Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
Lista di controllo per la conformità HIPAA: Come essere conformi alla HIPAA nel 2024

Lista di controllo per la conformità HIPAA: Come essere conformi alla HIPAA nel 2024

Nov 19, 2020

Il Health Insurance Portability and Accountability Act (HIPAA), come modificato dal Health Information Technology for Economic and Clinical Health (HITECH) Act, è stato progettato per proteggere le informazioni mediche e i record sanitari degli individui. Ottenendo e mantenendo la conformità a HIPAA compliance, le organizzazioni sanitarie possono tutelare le informazioni sanitarie sensibili dei pazienti riducendo al contempo i rischi di violazioni dei dati e sanzioni legali.

Questo articolo dettaglia i requisiti fondamentali HIPAA e HITECH e fornisce risorse importanti in modo che tu possa assicurarti che la tua azienda sia conforme a HIPAA ed evitare di finire nelle rubriche di data breach.

Cos'è la conformità HIPAA?

La conformità HIPAA si riferisce al rispetto delle normative stabilite nel Health Insurance Portability and Accountability Act per garantire la privacy, la sicurezza e l'integrità delle informazioni sanitarie protette (PHI) degli individui.

Le organizzazioni che devono conformarsi all'HIPAA includono fornitori di assistenza sanitaria, piani sanitari e centri di elaborazione dati sanitari, così come i loro associati commerciali. Le entità coperte da HIPAA devono garantire la privacy e la data security delle protected health information. Esempi di PHI includono:

  • Nomi degli individui
  • Foto del viso intero e immagini comparabili
  • Identificatori biometrici
  • Indirizzi email
  • Numeri di telefono
  • Numeri FAX
  • Dati geografici
  • Numeri di previdenza sociale
  • Numeri di cartella clinica
  • Numeri di conto
  • Numeri dei beneficiari del piano sanitario
  • Numeri di certificati e licenze
  • Identificativi del veicolo e numeri di serie
  • Identificatori di dispositivo e numeri di serie
  • Date, eccetto l'anno
  • Indirizzi IP
  • URL web
  • Qualsiasi numero o codice identificativo unico

Cos'è HITECH?

La legge Health Information Technology for Economic and Clinical Health (HITECH) potenzia i regolamenti HIPAA incentivando i fornitori a digitalizzare i registri medici e sanitari. La legge penalizza i mancati utilizzi di registri sanitari elettronici in modi significativi e mira a incoraggiare l'uso su scala nazionale di dati elettronici sanitari affidabili, interoperabili e sicuri.

Quali sono le regole e i controlli HIPAA?

Le regole HIPAA includono:

  • Regola sulla Privacy HIPAA
  • Regola sulla sicurezza HIPAA
  • Regola di Notifica di Violazione HIPAA
  • Regola di applicazione HIPAA
  • Regola Omnibus HIPAA

I controlli HIPAA sono politiche, procedure e altre misure che le entità coperte da HIPAA devono implementare per proteggere le PHI e conformarsi alle regole HIPAA, come dettagliato di seguito.

Regola sulla Privacy HIPAA

La HIPAA Privacy Rule descrive un insieme di standard che regolano come le PHI possono essere utilizzate e divulgate. Questa norma mira a far rispettare linee guida rigorose che governano la gestione dei dati sanitari sensibili, promuovendo la riservatezza e la privacy dei pazienti all'interno dei sistemi sanitari.

Ecco i controlli HIPAA per i requisiti della Privacy Rule:

  1. Politiche e procedure sulla privacy: Le entità coperte devono sviluppare e attuare un insieme di politiche e procedure per garantire la privacy delle PHI.

Contenuti correlati selezionati:

  1. Personale: le entità coperte da HIPPA devono:
  • Nomina un responsabile della privacy incaricato dello sviluppo e dell'amministrazione delle pratiche e delle risorse sulla privacy dell'entità.
  • Stabilire un punto di contatto responsabile per la ricezione dei reclami e per informare gli individui sulle pratiche di privacy dell'entità.
  1. Formazione e gestione del personale: Le entità responsabili devono formare tutti i membri del personale sulle pratiche di privacy affinché possano amministrare le loro funzioni in conformità con la Normativa sulla Privacy.
  2. Mitigazione: Le entità coperte devono mitigare qualsiasi effetto dannoso causato dall'uso o dalla divulgazione di PHI che viola le politiche sulla privacy o la Normativa sulla Privacy HIPAA.
  3. Salvaguardie dei dati: Le entità coperte devono stabilire e mantenere salvaguardie amministrative, tecniche e fisiche per prevenire sia violazioni intenzionali che non intenzionali di PHI.
  4. Reclami: Le entità coperte devono stabilire canali attraverso i quali gli individui possono presentare reclami riguardo la conformità alla privacy.
  5. Ritorsione e rinuncia: Un'entità coperta da HIPAA non può esercitare ritorsioni contro un individuo per:
  • Esercitando i loro diritti come previsto dalla HIPAA Privacy Rule
  • Assistere un'indagine condotta da HHS o altre autorità competenti
  • Rifiutare di impegnarsi in qualsiasi atto ritenuto in violazione del HIPAA Privacy Rule
  1. Documentazione e conservazione dei registri: Un'entità coperta deve mantenere tutta la documentazione creata ai fini del rispetto delle normative del Privacy Rule (politiche e procedure sulla privacy, registri dei reclami, avvisi sulle pratiche di privacy, ecc.) per almeno sei anni dalla data di creazione o dall'ultima data di efficacia.
  2. Eccezione: I piani sanitari di gruppo completamente assicurati sono obbligati a rispettare solo i requisiti (7) e (8).

Regola sulla sicurezza HIPAA

La HIPAA Security Rule stabilisce linee guida che proteggono l'integrità dei registri sanitari elettronici (EHR) e ne garantiscono la riservatezza e la disponibilità.

L'Istituto Nazionale degli Standard e della Tecnologia (NIST) ha un insieme di linee guida stabilite per aiutare le organizzazioni a sviluppare pratiche di sicurezza conformi alla Normativa sulla Sicurezza HIPAA. Possono anche utilizzare il CIA Triad, dove “CIA” sta per questi tre componenti:

  • Riservatezza: Assicurare che le informazioni sanitarie protette (ePHI) non siano disponibili o divulgate a persone o processi non autorizzati.
  • Integrità: Assicurarsi che l'ePHI non venga alterato o distrutto in modo non autorizzato
  • Disponibilità: Assicurare che l'ePHI sia accessibile e utilizzabile su richiesta da parte di persone autorizzate.

I requisiti della HIPAA Security Rule includono i seguenti tipi di controlli per i dati sensibili:

  • Salvaguardie tecniche: Controlli di accesso, controlli di audit, controlli di integrità, autenticazione di persona/entità, sicurezza della trasmissione
  • Salvaguardie fisiche: Controllo degli accessi agli impianti, utilizzo delle postazioni di lavoro, sicurezza delle postazioni di lavoro, controlli su dispositivi e supporti
  • Salvaguardie amministrative: Processo di gestione della sicurezza, responsabilità assegnata alla sicurezza, sicurezza del personale, gestione dell'accesso alle informazioni, consapevolezza e formazione sulla sicurezza, procedure per gli incidenti di sicurezza, piani di contingenza, valutazione, piani associati all'impresa e altre procedure

Le organizzazioni spesso distinguono tra misure di sicurezza “obbligatorie” e “da indirizzare”:

  • È necessario seguire alla lettera le misure di protezione; non c'è spazio per interpretazioni.
  • Addressable requirements afford organizations some flexibility to account for unique infrastructural or technical limitations.

Regola di Notifica di Violazione HIPAA

The HIPAA Breach Notification Rule requires covered entities to notify certain parties when they suffer a breach of PHI. Specifically, the HIPAA Breach Notification Rule requires:

  • Notifica individuale: Le entità coperte sono tenute a notificare gli individui interessati dopo aver scoperto una violazione del PHI.
  • Avviso ai media: In caso di violazione che abbia interessato più di 500 residenti di uno stato o giurisdizione, le entità coperte responsabili devono notificare gli organi di informazione di rilievo che servono lo stato o la giurisdizione.
  • Notifica al Segretario: Le entità coperte devono notificare al Segretario in caso di scoperta di una violazione del PHI.

È possibile per le entità dimostrare la loro diligenza e dimostrare una bassa probabilità di compromissione del PHI in base a procedure adeguate di valutazione del rischio.

Contenuti correlati selezionati:

Regola di applicazione HIPAA

La regola sull'applicazione dell'HIPAA stabilisce standard su come indagare sulle violazioni dei dati e delinea una struttura di sanzioni per le parti responsabili.

Regola Omnibus HIPAA

La regola HIPAA Omnibus:

  • Stabilisce una struttura di sanzioni a più livelli come richiesto da HITECH
  • Introduce modifiche alla soglia di danno e include la regola finale sulla Notifica di Violazione per ePHI non protetti sotto l'HITECH Act
  • Modifica l'HIPAA per includere disposizioni del Genetic Information Nondiscrimination Act (GINA), che vieta la divulgazione di informazioni genetiche a fini di sottoscrizione
  • Impedisce l'uso di PHI e identificativi personali a scopi di marketing

I requisiti della HIPAA Omnibus Rule includono i seguenti:

  • Nuovi Accordi Associati Commerciali (BAAs): Prima di impiegare i servizi di un associato commerciale, le entità devono firmare un nuovo BAA conforme a HIPAA
  • Aggiornamenti dell'Accordo Associato Commerciale: Gli Accordi Associati Commerciali esistenti devono essere aggiornati per conformarsi alla Regola Omnibus.
  • Aggiornamenti della politica sulla privacy: Le politiche sulla privacy devono essere aggiornate per conformarsi alle modifiche della Omnibus Rule.
  • Avviso aggiornato delle Pratiche sulla Privacy (NPP): Gli NPP devono essere aggiornati per includere le informazioni richieste dalla Norma Omnibus.
  • Formazione del personale aggiornata HIPAA: La formazione del personale sulle modifiche al Regolamento Omnibus e sui cambiamenti di definizione deve essere fornita e documentata.

Checklist HIPAA

Utilizzate la seguente lista di controllo per aiutare la vostra organizzazione a garantire la conformità con HIPAA.

1) Audit e Valutazioni

Eseguire regolarmente un audit interno HIPAA, valutazione della sicurezza e audit della privacy per supportare la Data Security:

  • Determina quali tra le revisioni e valutazioni annuali HIPAA richieste sono applicabili alla tua organizzazione, secondo la Regola HIPAA SP 800-66, Revisione 1, utilizzando le linee guida NIST.
  • Conduci gli audit e le valutazioni richieste, analizza e comprendi i risultati e documenta eventuali problemi o carenze.
  • Creare e documentare piani di rimedio dettagliati per affrontare tali problemi e carenze.
  • Mettete in atto i piani, esaminate i risultati e aggiornate il piano se i risultati desiderati non sono stati raggiunti.

Contenuti correlati selezionati:

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Mike Tierney

Ex Vicepresidente del Successo Cliente

Ex Vicepresidente del Successo Clienti presso Netwrix. Vanta un background variegato costruito in oltre 20 anni nell'industria del software, avendo ricoperto ruoli di CEO, COO e VP Product Management in diverse aziende focalizzate sulla sicurezza, conformità e sull'aumento della produttività dei team IT.

Scopri di più su questo argomento

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

Cos'è la gestione dei documenti elettronici?

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza