Rapport de conformité des services de santé [US] (HIPAA)
Le rapport de conformité des services de santé [US] (HIPAA) vous aide à évaluer la sécurité de votre application web par rapport à la règle de sécurité de la loi américaine sur la portabilité et la responsabilité de l'assurance maladie (HIPAA).
À propos des réglementations de sécurité et de confidentialité HIPAA
La loi sur la portabilité et la responsabilité de l'assurance maladie (HIPAA) est une loi fédérale américaine promulguée en 1996. Elle est conçue pour protéger la confidentialité et la sécurité des informations de santé des individus et pour améliorer l'efficacité des systèmes de santé.
La loi HIPAA a plusieurs objectifs clés :
- Confidentialité : Protège les droits des patients en contrôlant la manière dont les informations de santé personnelles (PHI) sont utilisées et divulguées.
- Sécurité : Établit des normes pour protéger les informations de santé protégées électroniques (ePHI) contre l'accès, l'altération ou la perte non autorisés.
- Portabilité : Garantit que la couverture d'assurance maladie est maintenue lorsque les individus changent d'emploi ou le perdent.
- Simplification administrative : Standardise les transactions de santé électroniques et le codage pour améliorer l'efficacité et réduire les coûts.
La loi HIPAA comprend plusieurs règles principales :
- Règle de confidentialité (2003) : Définit les informations de santé protégées (PHI), fixe des limites à leur utilisation et à leur divulgation, et accorde aux patients des droits sur leurs dossiers.
- Règle de sécurité (2005) : Exige des garanties administratives, physiques et techniques pour protéger les ePHI. Cela inclut des évaluations des risques et des contrôles d'accès.
- Règle de notification des violations (2009) : Exige la notification aux personnes concernées, au ministère de la Santé et des Services sociaux (HHS), et parfois aux médias en cas de violation de données.
- Règle d'application : Décrit les processus d'enquête et les sanctions en cas de non-conformité, qui peuvent inclure des amendes importantes et d'éventuelles poursuites pénales.
La loi HIPAA a été promulguée le 21 août 1996. Les principales dates limites de conformité incluent :
- Dispositions de confidentialité : 14 avril 2003
- Dispositions de sécurité : 21 avril 2005
- Règle de notification des violations : 23 septembre 2009
Entités couvertes
Les organisations suivantes sont généralement tenues de se conformer à la loi HIPAA :
- Les régimes de santé, les prestataires de soins de santé et les centres de traitement des données de santé.
- Les associés commerciaux, tels que les fournisseurs et les sous-traitants, qui traitent des PHI (par exemple, les fournisseurs de cloud ou les services de facturation).
Rapport de conformité HIPAA AppScan Enterprise
Le rapport de conformité HIPAA d'AppScan Enterprise identifie automatiquement les problèmes potentiels au sein de votre environnement web qui pourraient affecter votre conformité globale avec la règle de sécurité HIPAA. Le rapport fait également référence aux activités connexes décrites dans le guide de ressources NIST pour la mise en œuvre de la règle de sécurité HIPAA.
Terminologie du rapport
- Problème adressable
- Tel qu'il apparaît dans ce rapport, cela signifie qu'une entité couverte doit :
- Évaluer si chaque spécification de mise en œuvre est une mesure de protection raisonnable et appropriée dans son environnement, lorsqu'elle est analysée en référence à la contribution probable à la protection des informations de santé protégées électroniques de l'entité ; et
- Selon le cas pour l'entité :
- Mettre en œuvre la spécification de mise en œuvre si elle est raisonnable et appropriée ; ou
- Si la mise en œuvre de la spécification de mise en œuvre n'est pas raisonnable et appropriée :
- Documenter pourquoi il ne serait pas raisonnable et approprié de mettre en œuvre la spécification de mise en œuvre ; et
- Mettre en œuvre une mesure alternative équivalente si elle est raisonnable et appropriée.
- Problème possible
- Tel qu'il apparaît dans ce rapport, cela signifie que les résultats détectés pourraient impliquer qu'une spécification de mise en œuvre requise n'est pas respectée.
Vulnérabilités du rapport de conformité HIPAA
Le tableau suivant répertorie les exigences spécifiques de la règle de sécurité HIPAA qui sont évaluées. Les vulnérabilités trouvées dans votre application sont mappées à ces sections.
| ID | Nom |
|---|---|
| S.Rule - Partie 164, Sous-partie C, 164.308(a)(3)(i) | Problème adressable - Mettre en œuvre des politiques et des procédures pour garantir que tous les membres de son personnel ont un accès approprié aux informations de santé protégées électroniques, comme prévu par [la norme de gestion de l'accès à l'information], et pour empêcher les membres du personnel qui n'ont pas accès en vertu de [la norme de gestion de l'accès à l'information] d'obtenir un accès aux informations de santé protégées électroniques. |
| S.Rule - Partie 164, Sous-partie C, 164.308(a)(3)(ii)(A) | Problème adressable - Mettre en œuvre des procédures pour l'autorisation et/ou la supervision des membres du personnel qui travaillent avec des informations de santé protégées électroniques ou dans des endroits où elles pourraient être consultées. |
| S.Rule - Partie 164, Sous-partie C, 164.308(a)(4)(i) | Problème possible - Mettre en œuvre des politiques et des procédures pour autoriser l'accès aux informations de santé protégées électroniques qui sont conformes aux exigences applicables de la sous-partie E de cette partie, la règle de confidentialité. |
| S.Rule - Partie 164, Sous-partie C, 164.308(a)(4)(ii)(B) | Problème possible - Mettre en œuvre des politiques et des procédures pour accorder l'accès aux informations de santé protégées électroniques, par exemple, via l'accès à un poste de travail, une transaction, un programme, un processus ou un autre mécanisme. |
| S.Rule - Partie 164, Sous-partie C, 164.308(a)(5)(ii)(D) | Problème adressable - Mettre en œuvre des procédures pour créer, modifier et protéger les mots de passe |
| S.Rule - Partie 164, Sous-partie C, 164.312(a)(1) | Problème possible - Mettre en œuvre des politiques et des procédures techniques pour les systèmes d'information électroniques qui conservent des informations de santé protégées électroniques afin de permettre l'accès uniquement aux personnes ou aux logiciels auxquels des droits d'accès ont été accordés, comme spécifié à la section 164.308(a)(4). |
| S.Rule - Partie 164, Sous-partie C, 164.312(a)(2)(iv) | Problème adressable - Mettre en œuvre un mécanisme pour crypter et décrypter les informations de santé protégées électroniques. |
| Guide de ressources NIST - Section 4.14, Activité 8 | Problème adressable - Mettre en œuvre des procédures électroniques qui terminent une session électronique après une période d'inactivité prédéterminée. |
| S.Rule - Partie 164, Sous-partie C, 164.312(c)(1) | Problème possible - Mettre en œuvre des politiques et des procédures pour protéger les informations de santé privées contre toute altération ou destruction inappropriée |
| S.Rule - Partie 164, Sous-partie C, 164.312(d) | Problème possible - Mettre en œuvre des procédures pour vérifier qu'une personne ou une entité demandant l'accès à des informations de santé privées est bien celle qu'elle prétend être |
| S.Rule - Partie 164, Sous-partie C, 164.312(e)(1) | Problème possible - Mettre en œuvre des mesures de sécurité techniques pour se prémunir contre l'accès non autorisé aux informations de santé protégées électroniques transmises sur un réseau de communications électroniques. |
| S.Rule - Partie 164, Sous-partie C, 164.312(e)(2)(ii) | Problème adressable - Mettre en œuvre un mécanisme pour crypter les informations de santé privées électroniques chaque fois que cela est jugé approprié |