Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Lista de verificación de cumplimiento de HIPAA: Cómo cumplir con HIPAA en 2024

Lista de verificación de cumplimiento de HIPAA: Cómo cumplir con HIPAA en 2024

Nov 19, 2020

La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), según enmendada por la Ley de Tecnología de Información de Salud para la Economía y la Salud Clínica (HITECH), está diseñada para mantener la información médica y los registros de salud de los individuos protegidos. Al lograr y mantener la HIPAA compliance, las organizaciones de atención médica pueden proteger la información de salud sensible de los pacientes mientras mitigan los riesgos de violaciones de datos y sanciones legales.

Este artículo detalla los requisitos clave de HIPAA y HITECH y proporciona recursos importantes para que pueda asegurarse de que su negocio cumpla con HIPAA y evitar aparecer en los titulares de data breach.

¿Qué es el cumplimiento de HIPAA?

El cumplimiento de HIPAA se refiere a cumplir con las regulaciones establecidas en la Ley de Portabilidad y Responsabilidad de Seguros de Salud para garantizar la privacidad, seguridad e integridad de la información de salud protegida (PHI) de los individuos.

Las organizaciones que deben cumplir con HIPAA incluyen proveedores de atención médica, planes de salud y centros de compensación de atención médica, así como sus asociados comerciales. Las entidades cubiertas por HIPAA deben garantizar la privacidad y la seguridad de los datos de la información de salud protegida. Ejemplos de PHI incluyen:

  • Nombres de individuos
  • Fotos de rostro completo e imágenes comparables
  • Identificadores biométricos
  • Direcciones de correo electrónico
  • Números de teléfono
  • Números de fax
  • Datos geográficos
  • Números de Seguridad Social
  • Números de historias clínicas
  • Números de cuenta
  • Números de beneficiario del plan de salud
  • Números de certificados y licencias
  • Identificadores de vehículos y números de serie
  • Identificadores de dispositivos y números de serie
  • Fechas, excepto el año
  • Direcciones IP
  • URLs web
  • Cualquier número o código identificador único

¿Qué es HITECH?

La Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica (HITECH) mejora las regulaciones de HIPAA al incentivar a los proveedores a digitalizar los registros médicos y de salud. La ley penaliza los fallos en el uso de registros de salud electrónicos de manera significativa y tiene como objetivo fomentar el uso a nivel nacional de datos de salud electrónicos confiables, interoperables y seguros.

¿Qué son las reglas y controles de HIPAA?

Las reglas de HIPAA incluyen:

  • Regla de Privacidad HIPAA
  • Regla de Seguridad HIPAA
  • Regla de Notificación de Brecha HIPAA
  • Regla de Aplicación de HIPAA
  • Regla Omnibus HIPAA

Los controles de HIPAA son políticas, procedimientos y otras medidas que las entidades cubiertas por HIPAA necesitan implementar para proteger la PHI y cumplir con las normas de HIPAA, como se detalla a continuación.

Regla de Privacidad HIPAA

La HIPAA Privacy Rule describe un conjunto de normas que regulan cómo se puede utilizar y divulgar la PHI. Esta regla tiene como objetivo imponer pautas estrictas que rijan el manejo de datos de salud sensibles, fomentando la confidencialidad y privacidad del paciente dentro de los sistemas de atención médica.

Aquí están los controles de HIPAA para los requisitos de la Regla de Privacidad:

  1. Políticas y procedimientos de privacidad: Las entidades cubiertas deben desarrollar y promulgar un conjunto de políticas y procedimientos para garantizar la privacidad de la PHI.

Contenido relacionado seleccionado:

  1. Personal: Las entidades cubiertas por HIPPA deben:
  • Designe un oficial de privacidad responsable del desarrollo y la administración de las prácticas y recursos de privacidad de la entidad.
  • Establezca un punto de contacto responsable de recibir quejas e informar a las personas sobre las prácticas de privacidad de la entidad.
  1. Capacitación y gestión de la fuerza laboral: Las entidades cubiertas deben capacitar a todos los miembros de la fuerza laboral en prácticas de privacidad para que puedan administrar sus funciones en cumplimiento con la Regla de Privacidad.
  2. Mitigación: Las entidades cubiertas deben mitigar cualquier efecto perjudicial causado por el uso o divulgación de PHI que viole las políticas de privacidad o la Norma de Privacidad HIPAA.
  3. Salvaguardias de datos: Las entidades cubiertas deben establecer y mantener salvaguardias administrativas, técnicas y físicas para prevenir tanto violaciones malintencionadas como no intencionales de la PHI.
  4. Quejas: Las entidades cubiertas deben establecer canales a través de los cuales las personas puedan presentar quejas sobre el cumplimiento de la privacidad.
  5. Represalias y renuncia: Una entidad cubierta por HIPAA no puede tomar represalias contra un individuo por:
  • Ejerciendo sus derechos según lo estipulado por la Regla de Privacidad de HIPAA
  • Ayudando en una investigación realizada por HHS u otras autoridades relevantes
  • Negándose a participar en cualquier acto que se crea que viola la Regla de Privacidad de HIPAA
  1. Documentación y retención de registros: Una entidad cubierta debe mantener toda la documentación creada con el propósito de cumplir con las regulaciones de la Regla de Privacidad (políticas y procedimientos de privacidad, registros de quejas, avisos de prácticas de privacidad, etc.) por lo menos seis años después de la creación o última fecha efectiva.
  2. Excepción: Los planes de salud grupales completamente asegurados están obligados a cumplir solo con los requisitos (7) y (8).

Regla de Seguridad HIPAA

La HIPAA Security Rule establece pautas que protegen la integridad de los registros de salud electrónicos (EHR) y garantizan que permanezcan confidenciales y disponibles.

