Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Lista de Verificação de Conformidade com a HIPAA: Como Estar em Conformidade com a HIPAA em 2024

Lista de Verificação de Conformidade com a HIPAA: Como Estar em Conformidade com a HIPAA em 2024

Nov 19, 2020

A Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), conforme emendada pela Lei de Tecnologia da Informação em Saúde para a Saúde Econômica e Clínica (HITECH), é projetada para manter as informações médicas e os registros de saúde dos indivíduos protegidos. Ao alcançar e manter a conformidade com a HIPAA compliance, as organizações de saúde podem proteger as informações de saúde sensíveis dos pacientes enquanto mitigam os riscos de data breaches e penalidades legais.

Este artigo detalha os principais requisitos do HIPAA e HITECH e fornece recursos importantes para que você possa garantir que seu negócio esteja em conformidade com o HIPAA e evitar aparecer nas manchetes de data breach.

O que é conformidade com a HIPAA?

Conformidade com a HIPAA refere-se a seguir as regulamentações estabelecidas no Health Insurance Portability and Accountability Act para garantir a privacidade, segurança e integridade das informações de saúde protegidas (PHI) dos indivíduos.

Organizações obrigadas a cumprir com a HIPAA incluem prestadores de serviços de saúde, planos de saúde e centros de processamento de dados de saúde, bem como seus associados comerciais. Entidades cobertas pela HIPAA devem garantir a privacidade e a data security das protected health information. Exemplos de PHI incluem:

  • Nomes de indivíduos
  • Fotos de rosto completo e imagens comparáveis
  • Identificadores biométricos
  • Endereços de email
  • Números de telefone
  • Números de FAX
  • Dados geográficos
  • Números de Segurança Social
  • Números de prontuário médico
  • Números de conta
  • Números dos beneficiários do plano de saúde
  • Números de certificados e licenças
  • Identificadores de veículos e números de série
  • Identificadores de dispositivos e números de série
  • Datas, exceto o ano
  • Endereços IP
  • URLs da Web
  • Qualquer número ou código identificador único

O que é HITECH?

A Lei de Tecnologia da Informação em Saúde para a Saúde Econômica e Clínica (HITECH) aprimora as regulamentações da HIPAA ao incentivar os provedores a digitalizar registros médicos e de saúde. A lei penaliza falhas no uso de registros de saúde eletrônicos de maneiras significativas e visa incentivar o uso nacional de dados eletrônicos de saúde confiáveis, interoperáveis e seguros.

Quais são as regras e controles da HIPAA?

As regras do HIPAA incluem:

  • Regra de Privacidade HIPAA
  • Regra de Segurança HIPAA
  • Regra de Notificação de Violação da HIPAA
  • Regra de Execução HIPAA
  • Regra Omnibus HIPAA

Os controles da HIPAA são políticas, procedimentos e outras medidas que as entidades cobertas pela HIPAA precisam implementar para proteger o PHI e cumprir com as regras da HIPAA, conforme detalhado a seguir.

Regra de Privacidade HIPAA

A HIPAA Privacy Rule descreve um conjunto de padrões que regem como o PHI pode ser utilizado e divulgado. Esta regra visa impor diretrizes rigorosas que governam o manuseio de dados de saúde sensíveis, promovendo a confidencialidade e a privacidade do paciente dentro dos sistemas de saúde.

Aqui estão os controles HIPAA para os requisitos da Regra de Privacidade:

  1. Políticas e procedimentos de privacidade: As entidades cobertas devem desenvolver e implementar um conjunto de políticas e procedimentos para garantir a privacidade das PHI.

Conteúdo relacionado selecionado:

  1. Pessoal: Entidades cobertas pela HIPPA devem:
  • Nomeie um responsável pela privacidade encarregado do desenvolvimento e administração das práticas e recursos de privacidade da entidade.
  • Estabeleça um ponto de contato responsável por receber reclamações e informar os indivíduos sobre as práticas de privacidade da entidade.
  1. Treinamento e gestão da força de trabalho: As entidades cobertas devem treinar todos os membros da força de trabalho sobre práticas de privacidade para que possam administrar suas funções em conformidade com a Regra de Privacidade.
  2. Mitigação: As entidades cobertas devem mitigar quaisquer efeitos prejudiciais causados pelo uso ou divulgação de PHI que violem as políticas de privacidade ou a Regra de Privacidade HIPAA.
  3. Salvaguardas de dados: As entidades cobertas devem estabelecer e manter salvaguardas administrativas, técnicas e físicas para prevenir violações maliciosas e não intencionais de PHI.
  4. Reclamações: As entidades cobertas devem estabelecer canais pelos quais os indivíduos possam registrar reclamações sobre conformidade com a privacidade.
  5. Retaliação e renúncia: Uma entidade coberta pela HIPAA não pode retaliar contra um indivíduo por:
  • Exercendo seus direitos conforme previsto pela Regra de Privacidade HIPAA
  • Auxiliando uma investigação realizada pelo HHS ou outras autoridades relevantes
  • Recusando-se a participar de qualquer ato que se acredita estar em violação da Regra de Privacidade HIPAA
  1. Documentação e retenção de registros: Uma entidade coberta deve manter toda a documentação criada para o propósito de cumprir com as regulamentações da Privacy Rule (políticas e procedimentos de privacidade, registros de reclamações, avisos de práticas de privacidade, etc.) por pelo menos seis anos após a criação ou última data efetiva.
  2. Exceção: Planos de saúde coletivos totalmente segurados são obrigados a cumprir com os requisitos (7) e (8) apenas.

Regra de Segurança HIPAA

A HIPAA Security Rule estabelece diretrizes que protegem a integridade dos registros eletrônicos de saúde (EHR) e garantem que permaneçam confidenciais e disponíveis.

O Instituto Nacional de Padrões e Tecnologia (NIST) possui um conjunto de diretrizes estabelecidas para ajudar organizações a desenvolver práticas de segurança que estejam em conformidade com a Regra de Segurança da HIPAA. Eles também podem usar o CIA Triad, onde “CIA” representa estes três componentes:

  • Confidencialidade: Garanta que o ePHI não esteja disponível ou seja divulgado a pessoas ou processos não autorizados.
  • Integridade: Garanta que o ePHI não seja alterado ou destruído de forma não autorizada
  • Disponibilidade: Garanta que o ePHI esteja acessível e utilizável sob demanda por pessoas autorizadas.

Os requisitos da Regra de Segurança HIPAA incluem os seguintes tipos de controles para dados sensíveis:

  • Salvaguardas técnicas: Controles de acesso, controles de auditoria, controles de integridade, autenticação de pessoa/entidade, segurança de transmissão
  • Salvaguardas físicas: Controles de acesso às instalações, uso de estações de trabalho, segurança de estações de trabalho, controles de dispositivos e mídias
  • Salvaguardas administrativas: Processo de gestão de segurança, responsabilidade de segurança atribuída, segurança da força de trabalho, gestão de acesso à informação, consciência e treinamento de segurança, procedimentos de incidentes de segurança, planos de contingência, avaliação, planos de associados de negócios e outros procedimentos

As organizações frequentemente distinguem salvaguardas “obrigatórias” e “endereçáveis”:

  • As salvaguardas obrigatórias devem ser seguidas à risca; não há margem para interpretação.
  • Requisitos endereçáveis oferecem às organizações certa flexibilidade para levar em conta limitações técnicas ou infraestruturais únicas.

Regra de Notificação de Violação da HIPAA

The HIPAA Breach Notification Rule requires covered entities to notify certain parties when they suffer a breach of PHI. Specifically, the HIPAA Breach Notification Rule requires:

  • Notificação individual: Entidades cobertas são obrigadas a notificar os indivíduos afetados após a descoberta de uma violação de PHI.
  • Aviso à imprensa: Se for constatado que uma violação afetou mais de 500 residentes de um estado ou jurisdição, as entidades cobertas responsáveis devem notificar os principais meios de comunicação que servem o estado ou jurisdição.
  • Aviso ao Secretário: As entidades cobertas devem notificar o Secretário ao descobrirem uma violação de PHI.

É possível para as entidades comprovar sua devida diligência e demonstrar baixa probabilidade de comprometimento de PHI com base em procedimentos adequados de avaliação de risco.

Conteúdo relacionado selecionado:

Regra de Aplicação da HIPAA

A Regra de Execução HIPAA estabelece padrões sobre como investigar violações de dados e delineia uma estrutura de penalidades para as partes responsáveis.

Regra Omnibus HIPAA

A Regra Omnibus HIPAA:

  • Estabelece uma estrutura de penalidades escalonada conforme exigido pelo HITECH
  • Introduz alterações no limiar de dano e inclui a regra final sobre Notificação de Violação para ePHI não protegido sob o HITECH Act
  • Modifica a HIPAA para incluir disposições da Genetic Information Nondiscrimination Act (GINA), que proíbe a divulgação de informações genéticas para fins de subscrição
  • Impede o uso de PHI e identificadores pessoais para fins de marketing

Os requisitos da Regra Omnibus HIPAA incluem o seguinte:

  • Novos Acordos de Associado de Negócios (BAAs): Antes de empregar os serviços de um associado de negócios, as entidades devem assinar um novo BAA compatível com a HIPAA
  • Atualizações do Acordo de Associado de Negócios: Os Acordos de Associado de Negócios existentes devem ser atualizados para cumprir com a Regra Omnibus.
  • Atualizações da política de privacidade: As políticas de privacidade devem ser atualizadas para cumprir com as alterações da Regra Omnibus.
  • Aviso Atualizado das Práticas de Privacidade (NPP): Os NPPs devem ser atualizados para cobrir informações exigidas pela Regra Omnibus.
  • Treinamento atualizado da equipe sobre HIPAA: O treinamento da equipe sobre as emendas da Regra Omnibus e mudanças de definições deve ser fornecido e documentado.

Lista de verificação HIPAA

Utilize a seguinte lista de verificação para ajudar a sua organização a garantir a conformidade com o HIPAA.

1) Auditorias e Avaliações

Realize regularmente uma auditoria interna da HIPAA, avaliação de segurança e auditoria de privacidade para apoiar a segurança de dados:

  • Determine quais das auditorias e avaliações anuais obrigatórias da HIPAA são aplicáveis à sua organização, de acordo com a Regra HIPAA SP 800-66, Revisão 1, utilizando as diretrizes do NIST.
  • Realize as auditorias e avaliações necessárias, analise e compreenda os resultados e documente quaisquer problemas ou deficiências.
  • Crie e documente planos de remediação completos para abordar essas questões e deficiências.
  • Coloque os planos em ação, revise os resultados e atualize o plano se os resultados desejados não forem alcançados.

Conteúdo relacionado selecionado:

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Mike Tierney

Ex-VP de Sucesso do Cliente

Ex-VP de Sucesso do Cliente na Netwrix. Ele tem uma experiência diversificada construída ao longo de 20 anos na indústria de software, tendo ocupado os cargos de CEO, COO e VP de Gestão de Produtos em várias empresas focadas em segurança, conformidade e aumento da produtividade das equipes de TI.

Saiba mais sobre este assunto

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança