHI, la clave es encontrar una solución o proveedor que cumpla con la HIPAA. Es responsabilidad de la organización contratante, o entidad cubierta (CE), garantizar el cumplimiento. Ambas partes deben tener un acuerdo de socio comercial en vigor que describa las salvaguardas administrativas, físicas y técnicas utilizadas para garantizar el almacenamiento conforme.

La regla de seguridad HIPPA define los requisitos y recomendaciones administrativos, físicos y técnicos para proteger el almacenamiento de datos. La regla de seguridad actúa como un paraguas que lo abarca todo, definiendo lo que se requiere para lograr un entorno compatible con HIPAA. Si bien la regla de seguridad de la HIPAA no establece específicamente cómo se deben proteger los datos, sus salvaguardas técnicas definen que, cuando sea razonable y apropiado, ePHI debe protegerse con cifrado / descifrado (164.312 (a) (2) (iv). La entidad cubierta es responsable para asegurarse de que el proveedor de almacenamiento en la nube (CSP) haya cumplido o superado esos requisitos.

Cifrado en almacenamiento en la nube

El cifrado es el proceso mediante el cual los datos legibles habituales se convierten en datos cifrados mediante el uso de un algoritmo. El algoritmo utiliza una clave de cifrado para garantizar que un archivo sea ilegible a menos que tenga la clave o conozca el algoritmo inverso. Un ejemplo simplificado sería convertir la palabra HIPAA al latín de cerdo. El algoritmo es:

  • Tome la primera letra de la palabra y muévala a la última letra.
  • Agrega ey al final de la palabra. En este ejemplo, HIPAA se convierte en IPAAHey, y la clave de descifrado son las instrucciones sobre cómo invertir el algoritmo.

La implementación del cifrado en el almacenamiento en la nube requiere que el CSP y el CE acuerden dónde tiene lugar el cifrado, así como qué tipo de cifrado emplear. El cifrado generalmente se realiza mientras los datos están en tránsito o cuando los datos están en reposo para mantener la confidencialidad, integridad y disponibilidad (CIA) de la información del paciente.

Datos en tránsito

Los datos en tránsito suelen protegerse mediante un túnel de capa de conexión segura (SSL). SSL protege los datos a medida que se enrutan desde el almacenamiento a la estación de trabajo y viceversa. Emplea un algoritmo y una clave segura que convierte los datos en datos cifrados durante el tránsito, lo que puede evitar que se lean si se interceptan.

Los datos en reposo

Cuando los datos están en reposo , el archivo de datos debe estar cifrado. Hay tres formas diferentes de cifrado que podrían utilizarse para cifrar datos en el almacenamiento en la nube: cifrado de disco completo, virtual y de archivos / carpetas.

Tipos de cifrado

Cifrado de disco completo

El cifrado de disco completo cifra todo el disco duro de un sistema de almacenamiento. Este método es especialmente eficaz si el software del sistema tiene controles de acceso excepcionales. Sin embargo, una vez que se concede el acceso a un usuario, todo el disco duro del sistema de almacenamiento le parecerá no cifrado. Dado que el almacenamiento basado en la nube puede utilizar varios discos en varios servidores, el cifrado de disco completo solo sería viable en una instalación de almacenamiento privada o basada en la nube híbrida, donde no hubiera otros usuarios autorizados en el sistema de almacenamiento, aparte de los autorizados para el acceso. a los datos ePHI almacenados en la nube.

Cifrado virtual

El cifrado virtual crea un contenedor de archivos y carpetas cifrados. Una vez que un usuario se autentica y se concede el acceso, el contenedor se monta como una unidad virtual cifrada. Esta tecnología es especialmente útil cuando se mantiene ePHI almacenado localmente. Los contenedores se cifran a tiempo completo y, cuando un usuario autenticado accede a ellos, se descifran y montan como una unidad utilizable. Esto asegura que cuando los datos están en reposo, están encriptados y seguros. Dado que el contenedor es esencialmente un archivo cifrado almacenado en la nube, el almacenamiento en la nube compatible con HIPAA se puede implementar con contenedores cifrados.

Cifrado a nivel de archivo

El cifrado a nivel de archivo cifra archivos y carpetas individuales con una clave de acceso única. La información cifrada con cifrado a nivel de archivo solo es accesible si el usuario autorizado tiene acceso a la clave. La ventaja del cifrado a nivel de archivo es que los archivos y las carpetas permanecen cifrados y protegidos sin importar dónde se almacenen. Esto crea una ventaja para el almacenamiento en la nube, ya que la mayoría de los CSP crean su almacenamiento a partir de varios discos y sistemas. Al cifrar a nivel de archivo, un CSP puede asegurar que los datos estén seguros y protegidos, proporcionando una solución de almacenamiento compatible con HIPAA para datos en reposo.

Resumen de la lección

La HIPAA se promulgó en 1996 para abordar el manejo de información médica protegida electrónica (ePHI). La ley está diseñada para establecer salvaguardas administrativas, físicas y técnicas que ayuden a las organizaciones a proteger sus datos. Sin embargo, no especifica detalles técnicos o requisitos exactos para implementar HIPAA.

La implementación de una solución compatible con HIPAA en la nube requiere que los proveedores de servicios en la nube (CSP) y las entidades cubiertas (CE) trabajen juntos para desarrollar las mejores prácticas para garantizar que tanto los datos en reposo como los datos en tránsito mantengan la confidencialidad, integridad y disponibilidad (CIA) de Información del paciente. Los datos en reposo debe ser cifrado con el disco sea completa, virtuales o de archivo cifrado , mientras que los datos en tránsito deben ser asegurados con la tecnología de capa de conexión segura (SSL).

Al implementar una solución de almacenamiento en la nube , la entidad cubierta debe desarrollar un acuerdo comercial y un plan para proteger los datos contra el acceso, uso y modificación no autorizados. Sin embargo, en última instancia, es responsabilidad de la organización o CE asegurarse de que la solución en la nube cumpla con la HIPAA.

Explora más sobre este tema

Selecciona un tema y sigue aprendiendo...

Rodrigo Ricardo
Rodrigo Ricardo Editor y fundador