Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Servicios de almacenamiento en la nube más populares compatibles con HIPAA

Servicios de almacenamiento en la nube más populares compatibles con HIPAA

Aug 13, 2020

Las organizaciones de salud deben asegurarse de que los servicios de almacenamiento en la nube cumplan con HIPAA mediante la protección de la información de salud protegida electrónica (ePHI) a través de encriptación, controles de acceso, monitoreo de actividades y Netwrix Data Classification. Proveedores como Microsoft OneDrive, Google Drive, Dropbox Business y Box ofrecen versiones compatibles con HIPAA con Acuerdos de Asociado Comercial, pero el cumplimiento depende de una configuración adecuada, evaluaciones de riesgo y monitoreo continuo por parte de la entidad cubierta.

La computación en la nube ofrece beneficios innegables para almacenar y acceder a registros electrónicos de salud. Los archivos almacenados en la nube están accesibles en cualquier momento y lugar desde cualquier dispositivo, lo que facilita compartir información médica crítica entre los trabajadores de la salud. Pero, ¿es el almacenamiento en la nube lo suficientemente seguro para almacenar, acceder y transferir información personal y médica sensible?

Para clínicas, hospitales y otras organizaciones de salud, garantizar que la información médica de los pacientes permanezca privada no es solo una cuestión ética, sino también legal. La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) proporciona reglas claras sobre el almacenamiento y la compartición de datos médicos. Cualquier organización que maneje registros de salud está obligada a cumplir con la normativa.

Por lo tanto, antes de trasladar datos relacionados con la salud al almacenamiento en la nube, las organizaciones de atención médica deben asegurarse de que el software que planean usar sea HIPAA compliant.

El artículo cubre los almacenamientos compatibles con HIPAA y explica su responsabilidad en hacer que su almacenamiento en la nube cumpla con las normativas:

¿Qué es HIPAA?

HIPAA es un conjunto de normas que establecen los usos y divulgaciones permitidos de la información médica y de salud. Impone restricciones sobre quién puede acceder a la información de salud y cuándo, y también establece estándares para proteger los datos de salud de individuos que no tienen el derecho de verla.

Contenido relacionado seleccionado:

Las disposiciones clave de HIPAA incluyen:

  • Reglas de Privacidad de HIPAA — Regulan cómo puede divulgarse o utilizarse la información de salud de un individuo
  • Reglas de Seguridad HIPAA — Establecen estándares para la protección y seguridad de la información sanitaria creada, procesada, accedida o almacenada electrónicamente
  • La Regla de Notificación de Brechas de HIPAA — Requiere que las organizaciones notifiquen a las personas cuya información personal de salud ha sido expuesta y regula el proceso de notificación
  • La Regla Omnibus de HIPAA — Clarifica definiciones, procedimientos y políticas; proporciona una lista de verificación para Asociados de Negocios; e implementa los requisitos de la Ley de Tecnología de Información para la Salud Económica y Clínica (HITECH)
  • La Regla de Aplicación de HIPAA — Rige las investigaciones después de una violación de datos y establece las sanciones impuestas al responsable

Las entidades de salud deben desarrollar salvaguardias específicas, procedimientos y políticas para cumplir con estas normas.

Tipos de Información Protegida

HIPAA exige la protección de la “información de salud identificable individualmente,” que se define como información sobre:

  • El pasado, presente o futuro estado de salud física o mental de una persona
  • La prestación de atención médica al individuo
  • Pago pasado, presente o futuro por la prestación de servicios de salud al individuo
  • La identidad del individuo o los datos que razonablemente se podrían utilizar para identificar al individuo

Tipos de salvaguardias de seguridad

La Regla de Seguridad HIPAA cubre tres tipos de salvaguardias para la información de salud protegida:

  • Salvaguardias físicas — HIPAA exige el desarrollo de políticas para el uso y la ubicación de estaciones de trabajo y procedimientos para el uso de dispositivos móviles, así como la implementación de controles de acceso a las instalaciones, si corresponde.
  • Salvaguardias técnicas — HIPAA exige la implementación de registros de actividad y controles, así como un medio de control de acceso. El cumplimiento podría requerir mecanismos para autenticar la información y herramientas para el cifrado.
  • Salvaguardias administrativas — HIPAA exige realizar evaluaciones de riesgo, implementar políticas de gestión de riesgos, desarrollar un plan de contingencia y restringir el acceso de terceros a la información.

