Compliment HIPAA
Descripció general
HIPAA (la Health Insurance Portability and Accountability Act dels Estats Units) regula com s'ha de tractar la Protected Health Information (PHI) als Estats Units. vitalera proporciona les salvaguardes tècniques, administratives i físiques requerides per la HIPAA Security Rule i actua com a Business Associate per als clients que processen PHI.
HIPAA és una llei, no una certificació. Cap programari pot estar "certificat HIPAA". El compliment és una responsabilitat compartida entre la Covered Entity (el client) i el Business Associate (vitalera), regulada per un Business Associate Agreement (BAA) signat.
Rols
| Rol | Qui | Responsabilitat |
|---|---|---|
| Covered Entity | El proveïdor sanitari, pla de salut o clearinghouse que utilitza vitalera | Té la relació amb el pacient, obté l'autorització del pacient i determina els usos legítims de la PHI |
| Business Associate | FOLLOWHEALTH S.L. (operador de la plataforma vitalera) | Processa PHI en nom de la Covered Entity sota el BAA, implementa salvaguardes i notifica incidents |
| Subcontractistes | AWS i altres proveïdors d'infraestructura | Coberts per BAAs descendents entre vitalera i cada subcontractista quan correspongui |
Business Associate Agreement (BAA)
Cal un BAA signat abans que qualsevol client processi PHI a través de vitalera. Contacteu amb legal@vitalera.io per sol·licitar la nostra plantilla estàndard de BAA o per negociar condicions per a desplegaments empresarials.
El BAA de vitalera cobreix:
- Usos i divulgacions permeses de PHI
- Salvaguardes requerides a vitalera com a Business Associate
- Obligacions i terminis de notificació de bretxes
- Requisits de transmissió a subcontractistes
- Condicions de rescissió i retorn/destrucció de PHI
Salvaguardes de la Security Rule
La HIPAA Security Rule (45 CFR 164 Subpart C) requereix salvaguardes administratives, físiques i tècniques per a la PHI electrònica (ePHI). vitalera implementa cadascuna directament mitjançant els controls definits al nostre Sistema de Gestió de Seguretat de la Informació certificat segons ISO 27001:2022.
Salvaguardes tècniques (45 CFR 164.312)
| Control | Implementació |
|---|---|
| Access Control | Identificació única d'usuari, control d'accés basat en rols (RBAC), tancaments automàtics de sessió |
| Audit Controls | Registres d'auditoria immutables per a tot l'accés a PHI, conservats i monitoritzats per detectar anomalies |
| Integrity | Hashing criptogràfic, restriccions d'integritat a nivell de base de dades, registres d'esdeveniments immutables |
| Person or Entity Authentication | Autenticació multifactor (MFA) per a professionals, JWT amb tokens de curta durada, DPoP per a l'SDK |
| Transmission Security | TLS 1.2+ per a tota comunicació de xarxa, xifratge extrem a extrem per a càrregues sensibles |
Salvaguardes administratives (45 CFR 164.308)
| Control | Implementació |
|---|---|
| Security Management Process | Anàlisi de risc contínua segons ISO 27001:2022, auditoria interna anual, pla documentat de tractament de riscos |
| Assigned Security Responsibility | Information Security Officer i Data Protection Officer designats |
| Workforce Security | Comprovacions d'antecedents, provisió d'accés basada en rols, procediments formals d'alta i baixa |
| Information Access Management | Principi de mínim privilegi, revisions d'accés, separació de funcions entre desenvolupament i producció |
| Security Awareness and Training | Formació obligatòria anual en seguretat i privacitat per a tot el personal que tracta PHI |
| Security Incident Procedures | Pla documentat de resposta a incidents, monitoratge 24/7, camins estructurats d'escalat i comunicació |
| Contingency Plan | Còpies de seguretat automàtiques diàries, recuperació a un punt en el temps, DR multi-regió, runbooks documentats |
| Business Associate Contracts | BAAs descendents amb tots els subcontractistes que processen PHI |
Salvaguardes físiques (45 CFR 164.310)
vitalera s'executa sobre infraestructura AWS a la UE (eu-west-1, Irlanda) amb disponibilitat de regió als Estats Units sota petició. Els centres de dades d'AWS implementen salvaguardes físiques certificades segons SOC 2 Type II, ISO 27001, ISO 27017 i ISO 27018:
- Controls d'accés a les instal·lacions amb seguretat 24/7, autenticació biomètrica i videovigilància
- Polítiques d'ús d'estacions de treball aplicades a tots els dispositius del personal de vitalera
- Controls de dispositius i suports, incloent-hi eliminació segura de maquinari i esborrat criptogràfic de l'emmagatzematge
Xifratge de PHI
| Estat | Implementació |
|---|---|
| En repòs | AES-256 mitjançant AWS KMS, aplicat a bases de dades gestionades, emmagatzematge d'objectes i còpies de seguretat |
| En trànsit | TLS 1.2+ per a tot el trànsit d'API, SDK, webhooks i administració |
| Gestió de claus | Claus gestionades a AWS KMS amb rotació automàtica i protecció basada en maquinari |
Notificació de bretxes
vitalera compleix amb la HIPAA Breach Notification Rule (45 CFR 164.400–414) i, quan correspongui, amb els requisits més estrictes del HITECH Act:
- Els clients són notificats de qualsevol bretxa descoberta de PHI no segura en 60 dies des del descobriment, sovint significativament abans
- Les notificacions inclouen la natura de la bretxa, tipus de PHI implicada, accions de mitigació adoptades i passos recomanats per a la Covered Entity
- vitalera dona suport a les pròpies obligacions de notificació de bretxes de la Covered Entity cap a les persones afectades, l'Office for Civil Rights (OCR) i (si escau) els mitjans de comunicació
Residència de dades per a clients dels Estats Units
HIPAA no exigeix residència de dades als Estats Units. No obstant això, vitalera ofereix desplegament a la regió dels Estats Units per a clients amb polítiques internes que requereixen emmagatzematge nacional de dades. Contacteu amb support@vitalera.io per tractar la selecció de regió com a part de l'onboarding.
Responsabilitats del client
Com a Covered Entity, el client és responsable de:
- Obtenir l'autorització del pacient quan calgui
- Configurar polítiques d'accés adequades dins de vitalera per al seu personal
- Complir les seves pròpies obligacions sota la HIPAA Privacy Rule, incloent-hi la Notice of Privacy Practices i la resposta a sol·licituds de drets del pacient
- Formar el seu propi personal en HIPAA i en les funcions de seguretat de vitalera
- Reportar a vitalera amb promptitud els incidents de seguretat del costat del client
Compliment relacionat
- ISO 27001 — Controls de seguretat de la informació que sustenten les salvaguardes de la HIPAA Security Rule
- SOC 2 — Alineació amb les Trust Service Criteria per a revisions de proveïdors empresarials
- GDPR — Obligacions complementàries per als interessats de la UE
- Seguretat de dades — Visió general de l'arquitectura tècnica de seguretat
Contacte
Per a sol·licituds de BAA, preguntes sobre HIPAA o revisions de seguretat, contacteu amb legal@vitalera.io o support@vitalera.io.