[US] Rapport de conformité des services de santé (HIPAA

Le <uicontrol>Rapport de conformité des services de santé (HIPAA)</uicontrol> vous aide à évaluer la sécurité de votre application web par rapport à la règle de sécurité de la loi américaine sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA).

À propos des règlements de sécurité et de confidentialité de l'HIPAA

La loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) est une loi fédérale américaine promulguée en 1996. Elle est conçue pour protéger la confidentialité et la sécurité des informations de santé des individus et pour améliorer l'efficacité des systèmes de santé.

L'HIPAA a plusieurs objectifs clés :

  • Confidentialité : Protège les droits des patients en contrôlant comment les informations de santé personnelles (PHI) sont utilisées et divulguées.
  • Sécurité : Établit des normes pour protéger les informations de santé protégées électroniques (ePHI) contre l'accès non autorisé, l'altération ou la perte.
  • Portabilité : Assure que la couverture d'assurance maladie est maintenue lorsque les individus changent ou perdent leur emploi.
  • Simplification administrative : Standardise les transactions électroniques de santé et le codage pour améliorer l'efficacité et réduire les coûts.

L'HIPAA comprend plusieurs règles principales :

  • Règle de confidentialité (2003) : Définit les informations de santé protégées (PHI), fixe des limites à leur utilisation et divulgation, et accorde aux patients des droits sur leurs dossiers.
  • Règle de sécurité (2005) : Exige des mesures de protection administratives, physiques et techniques pour protéger les ePHI. Cela inclut des évaluations des risques et des contrôles d'accès.
  • Breach Notification Rule (2009) : Exige une notification aux individus concernés, au Health and Human Services (HHS), et parfois aux médias en cas de violation de données.
  • Enforcement Rule : Décrit les processus d'enquête et les sanctions pour non-conformité, qui peuvent inclure des amendes importantes et des accusations criminelles possibles.

La HIPAA a été promulguée le 21 août 1996. Les dates limites clés de conformité incluent :

  • Dispositions relatives à la confidentialité : 14 avril 2003
  • Dispositions relatives à la sécurité : 21 avril 2005
  • Règle de notification de violation : 23 septembre 2009

Entités couvertes

Les organisations suivantes sont généralement tenues de se conformer à la HIPAA :

  • Les régimes de santé, les prestataires de soins de santé et les centres de traitement de données de santé.
  • Les partenaires commerciaux, tels que les fournisseurs et les sous-traitants, qui traitent les PHI (par exemple, les fournisseurs de cloud ou les services de facturation).

Rapport de conformité HIPAA d'AppScan Enterprise

Le rapport de conformité HIPAA d'AppScan Enterprise identifie automatiquement les problèmes potentiels au sein de votre environnement web qui pourraient affecter votre conformité globale avec la règle de sécurité HIPAA. Le rapport fait également référence aux activités connexes décrites dans le Guide de ressources NIST pour la mise en œuvre de la règle de sécurité HIPAA.

Terminologie du rapport

Problème adressable
Tel qu'il apparaît dans ce rapport, cela signifie qu'une entité couverte doit :
  1. Évaluer si chaque spécification de mise en œuvre est une mesure de protection raisonnable et appropriée dans son environnement, lorsqu'elle est analysée en référence à la contribution probable à la protection des informations de santé protégées électroniques de l'entité ; et
  2. As applicable to the entity:
    1. Mettre en œuvre la spécification de mise en œuvre si cela est raisonnable et approprié ; ou
    2. Si la mise en œuvre de la spécification de mise en œuvre n'est pas raisonnable et appropriée :
      1. Documenter pourquoi il ne serait pas raisonnable et approprié de mettre en œuvre la spécification de mise en œuvre ; et
      2. Mettre en œuvre une mesure alternative équivalente si cela est raisonnable et approprié.
Problème possible
Comme cela apparaît dans ce rapport, cela signifie que les résultats détectés pourraient indiquer qu'une spécification de mise en œuvre requise n'est pas respectée.

Vulnérabilités du rapport de conformité HIPAA

Le tableau suivant répertorie les exigences spécifiques de la règle de sécurité HIPAA qui sont évaluées. Les vulnérabilités trouvées dans votre application sont mappées à ces sections.

Table 1. Sections de la réglementation
ID Nom
S.Rule - Partie 164, Sous-partie C, 164.308(a)(3)(i) Problème adressable - Mettre en œuvre des politiques et des procédures pour garantir que tous les membres de son personnel ont un accès approprié aux informations de santé protégées électroniques, comme prévu par [la norme de gestion de l'accès à l'information], et pour empêcher les membres du personnel qui n'ont pas accès en vertu de [la norme de gestion de l'accès à l'information] d'obtenir un accès aux informations de santé protégées électroniques.
S.Rule - Partie 164, Sous-partie C, 164.308(a)(3)(ii)(A) Problème adressable - Mettre en œuvre des procédures pour l'autorisation et/ou la supervision des membres du personnel qui travaillent avec des informations de santé protégées électroniques ou dans des lieux où elles pourraient être accessibles.
S.Rule - Part 164, Subpart C, 164.308(a)(4)(i) Problème possible - Mettre en œuvre des politiques et des procédures pour autoriser l'accès aux informations de santé protégées électroniques qui sont conformes aux exigences applicables de la sous-partie E de cette partie, la Règle de confidentialité.
S.Rule - Part 164, Subpart C, 164.308(a)(4)(ii)(B) Problème possible - Mettre en œuvre des politiques et des procédures pour accorder l'accès aux informations de santé protégées électroniques, par exemple, par l'accès à un poste de travail, une transaction, un programme, un processus ou un autre mécanisme.
S.Rule - Part 164, Subpart C, 164.308(a)(5)(ii)(D) Problème adressable - Mettre en œuvre des procédures pour créer, modifier et protéger les mots de passe
S.Rule - Part 164, Subpart C, 164.312(a)(1) Problème possible - Mettre en œuvre des politiques et des procédures techniques pour les systèmes d'information électroniques qui maintiennent des informations de santé protégées électroniques afin de permettre l'accès uniquement aux personnes ou aux programmes logiciels qui ont reçu des droits d'accès comme spécifié dans la section 164.308(a)(4).
S.Rule - Part 164, Subpart C, 164.312(a)(2)(iv) Problème adressable - Mettre en œuvre un mécanisme pour chiffrer et déchiffrer les informations de santé protégées électroniques.
NIST Resource Guide - Section 4.14, Activity 8 Problème adressable - Mettre en œuvre des procédures électroniques qui terminent une session électronique après un temps prédéterminé d'inactivité.
S.Rule - Part 164, Subpart C, 164.312(c)(1) Problème possible - Mettre en œuvre des politiques et des procédures pour protéger les informations de santé privées contre une altération ou une destruction inappropriée
S.Rule - Partie 164, Sous-partie C, 164.312(d) Problème possible - Mettre en œuvre des procédures pour vérifier qu'une personne ou une entité cherchant à accéder aux informations de santé privées est bien celle revendiquée
S.Rule - Partie 164, Sous-partie C, 164.312(e)(1) Problème possible - Mettre en œuvre des mesures de sécurité techniques pour se protéger contre l'accès non autorisé aux informations de santé protégées électroniques qui sont transmises sur un réseau de communication électronique.
S.Rule - Partie 164, Sous-partie C, 164.312(e)(2)(ii) Problème à adresser - Mettre en œuvre un mécanisme pour chiffrer les informations de santé privées électroniques chaque fois que cela est jugé approprié