Applicazione utilizzata nell'industria sanitaria: HIPAA HITECH che ospita "requisiti"

1

Abbiamo uno scenario presso il mio datore di lavoro in cui ospitiamo un'applicazione che viene utilizzata per il caricamento, la memorizzazione e & gestione dei documenti relativi alle fatture dei pazienti da parte degli operatori sanitari. Finora siamo a conoscenza del fatto che questi documenti contengano PHI e nel nostro programma di sicurezza sono state elaborate numerose politiche per mitigare i rischi della nostra attuale soluzione di hosting.

Da un punto di vista dell'architettura pura dell'applicazione, l'applicazione sta espandendo rapidamente lo spazio su disco utilizzato, e stiamo cercando di decidere se possiamo sfruttare lo storage del cloud in qualsiasi modo. Ovviamente, l'introduzione di un altro fornitore di servizi di hosting deve essere accompagnata dalla nostra verifica della mitigazione del rischio per loro conto, ad esempio sotto forma di un Accordo di Business Associates (BAA) ...

almeno questo è il modo tradizionale con cui la "catena di custodia" viene mantenuta da qualsiasi numero di provider di hosting.

Prima chiederò: sono fuori base con quell'affermazione ^^?

Quindi farò la domanda: una BAA richiede (per legge?) di ospitare PHI in modo tale che esista una catena di custodia? In caso contrario, un BAA è ancora applicabile o addirittura plausibile per chiunque desideri utilizzare i servizi del provider Cloud?

Grazie per l'aiuto! Saluti! SAM

    
posta maloitpro 03.04.2017 - 20:07
fonte

1 risposta

1

Non sei fuori base nella tua valutazione. Mettere PHI nel cloud significa che quel provider è ora responsabile della conformità. Ora svolgono un ruolo importante nella catena di custodia del PHI.

I BAA sono richiesti in quanto se usi un fornitore di servizi cloud e non hai un BAA a tenuta stagna, sei a rischio. Pensa alla catena in questo modo:

Ospedale (entità coperta) < - > Servi l'ospedale (BA) < - > AWS

Probabilmente hai un BAA con l'ospedale in cui hai assunto tutti i rischi tecnici di gestione del PHI dell'ospedale. Ma AWS è una parte fondamentale nella catena che gestisce il PHI. Se non hai un BAA con AWS, non stai distribuendo il rischio di conformità alla parte che è effettivamente responsabile. Ad esempio, se per qualche ragione irriflessa è stato analizzato un centro dati principale e sono stati rubati i dischi rigidi, se non hai un BAA sei TU.

Tuttavia, si noti che tutti i cloud pubblici coprono solo una frazione molto piccola di conformità nella totalità. La traduzione è "catena di custodia" a "modello di responsabilità condivisa". Ecco i link di AWS: link

Quindi, ad esempio con AWS, coprono solo circa 1/10 (safegaurds fisici, firewall). Il loro BAA non accetta altri controlli come la crittografia o la registrazione o il ripristino di emergenza.

Se vuoi usare il cloud, dovresti investigare su un'azienda come Datica, per la quale lavoro. Aziende come quelle che si siedono sopra le nuvole pubbliche manterranno e assumeranno il rischio degli altri 9/10 per modo di parlare. Questa risorsa potresti trovare utile per spiegare il concetto.

    
risposta data 29.08.2017 - 16:46
fonte

Leggi altre domande sui tag