Contenido relacionado seleccionado:

Términos clave de HIPAA

Aquí están los términos más importantes utilizados en HIPAA:

  • PHI: Información de salud protegida
  • ePHI: Información de salud protegida que se almacena o transmite electrónicamente
  • Entidad cubierta — Un proveedor de servicios de salud, un proveedor de planes de salud (como una aseguradora o empleador) o una cámara de compensación de atención médica
  • Asociado de negocios — Una persona o empresa que proporciona un servicio o realiza una función o actividad específica para una entidad cubierta
  • Acuerdo de Asociado Comercial — Un contrato legal que establece qué información de salud protegida (PHI) puede acceder el asociado comercial, cómo se debe utilizar la PHI y los requisitos para devolver o destruir la PHI una vez que se completa la tarea para la cual se necesita. Una entidad cubierta debe obtener un Acuerdo de Asociado Comercial antes de permitir que un asociado comercial acceda

Cumplimiento de HIPAA y almacenamiento en la nube

Ningún servidor en la nube cumple con HIPAA de manera inmediata, pero existen métodos por los cuales los expertos en TI pueden intervenir y hacer que la nube sea conforme a las necesidades de las entidades cubiertas.

Las organizaciones deben tener en cuenta que no existe una certificación oficial de HIPAA o HITECH, y ningún gobierno o industria certifica la HIPAA compliance para servicios en la nube. Eso significa que depende de la entidad cubierta y del proveedor de servicios en la nube asegurar el cumplimiento de los requisitos de la ley. El servicio en la nube debe revisar las regulaciones de HIPAA y posiblemente actualizar sus productos, políticas y procedimientos para apoyar los objetivos de cumplimiento de HIPAA de la entidad cubierta.

¿Cómo se aplica la HIPAA al almacenamiento en la nube?

Cuando una entidad cubierta almacena PHI en la nube, el servicio de almacenamiento en la nube es considerado por ley como un asociado comercial de la entidad cubierta. Para cumplir con HIPAA, por lo tanto, debe existir un Acuerdo de Asociado Comercial. Dicho acuerdo necesita establecer que el proveedor de servicios en la nube deberá:

  • Asegure los datos transmitidos a la nube
  • Almacene los datos de forma segura
  • Proporcionar un sistema que permita un control cuidadoso del acceso a los datos
  • Registre los registros de toda actividad, incluyendo tanto los intentos de acceso exitosos como los fallidos

Un almacenamiento en la nube compatible con HIPAA incorpora todos los controles necesarios para garantizar la confidencialidad, integridad y disponibilidad de la ePHI. La entidad cubierta es responsable de desarrollar políticas y procedimientos que cubran el uso de almacenamiento en la nube seguro HIPAA para esta información.

¿Qué servicios en la nube no se consideran compatibles con HIPAA?

Algunos servicios en la nube no pueden cumplir con HIPAA por diversas razones. Apple y iCloud, por ejemplo, no pueden cumplir con HIPAA porque no ofrecen un BAA para las entidades cubiertas.

Otros servicios no logran proporcionar capacidades de seguridad integradas esenciales, como Netwrix Data Classification, y por lo tanto no pueden utilizarse para almacenar ePHI.

¿Por qué es esencial la clasificación de datos?

La clasificación de datos es necesaria para inventariar ePHI y agruparlo según el nivel de sensibilidad, de modo que la organización pueda garantizar su confidencialidad, integridad y disponibilidad como lo exige la Norma de Seguridad HIPAA. Al distinguir entre datos regulados y no regulados, la clasificación permite a las organizaciones:

  • Priorice los controles de seguridad
  • Proteja los activos críticos
  • Mejore la gestión de riesgos ayudando a evaluar el valor de los datos y el impacto de la pérdida, mal uso o compromiso de los datos
  • Agilice el descubrimiento legal
  • Mejore la productividad del usuario

Los datos protegidos por HIPAA generalmente siguen un esquema de clasificación de datos de tres niveles:

  • Datos restringidos o confidenciales— Información que podría causar un daño significativo si se divulga, altera o destruye. Estos datos requieren el nivel más alto de seguridad mediante el acceso controlado de acuerdo con el principio de menor privilegio.
  • Datos internos — Información cuya divulgación, alteración o destrucción puede causar daños moderados o de bajo nivel. Estos datos no se hacen públicos y requieren security controls.
  • Datos públicos — Los datos públicos no necesitan protección contra el acceso no autorizado, pero aún requieren protección contra la alteración o destrucción no autorizadas.

¿Cómo afecta la Regla de Privacidad HIPAA a los servicios en la nube?

La Regla de Privacidad de HIPAA exige a las entidades cubiertas y asociados comerciales establecer la integridad del ePHI y protegerlo contra la destrucción o alteración no autorizadas. Las organizaciones deben identificar dónde se almacena, recibe, mantiene y transmite el ePHI. Esa tarea requiere un cuidado especial en el caso de los servicios de almacenamiento en la nube.

La opción más segura al usar almacenamiento en la nube para ePHI es utilizar un servicio que sea conocido por ser compatible con los requisitos de HIPAA y HITECH.

Los servicios de almacenamiento en la nube más populares que soportan HIPAA y HITECH

Existen varios servicios populares de almacenamiento en la nube que soportan HIPAA y la Ley HITECH.

Tenga en cuenta que no todas las versiones de estos servicios cumplirán con las normativas — generalmente solo una versión o licencia en particular admite el uso conforme a HIPAA. Sin embargo, todas las siguientes plataformas tienen al menos una versión con las capacidades de seguridad adecuadas para cumplir con los requisitos, y todas están dispuestas a firmar un Acuerdo de Asociado de Negocios.

1. Dropbox Business

Dropbox Business ofrece un BAA para entidades cubiertas y puede configurarse para ofrecer almacenamiento en la nube compatible con HIPAA. El servicio proporciona una variedad de controles administrativos, incluyendo la revisión del acceso de usuarios y informes de actividad de usuarios. También permite la revisión y eliminación de dispositivos vinculados y habilita la autenticación en dos pasos para una seguridad adicional.

2. G Suite y Google Drive

Google ofrece un BAA como anexo al contrato estándar de G Suite. Aunque no todos los productos de G Suite pueden hacerse compatibles con HIPAA, varias aplicaciones útiles de Google cumplen con los requisitos legales para el almacenamiento y el intercambio de ePHI.

Google Drive y aplicaciones relacionadas como Docs, Sheets, Slide y Forms pueden configurarse para cumplir con HIPAA, al igual que servicios como Gmail y Calendar. Sin embargo, Google Contacts, así como sitios no principales de Google como YouTube y Blogger, no pueden ser compatibles con HIPAA y por lo tanto no pueden incluirse en un BAA.

3. Microsoft OneDrive y E5

Los Términos de Servicio en Línea de Microsoft proporcionan automáticamente un Acuerdo de Asociado de Negocios. El acuerdo está disponible para OneDrive for Business, Azure, Azure Government, Cloud App Security y Office 365, entre otros. Los servicios cubiertos incluyen correo electrónico, almacenamiento de archivos y calendarios. Microsoft también ofrece herramientas de data loss prevention.

La licencia Enterprise E5 de Microsoft ofrece las características de seguridad más robustas disponibles de la compañía. El paquete también incluye gestión de seguridad avanzada para evaluar riesgos.

4. Box Enterprise y Elite

Box las cuentas Enterprise y Elite incluyen monitoreo de acceso, informes y registros de auditoría para usuarios y contenido. El servicio también proporciona permisos o autorizaciones granulares. Box puede compartir datos de manera segura a través de un protocolo de mensajería directa y permite la visualización segura de archivos DICOM, incluyendo radiografías, escáneres CT y ultrasonidos.

Funciones de seguridad esenciales para el cumplimiento de HIPAA

HIPAA requiere una serie de características de seguridad de los servicios que trabajan con entidades cubiertas. Los servicios de almacenamiento en la nube mencionados permiten una combinación de las siguientes configuraciones de seguridad:

  • Un almacenamiento en la nube compatible con HIPAA debe ofrecer autenticación de dos pasos o inicio de sesión único y cifrado de ePHI transferido.
  • Todos los dispositivos utilizados para acceder o enviar ePHI deben ser capaces de encrypt los mensajes para ser enviados fuera del firewall y decrypt los mensajes recibidos. Toda encriptación debe cumplir con los estándares NIST.
  • Configuración de permisos para compartir archivos permite a las entidades cubiertas implementar un sistema basado en permisos que limita el acceso de usuarios no autorizados. Los controles deben configurarse correctamente para ser efectivos, incluyendo la autenticación de dos pasos, contraseñas seguras y procedimientos seguros de compartición de archivos para proteger los datos de accesos no autorizados.
  • El monitoreo de la actividad de las cuentas requiere que revise los registros de acceso regularmente para asegurarse de poder detectar actividades inapropiadas de manera oportuna. Soluciones como Netwrix Auditor le ayudan a obtener visibilidad de las actividades empresariales en la nube. Netwrix Auditor informa tanto sobre eventos de acceso como sobre cambios, incluyendo cambios en el contenido, configuraciones de seguridad y configuraciones de buzones.
  • La clasificación de datos es esencial para agrupar y proteger la información basada en el nivel de sensibilidad. Netwrix Data Classification proporciona taxonomías predefinidas que son fáciles de personalizar, clasifica los datos con precisión y automatiza flujos de trabajo críticos para mejorar la seguridad de los datos.
  • Un servicio de almacenamiento en la nube no puede considerarse conforme con HIPAA a menos que configures correctamente los controles de seguridad y monitor activity relacionada con los datos almacenados en el sistema. Para garantizar que el servicio de almacenamiento en la nube de tu organización siga cumpliendo con la normativa, asegúrate de perform risk assessments de forma regular y de desarrollar políticas y procedimientos de ciberseguridad estrictos.

Puntos clave

Usar un proveedor de nube de confianza es crítico pero no garantiza un almacenamiento en la nube conforme. Incluso cuando un servicio en la nube firma un Acuerdo de Asociado Comercial y ofrece controles de seguridad administrativos, cifrado y otras herramientas de seguridad, eso no hace que su organización cumpla automáticamente con HIPAA.

Para asegurarse de que sus servicios de almacenamiento en la nube cumplen con HIPAA, asegúrese de:

  • Configure correctamente los ajustes
  • Verifique el acceso de aplicaciones de terceros a la nube
  • Utilice herramientas especializadas para auditorías de registros y garantizar la seguridad y privacidad de los archivos

Las organizaciones de salud y los pacientes por igual confían en protocolos de ciberseguridad robustos para mantener la ePHI a salvo de daños, destrucción, alteración y acceso no autorizado. Utilizar uno de estos servicios puede ayudar a mantener sus datos seguros y a su organización de atención médica en cumplimiento con la ley.

Preguntas frecuentes

¿Qué características de seguridad hacen que el almacenamiento en la nube cumpla con HIPAA?

Los servicios de almacenamiento en la nube compatibles con HIPAA ofrecen todos:

  • Clasificación de datos
  • Restricciones de permisos para acceso y compartición de archivos
  • Cifrado y descifrado de datos
  • Autenticación de dos pasos o inicio de sesión único
  • Registros de actividad y controles de auditoría para registrar intentos de acceso y registrar lo que se hace con los datos una vez accedidos

¿Cuál es el propósito de un Acuerdo de Asociado de Negocios (BAA)?

Antes de que una entidad cubierta pueda usar un servicio de almacenamiento en la nube, debe firmar un acuerdo BAA con el servicio. Este acuerdo:

  • Especifica qué PHI puede acceder el asociado de negocios
  • Indica cómo se puede utilizar la PHI
  • Establece cómo se devolverá o destruirá la PHI una vez que se complete la tarea para la cual se necesitaba

¿Tener un BAA garantiza el cumplimiento de mi organización con HIPAA y la Ley HITECH?

No. Depende de usted, la entidad de salud, establecer las configuraciones apropiadas, crear las políticas necesarias y realizar la debida diligencia para lograr y mantener HIPAA compliance.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Dirk Schrader

Vicepresidente de Investigación de Seguridad

Dirk Schrader es un Resident CISO (EMEA) y VP de Security Research en Netwrix. Con 25 años de experiencia en seguridad informática y certificaciones como CISSP (ISC²) y CISM (ISACA), trabaja para promover la ciberresiliencia como un enfoque moderno para enfrentar las amenazas cibernéticas. Dirk ha trabajado en proyectos de ciberseguridad en todo el mundo, comenzando en roles técnicos y de soporte al inicio de su carrera y luego pasando a posiciones de ventas, marketing y gestión de productos tanto en grandes corporaciones multinacionales como en pequeñas startups. Ha publicado numerosos artículos sobre la necesidad de abordar la gestión de cambios y vulnerabilidades para lograr la ciberresiliencia.

Aprende más sobre este tema

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad