Aviso de Privacidad y Cumplimiento de HIPAA

La seguridad y la privacidad del paciente son las principales prioridades de CloudVisit Telemedicina. Eche un vistazo a continuación para ver algunas de las formas en que trabajamos para garantizar su privacidad.

Garantías técnicas

Encriptamiento de datos (en transmisión)

El encriptamiento del estándar de la industria AES de 256 bits se utiliza en todos los puntos donde la información del paciente se transmite entre un usuario y los servidores de CloudVisit. Esto incluye el encriptamiento completo de la información compartida por los proveedores y pacientes, así como la transmisión encriptada de documentos e imágenes cargados / descargados.

Encriptamiento de datos (en reposo)

Todos los datos del paciente y la información de facturación se almacenan en tablas de bases de datos encriptadas utilizando el estándar AES de 256 bits. Todos los documentos e imágenes cargados por un paciente o proveedor también se almacenan encriptados. El encriptamiento completo de la unidad está implementado para todas las unidades de disco duro que almacenan la información del paciente y los datos de operación del sitio web utilizando los estándares de encriptamiento SHA-512.

Encriptamiento de audio / vídeo

El audio y el vídeo para todas las sesiones de telemedicina se transmiten a través de un canal de internet público encriptado utilizando un estándar de la industria con primitivas criptográficas. Las transmisiones de audio y vídeo se decodifican tal como son recibidas por un proveedor o paciente participante.

Servidores distribuidos

Se utilizan varios servidores para manejar tareas específicas, como alojamiento de web, almacenamiento de datos y administración de sesiones de vídeo. Cada servidor está configurado de forma única con detalles de acceso independientes, claves de descifrado de software, permisos y protecciones. Acceso a sistemas que contienen información sensible.
Está restringido a una estructura de red interna con procedimientos de autenticación.

Alojamiento web compatible con HIPAA

CloudVisit utiliza una solución de alojamiento de clase empresarial que proporciona todas las herramientas necesarias para mantener las medidas de seguridad y privacidad del paciente que cumplen con la ley HIPAA. Debido a los estándares de encriptamiento de empleados por CloudVisit, nuestra solución de alojamiento no tiene acceso a información confidencial del paciente en ningún momento.

Estándares de negocios que cumplen con HIPAA

De acuerdo con las pautas y regulaciones de HIPAA, se requiere que los proveedores de soluciones de software de telemedicina mantengan prácticas comerciales y de seguridad que cumplen con HIPAA. Además, los proveedores de atención médica deben ingresar un Acuerdo de Asociados Comerciales (BAA) con su proveedor de software de telemedicina. CloudVisit mantiene los estándares de HIPAA y establece un BAA mutuo con cada suscriptor de Telemedicina de CloudVisit.
Esta auto auditoría es consistente con los requisitos de cumplimiento de HIPAA exigidos por el Departamento de Salud y Servicios Humanos de los Estados Unidos (www.hhs.gov) a partir del 16 de septiembre de 2016.

Salvaguardas físicas

Controles de acceso

Existen procedimientos que permiten una visibilidad profunda de las llamadas a la API, incluidos quién, qué y desde dónde se realizan las llamadas para registrar a cualquier usuario que acceda a los servidores. Los procedimientos también incluyen medidas de seguridad para evitar el acceso físico no autorizado, la manipulación y el robo de registros de actividad y notificaciones de alerta. La información del paciente no se almacena, imprime, copia, divulga o procesa de forma excesiva por otros medios fuera del propósito de uso.

Uso de la estación de trabajo

Todos los dispositivos informáticos están instalados y configurados para restringir el acceso ePHI solo a usuarios autorizados. ePHI solo se almacena, revisa, crea, actualiza o elimina utilizando dispositivos informáticos que cumplen con los requisitos de seguridad para ese tipo de dispositivo. Antes de dejar un dispositivo informático desatendido, los usuarios deben cerrar la sesión o bloquear o asegurar el dispositivo o las aplicaciones. Esta práctica evita el acceso de usuarios no autorizados a ePHI o cualquier componente del sistema. Los dispositivos de computación están ubicados y orientados para que la información en las pantallas no sea visible por personas no autorizadas.

Procedimientos para dispositivos móviles

Cuando se almacena en dispositivos informáticos portátiles o móviles (por ejemplo, computadoras portátiles, teléfonos inteligentes, tabletas, etc.) o en medios de almacenamiento electrónicos extraíbles (por ejemplo, unidades de memoria USB, etc.), ePHI está encriptada. La PHI original (fuente), o la copia única, no se almacena en dispositivos informáticos portátiles.

Salvaguardas Administrativas

Administración de riesgos

a. CloudVisit registra y mantiene un inventario de componentes de tecnología de la información que forman parte del servicio de telemedicina.

b. Los sistemas cuentan con capacidad suficiente para garantizar la disponibilidad continua en caso de un incidente de seguridad.

c. Los sistemas garantizan que la protección de software malintencionado se implementa y se mantiene actualizada.

d. Todas las acciones de usuario privilegiado se registran. Cualquier cambio en estos registros por parte de un sistema, privilegiado o usuario final debe ser detectable. Los registros de registro son revisados ​​periódicamente por el personal administrativo autorizado de CloudVisit.

e. La información sobre eventos importantes relacionados con la seguridad se graban en los registros, incluidos los tipos de eventos, como el inicio de sesión fallida, el bloqueo del sistema, los cambios en los derechos de acceso y los atributos del evento, como la fecha, la hora, la ID del usuario, el nombre del archivo y la dirección IP, cuando sea técnicamente viable.

f. Los registros se almacenan durante al menos 6 meses y se ponen a disposición de la Entidad cubierta cuando se solicitan.

g. Los archivos de respaldo se realizan y se mantienen para garantizar las expectativas de continuidad y entrega.

h. Se implementa un proceso de administración de vulnerabilidades para prioritizar y remediar las vulnerabilidades en función de la naturaleza / gravedad de la vulnerabilidad.

i. Existe un proceso de administración de parches para garantizar que los parches se apliquen de manera oportuna.

Entrenamiento de empleados

La capacitación se introduce para aumentar el conocimiento de las políticas y procedimientos que rigen el acceso a ePHI y cómo identificar los ataques de software malintencionado y el malware. Se requiere que el personal con acceso a ePHI tome el entrenamiento adecuado sobre privacidad de datos relacionada con HIPAA de manera regular.

Plan de contingencia

CloudVisit ha implementado el Plan de Continuidad del Negocio (BCP) para responder y recuperarse de las interrupciones del sistema u otras emergencias que pueden dañar o hacer que el sistema o ePHI no estén disponibles (por ejemplo, desastre natural, incendio, vandalismo, falla del sistema, corrupción del software, virus, error del operador). Para reducir la probabilidad de pérdida o corrupción de datos, CloudVisit mantiene copias exactas recuperables de ePHI y otros datos necesarios para el funcionamiento del sistema. Las copias de seguridad contienen información suficiente para poder restaurar el sistema de información a un estado reciente, operativo y preciso. Los incidentes de continuidad del negocio que tienen un impacto en la ejecución del servicio a la entidad cubierta son registrados, analizados y revisados ​​por CloudVisit y se informan a la entidad cubierta de manera oportuna o según lo acordado.

Plan de contingencia de prueba

CloudVisit realiza rutinariamente un Análisis de Impacto de Negocios y una Evaluación de Riesgos (BIA / RA) para identificar y mitigar amenazas y peligros potenciales a la información de ePHI. El plan de contingencia se prueba con regularidad y cuando se hacen modificaciones sustanciales al Plan para probar que será efectivo y que los miembros de la fuerza laboral comprendan sus respectivos roles y responsabilidades de recuperación. Si las pruebas revelan que el plan de contingencia no es efectivo en caso de una emergencia u otra ocurrencia, CloudVisit revisará el plan como consecuencia.

Restricción de acceso de terceros

CloudVisit garantiza que no se acceda a ePHI por parte de organizaciones matrices no autorizadas y subcontratistas, y que los Acuerdos de Asociados Comerciales se firmen con socios comerciales que tendrán acceso a ePHI. La divulgación de información ePHI a un tercero, como un subprocesador de terceros, solo se permitirá con el consentimiento previo por escrito de los proveedores de atención médica y solo para los fines identificados en los acuerdos contractuales con los proveedores de atención médica. Los subprocesadores de terceros se limitarán únicamente al acceso, uso, retención y divulgación necesarios del ePHI necesario para cumplir con las obligaciones contractuales. Los subprocesadores de terceros recibirán instrucciones claras sobre las medidas de seguridad para proteger ePHI.

Informe de incidentes de seguridad

CloudVisit aisla y contiene incidentes y datos registrados relacionados antes de que se conviertan en una violación. CloudVisit tiene un proceso documentado de administración de incidentes de seguridad para detectar y resolver incidentes. Los informes de CloudVisit han confirmado incidentes o debilidades de seguridad relacionados con ePHI o servicios para pacientes y proveedores tan pronto como sea práctico o según lo acordado. CloudVisit cooperará completamente con las entidades cubiertas para tratar estos incidentes. La cooperación puede incluir proporcionar acceso a datos de evidencia basados ​​en computadora para la evaluación forense.

Regla de privacidad de HIPAA

La regla de privacidad

Se implementan las medidas de seguridad adecuadas para proteger la privacidad de la información de salud personal. La información agregada al sistema por los pacientes solo puede ser vista por los proveedores asignados y el personal administrativo autorizado. Los pacientes tienen los derechos sobre su información de salud; incluyendo el derecho a obtener una copia de sus registros de salud, o examinarlos, y la capacidad de solicitar correcciones si es necesario.

Regla de Notificación de Incumplimiento de HIPAA

Las notificaciones de incumplimiento se realizan sin demora injustificada y en ningún caso más de 60 días después del descubrimiento de un incumplimiento. Si se produce una violación de la información de salud protegida no garantizada en o por CloudVisit, CloudVisit notificará a la entidad cubierta después del descubrimiento de la violación. Las notificaciones de incumplimiento deben incluir la siguiente información:
  • La naturaleza del ePHI involucrado, incluidos los tipos de identificadores personales expuestos.
  • La persona no autorizada que usó el ePHI o a quien se hizo la divulgación (si se conoce).
  • Si el ePHI fue realmente adquirido o visto (Si es conocido).
  • La medida en que se ha mitigado el riesgo de daño.