El Instituto Nacional de Estándares y Tecnología (NIST) tiene un conjunto de pautas establecidas para ayudar a las organizaciones a desarrollar prácticas de seguridad que cumplan con la Regla de Seguridad HIPAA. También pueden utilizar el CIA Triad, donde “CIA” representa estos tres componentes:

  • Confidencialidad: Asegúrese de que la ePHI no esté disponible ni sea divulgada a personas o procesos no autorizados.
  • Integridad: Asegúrese de que el ePHI no se altere o destruya de manera no autorizada
  • Availability: Ensure ePHI is accessible and usable on demand by authorized persons.

Los requisitos de la Regla de Seguridad HIPAA incluyen los siguientes tipos de controles para datos sensibles:

  • Salvaguardias técnicas: Controles de acceso, controles de auditoría, controles de integridad, autenticación de persona/entidad, seguridad de transmisión
  • Salvaguardias físicas: controles de acceso a las instalaciones, uso de estaciones de trabajo, seguridad de estaciones de trabajo, controles de dispositivos y medios
  • Salvaguardias administrativas: Proceso de gestión de seguridad, responsabilidad asignada de seguridad, seguridad de la fuerza laboral, gestión de acceso a la información, conciencia y capacitación en seguridad, procedimientos ante incidentes de seguridad, planes de contingencia, evaluación, planes de asociados comerciales y otros procedimientos

Las organizaciones a menudo distinguen entre salvaguardias “obligatorias” y “tratables”:

  • Se deben seguir las salvaguardias requeridas al pie de la letra; no hay margen para interpretación.
  • Addressable requirements afford organizations some flexibility to account for unique infrastructural or technical limitations.

Regla de Notificación de Brecha HIPAA

The HIPAA Breach Notification Rule requires covered entities to notify certain parties when they suffer a breach of PHI. Specifically, the HIPAA Breach Notification Rule requires:

  • Aviso individual: Las entidades cubiertas deben notificar a los individuos afectados al descubrir una violación de PHI.
  • Aviso a los medios: Si se descubre que una brecha ha afectado a más de 500 residentes de un estado o jurisdicción, las entidades cubiertas responsables deben notificar a los principales medios de comunicación que sirven al estado o jurisdicción.
  • Aviso al Secretario: Las entidades cubiertas deben notificar al Secretario al descubrir una violación de PHI.

Es posible que las entidades demuestren su debida diligencia y muestren una baja probabilidad de compromiso de PHI basándose en procedimientos adecuados de evaluación de riesgos.

Contenido relacionado seleccionado:

Regla de Aplicación de HIPAA

La Regla de Aplicación de HIPAA establece estándares sobre cómo investigar violaciones de datos y describe una estructura de penalizaciones para las partes responsables.

Regla Omnibus HIPAA

La Regla Omnibus HIPAA:

  • Establece una estructura de penalizaciones escalonada como lo requiere HITECH
  • Introduce cambios en el umbral de daño e incluye la regla final sobre la Notificación de Brecha para ePHI no asegurada bajo la Ley HITECH
  • Modifica la HIPAA para incluir disposiciones de la Genetic Information Nondiscrimination Act (GINA), que prohíbe la divulgación de información genética con fines de suscripción
  • Previene el uso de PHI e identificadores personales con fines de marketing

Los requisitos de la Regla Omnibus de HIPAA incluyen lo siguiente:

  • Nuevos Acuerdos de Asociado de Negocios (BAAs): Antes de emplear los servicios de un asociado de negocios, las entidades deben firmar un nuevo BAA conforme a HIPAA
  • Actualizaciones del Acuerdo de Asociado Comercial: Los Acuerdos de Asociado Comercial existentes deben actualizarse para cumplir con la Regla Omnibus.
  • Actualizaciones de la política de privacidad: Las políticas de privacidad deben actualizarse para cumplir con los cambios de la Regla Omnibus.
  • Aviso actualizado de Prácticas de Privacidad (NPP): Los NPP deben actualizarse para cubrir la información requerida por la Regla Omnibus.
  • Capacitación actualizada del personal sobre HIPAA: Se debe proporcionar y documentar la capacitación del personal sobre las enmiendas de la Regla Omnibus y los cambios de definición.

Lista de verificación de HIPAA

Utilice la siguiente lista de verificación para ayudar a su organización a garantizar el cumplimiento de HIPAA.

1) Auditorías y Evaluaciones

Realice periódicamente una auditoría interna de HIPAA, evaluación de seguridad y auditoría de privacidad para apoyar la seguridad de datos:

  • Determine cuáles de las auditorías y evaluaciones anuales requeridas por HIPAA son aplicables a su organización, de acuerdo con la Regla HIPAA SP 800-66, Revisión 1, utilizando las pautas de NIST.
  • Realice las auditorías y evaluaciones requeridas, analice y comprenda los resultados y documente cualquier problema o deficiencia.
  • Cree y documente planes de remediación exhaustivos para abordar esos problemas y deficiencias.
  • Ponga en marcha los planes, revise los resultados y actualice el plan si no se lograron los resultados deseados.

Contenido relacionado seleccionado:

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Mike Tierney

Exvicepresidente de Éxito del Cliente

Exvicepresidente de Éxito del Cliente en Netwrix. Cuenta con una trayectoria diversa construida a lo largo de 20 años en la industria del software, habiendo ocupado los cargos de CEO, COO y VP de Gestión de Productos en varias empresas enfocadas en seguridad, cumplimiento y en aumentar la productividad de los equipos de TI.

Aprende más sobre este tema

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad