¿Es mejor crear una infraestructura de nube compatible con HIPAA nosotros mismos?

Mucho depende del nivel de habilidad y experiencia de su equipo en cuanto a cumplimiento y seguridad. Tienes varias opciones:

AWS / Google Cloud / Azure: si crea directamente en uno de estos proveedores de alojamiento, se beneficiará de sus protecciones físicas (un componente del cumplimiento de HIPAA), pero nada más. Deberá asegurarse de configurar su sistema para encriptar los sistemas de archivos de manera adecuada, usar TLS (terminado en su servidor, no el ELB) y muchas otras tareas de seguridad operativa que estas plataformas de nube de bajo nivel no pueden hacer por usted. Si su equipo no tiene experiencia en la ejecución de servicios seguros / compatibles en AWS (o Google o Azure), esto podría ser mucho trabajo. También es muy fácil equivocarse sin saberlo, por lo que es importante contar con un experto en el personal.

Alojamiento de contenedores: puede usar un proveedor como Catalyze o Aptible. Estas compañías descargarán algunas de las tareas operativas que deben completarse en torno al cifrado y la seguridad de la red. Le dan una ventaja sobre AWS sin formato (o Google o Azure). Sin embargo, no lo hacen seguro o conforme automáticamente, lo cual es importante entender.

Para ser seguro y compatible, debe hacer mucho trabajo en su capa de aplicación. Estos proveedores de alojamiento de contenedores no pueden ayudarlo con esto, porque tratan su aplicación como una caja negra que ejecutan para usted. Esto te deja mucha responsabilidad. Si no tiene una respuesta segura a estas preguntas, debería generar una señal de alerta sobre la descarga del cumplimiento o la seguridad a un proveedor de alojamiento:

  • ¿Audita el registro de cada operación? ¿Se atribuyen esos registros al actor autorizado que realizó la operación?
  • ¿Los registros de auditoría o los registros de su aplicación contienen PHI? Si es así, ¿se registra el acceso a esos registros en su registro de auditoría? ¿Se almacenan esos registros de forma segura?
  • ¿Cómo encriptas tus datos? ¿Cómo se gestionan sus claves de cifrado? ¿En qué horario se rotan?
  • ¿Maneja la autenticación correctamente? ¿Se almacenan sus contraseñas de forma segura? ¿Eres susceptible a los ataques de tiempo?
  • ¿Están todas sus dependencias actualizadas? ¿Hay alguna vulnerabilidad conocida en alguna de sus dependencias? ¿Podrá actualizar todos sus servidores a los pocos minutos de una vulnerabilidad descubierta? Esto incluye los paquetes de sistemas operativos, así como las bibliotecas que extrae en la pila de aplicaciones. La gestión de estos puede ser un trabajo a tiempo completo.
  • ¿Cómo te recuperas de los desastres? ¿Cuál es su historia sobre redundancia y copias de seguridad? Si su almacén de datos primario se ve comprometido, ¿sus copias de seguridad también serán susceptibles de comprometerse?

No todas estas son consecuencias directas de HIPAA. Muchos de ellos caen bajo el paraguas más amplio de la seguridad. Lo más probable es que si usted está en el espacio de la atención médica, todos serán importantes para usted. Si se asocia con organizaciones grandes o tiene clientes grandes, se someterá a auditorías de seguridad que son mucho más exigentes que HIPAA.

Esto puede ser mucho para administrar, y es por eso que (enchufe descarado) creamos TrueVault. TrueVault almacenará todos sus datos confidenciales de forma segura y compatible. Puede servir como el único backend para algunas aplicaciones, o puede usarse junto con un backend no compatible si almacena toda la PII en TrueVault. Consulte nuestra publicación sobre desidentificación de datos (https://www.truevault.com/blog/d…) para obtener más detalles sobre cómo funciona.

Related Content

Cómo administrar archivos de iCloud

¿Qué tecnología en la nube puedo aprender como administrador de Unix para obtener mejores oportunidades?

¿Cuáles son los 3 principales proveedores de servicios de CDN o Cloud más seguros (un poco Cloud Fort-Knox)

¿Cuál es la mejor manera de construir una infraestructura de aplicaciones que sea lo suficientemente fuerte como para escalar a más de 1 000 millones de páginas vistas / día?

¿Cuáles son las tecnologías habilitadoras para Cloud Computing?

Se me pidió que respondiera desde el punto de vista de Datica (anteriormente Catalyze.io) sobre el cumplimiento, ya que fuimos mencionados en la pregunta.

Al más alto nivel, los controles de HIPAA centrados en la infraestructura se asignan a estos temas generales:

1. Salvaguardas físicas para asegurarse de que nadie entre en el centro de datos.
2. Una cierta forma de administrar el firewall.
3. Cifrado de datos en tránsito y en reposo.
4. Registro de datos de la aplicación de manera compatible, ya que podría haber PHI en los registros.
5. Escaneo de vulnerabilidades.
6. Detección de intrusos.
7. Procedimientos de recuperación de desastres.
8. Copias de seguridad a una determinada cadencia, y alojadas en una determinada forma de queja.
9. Particionamiento de ciertos componentes de la pila tecnológica para que un sistema no autorizado no pueda acceder a otro.
10. Y una combinación de políticas de nivel administrativo que restringen y administran el acceso humano no autorizado a varios niveles de la pila.

El primer paso de una estrategia de infraestructura sólida es diseñar un plan sobre cómo satisfará cada uno de estos temas generales en general, y cada uno de los controles de HIPAA específicamente. Si desea una mejor comprensión de HIPAA, nuestra guía gratuita está disponible aquí: Cumplimiento de Datica HIPAA

El uso de AWS, Azure, Heroku u otros proveedores de infraestructura es estándar cuando la PHI no está involucrada. Pero una vez que comience a administrar la PHI, sepa que ninguno de esos proveedores satisfará todos los controles requeridos y que está en sus hombros llenar el vacío. Esto también significa que es su riesgo ser propietario frente a diferir el riesgo a otro socio o proveedor a través de un Acuerdo de Asociado Comercial.

Por ejemplo, AWS y Azure satisfacen aproximadamente la décima parte de lo que debe hacer para cumplir, básicamente las salvaguardas físicas y el firewall. Es lo que describen en sus BAAs; no se comprometerán a asumir más riesgos que eso.

Datica como compañía satisface los otros 9/10. Para una mejor comprensión de cómo lo hacemos, estas son nuestras asignaciones completas de HIPAA abiertas al público: Cumplimiento de Datica HIPAA

Para responder a su pregunta directa, todo se reduce a un cálculo de riesgo: cumplimiento versus financiero. Si tiene los medios financieros para utilizar un socio como Datica, puede emplear sus recursos de ingeniería en su producto en lugar de reinventar la rueda. Sin embargo, si ser propietario de la infraestructura y el riesgo en la pila completa es importante, entonces definitivamente puede hacerlo por su cuenta en AWS / Azure. También tenga en cuenta que somos la única plataforma auditada y certificada HITRUST CSF, lo que es muy importante si planea vender en hospitales. Todas las otras opciones mencionadas, incluida la creación de su propia opción, lo que significa que también necesitaría auditarla, no son auditadas y dependen de usted para realizar su propia auditoría a su propio costo.

Si alguien tiene alguna otra pregunta, no dude en enviarme un correo electrónico a [correo electrónico protegido] .

Kris Gösser

Apto es asombroso. A menos que tenga un conocimiento profundo de cómo funciona AWS e HIPAA, prepárese para pasar mucho tiempo tratando de replicar los servicios que ofrece Aptible. Como usted menciona que está trabajando en una aplicación, concéntrese en la aplicación y desarrolle su negocio en lugar de crear un equipo devops y administrar una pila de AWS.

Hablo por experiencia porque nuestra aplicación se volvió demasiado compleja para PaaS (aunque todavía amamos a Aptible), y nos sorprendió todos los problemas que Aptible ya nos había resuelto en su plataforma. ¡AWS HIPAA no es tan fácil como podría pensar de ese documento técnico de cumplimiento!

Plug desvergonzado: el mismo principio se aplica a la integración de EHR para su aplicación, así que visítenos en The Modern API for Healthcare Integration | Redox

George Waterstraat

Todo depende de tus necesidades. Hay aspectos de HIPAA, como el requisito de copia de seguridad, que no pueden satisfacerse completamente con una nube interna y / o tercerización, sino solo mediante una combinación de los dos. Si algún aspecto de su sistema está en Internet público, a diferencia de una VPN entre su instalación y el proveedor de la nube, deberá asegurarse de cosas como el cifrado de extremo a extremo. Esto no es posible garantizarlo dentro de un marco de nube único.

Cabe señalar que es poco probable que cualquier aplicación que realice para un proveedor de nube compatible con HIPAA sea portátil a otro proveedor debido al bloqueo del proveedor y al hecho de que no hay sistemas de código abierto o estandarizados, compatibles con HIPAA / PaaS, aunque estos sistemas son la base de la computación en la nube.

Kris Gösser

More Interesting

Servidores privados virtuales: ¿Cuál es el mejor alojamiento VPS que también proporciona alojamiento de correo electrónico?

¿Qué es el almacenamiento en la nube? ¿Cuál es la diferencia entre el servidor web y el almacenamiento en la nube?

¿Amazon tiene algún instituto de capacitación autorizado para AWS en India?

¿Cuáles son las herramientas de garantía de servicio en Servicios gestionados?

¿Cuál es la mejor plataforma para desarrollar API REST (Java - DropWizard, Python Flask, Node.js y Express) y luego vender la API por llamada?

¿Cuál es la definición de "100% seguro" cuando se habla de aplicaciones en la nube que almacenan datos comerciales patentados?

¿Cómo la popular adaptación de tabletas y teléfonos inteligentes condujo a la computación en la nube?

¿Qué servicio de alojamiento usó Jumia?

¿En qué se diferencia Amazon Web Services (AWS) de otros servidores web como GoDaddy y 1 & 1?

¿Qué servidores en la nube deberían usarse para una aplicación que sirva tanto a los usuarios en los Estados Unidos como a China continental?

¿Cuánto cuesta construir un servidor en la nube con 20 TB?

¿Qué es la virtualización y qué papel juega la virtualización en AWS?

¿Cuál es la aplicación en tiempo real del almacenamiento en la nube?

¿Hay algún buen consejo para administrar varias cuentas de almacenamiento en la nube para uso personal, a diferencia de las aplicaciones empresariales?

¿Cuáles son los mejores y rentables hosting en la nube?