La computación en la nube adopta muchas formas, que van desde el simple almacenamiento de información en línea hasta software con soluciones más completas, y la HIPAA no dejaría de sugerir estándares de seguridad, administración y privacidad para quienes se centran en el área Salud.
Dentro de las categorías de software, se encuentran Softwares as a Service - SaaS, o traducido, Softwares como Servicio, que brindan al cliente la opción de utilizar un servicio, aplicación o software a través de un navegador de Internet, que también pueden denominarse software bajo demanda o software alojado. También vale la pena mencionar el software Plataforma como servicio e Infraestructura como servicio.
Modelos de Softwares
Dentro de los modelos que se pueden utilizar en software en la nube, pueden basarse en:
- Nube privada: donde la estructura de la nube se proporciona exclusivamente para una organización o empresa con varios usuarios. Puede ser desarrollado, gestionado y operado por la empresa, un tercero o una combinación de los dos, existentes dentro o fuera de las instalaciones de la empresa.
- Nube comunitaria: la estructura de la nube es para el uso de una comunidad específica, donde los usuarios de diferentes organizaciones tienen intereses comunes. Puede ser desarrollado, gestionado y operado por una de las empresas comunitarias o por terceros, y también puede haber desarrollo dentro o fuera de las empresas.
- Nube pública: la estructura de la nube está abierta para el uso público en general, puede ser desarrollada, administrada u operada por empresas, instituciones educativas, organizaciones gubernamentales o incluso una combinación de estas, existentes dentro de las instalaciones del proveedor.
- Nube híbrida: la estructura de la nube se compone de dos o más estructuras de nube distintas (privada, comunitaria o pública), a las que se unen tecnologías que permiten la portabilidad y transmisión de datos.
HIPAA y software en la nube
HIPAA permite que las clínicas, los profesionales de la salud y las entidades más grandes, como los hospitales, utilicen software en la nube para crear, almacenar, recibir, mantener o transmitir electrónicamente información médica protegida, siempre que exista un contrato entre las partes que cumplir con las reglas de HIPAA. Este contrato debe delimitar y establecer los permisos y usos requeridos de los datos, en base a las relaciones entre usuarios, actividades y servicios desarrollados por los miembros.
El contrato también debe contener requisitos mínimos de seguridad, los cuales deben cumplirse para garantizar la integridad de la información médica protegida, integrando aquí las reglas de seguridad de HIPAA. Los miembros del contrato también deben llevar a cabo evaluaciones de riesgos, gestión de riesgos y crear políticas dentro de su sistema que controlen los posibles daños.
Además, HIPAA también considera relevantes los aspectos de un Service Level Agreement - ANS, que estandariza los servicios entre las partes contratantes y contratadas, y da instrucciones sobre la construcción de los mismos, en el artículo sobre HIPAA Y NINSAUDE APOLO hablamos más detalles sobre el tema, pero cabe mencionar que los siguientes aspectos son puntos clave de cualquier ANS de salud:
- Viabilidad y fiabilidad del sistema elegido;
- Respaldo y restauración de datos (en los casos en que se requiera una acción para responder a un ataque de ransomware u otras situaciones de emergencia);
- La forma en que los datos e información serán devueltos al contratista en caso de rescisión del contrato;
- Responsabilidades con respecto a la seguridad de la información y los datos;
- Límites y restricciones sobre el uso, retención y divulgación de datos.
Dispositivos móviles
Otro tema importante es el acceso al software en la nube en dispositivos móviles, como teléfonos inteligentes, tabletas, entre otros. HIPAA permite el acceso a la información de salud en estos dispositivos, pero recuerda que debe hacerse de forma segura, cumpliendo con los estándares de seguridad técnicos, físicos y administrativos, para proteger la integridad, confiabilidad y viabilidad de la información.
Para esto, la HIPAA también brinda consejos sobre cómo evitarlo al usar dispositivos móviles, tales como:
- Identificación de acceso en el dispositivo, además de la identificación de acceso al sistema;
- Utilice aplicaciones de cifrado e instale o habilite limpiadores de datos en el dispositivo;
- Use o active un antivirus, así como desactivar el uso compartido de archivos;
- Mantenga actualizado el software del dispositivo y lea acerca de las nuevas aplicaciones antes de instalarlas;
- Manter o controle físico do aparelho, assegurando-se da melhor forma que ele não será extraviado;
- Utilice métodos seguros para transmitir información médica a través de redes Wi-Fi abiertas;
- Al descartar el dispositivo, asegúrese de que toda la información se haya eliminado de forma permanente.
Entonces, ¿te gustaron los consejos? Continue siguiendo el blog para obtener más información. ¿Aún no eres cliente de Ninsaúde Apolo? Ponte en contacto a través de nuestro sitio web y solicita una demostración ahora.
Fuentes: HHS - Special topics; HHS FAQ e Healthit