Solutions de stockage dans le cloud conformes à l'HIPAA :Maintenir la conformité des soins de santé

Les hôpitaux, les cliniques et d'autres organisations de santé ont connu une route cahoteuse vers l'adoption du cloud au cours des dernières années. Les risques de sécurité implicites liés à l'utilisation du cloud public ou à la collaboration avec un fournisseur de services tiers ont considérablement retardé l'adoption du cloud dans le secteur de la santé.

Même aujourd'hui, alors que 84 % des organisations de santé utilisent des services cloud, la question de choisir le bon fournisseur de cloud conforme à la loi HIPAA peut être un casse-tête.

Tous les prestataires de soins de santé dont les données des clients sont stockées aux États-Unis sont soumis à un ensemble de réglementations connues sous le nom de conformité HIPAA

Aujourd'hui, toute organisation qui gère les données confidentielles des patients doit respecter les exigences de stockage HIPAA.

Qu'est-ce que la conformité HIPAA ?

Les normes HIPAA assurent la protection des données de santé. Tout fournisseur travaillant avec une organisation de soins de santé ou une entreprise traitant des dossiers de santé doit respecter les règles de confidentialité HIPAA. Il existe également de nombreuses industries auxiliaires qui doivent respecter les directives si elles ont accès aux données médicales et des patients. C'est là que le stockage cloud conforme HIPPA joue un rôle important.

En 1996, "le département américain de la Santé et des Services sociaux ("HHS") a publié la règle de confidentialité pour mettre en œuvre l'exigence de la loi HIPAA (Health Insurance Portability and Accountability Act) de 1996". La règle de confidentialité traite des "informations de santé électroniques protégées" des patients et de la manière dont les organisations ou "entités couvertes par la loi HIPAA" soumises aux règles de confidentialité doivent s'y conformer.

La plupart des établissements de santé utilisent une certaine forme d'appareils électroniques pour fournir des soins médicaux. Cela signifie que les informations ne résident plus sur une carte papier, mais sur un ordinateur ou dans le cloud. Contrairement aux entreprises générales ou à la plupart des entités commerciales, les établissements de santé sont légalement tenus d'employer les pratiques de sauvegarde des données les plus fiables.

Alors, comment cela affecte-t-il leur choix de fournisseur de cloud ?

Lors de la planification de leur passage au cloud computing, les établissements de santé doivent s'assurer que leur fournisseur répond à des critères de sécurité spécifiques.

Ces critères se traduisent par des exigences et des seuils qu'une entreprise doit respecter et maintenir pour se préparer à la HIPAA. Celles-ci se résument à un ensemble de certifications, d'audits et de rapports SOC, de niveaux de chiffrement et de fonctionnalités de sécurité physique.

Les solutions de stockage en nuage HIPAA devraient fonctionner pour rendre la mise en conformité simple et directe. De cette façon, les organisations de santé ont une préoccupation en moins et peuvent se concentrer sur l'amélioration de leurs processus critiques.

 Exigences HIPAA en matière de stockage dans le cloud et de sauvegarde des données

Un fournisseur de services cloud faisant affaire avec une entreprise opérant selon les règles de la loi HIPAA-HITECH est considéré comme un associé commercial. En tant que tel, il doit montrer qu'il respecte les normes de conformité cloud et respecte toutes les normes pertinentes. Bien que le fournisseur ne gère pas directement les informations sur les patients, il reçoit, gère et stocke les informations de santé protégées (PHI). Ce seul fait les rend responsables de sa protection conformément aux directives de la loi HIPAA-HITECH.

Être conforme à la loi HIPAA signifie mettre en œuvre toutes les règles et réglementations proposées par la loi. Tout vendeur offrant des services soumis à la loi doit fournir des documents prouvant leur conformité. Cette documentation doit être envoyée non seulement à leurs clients, mais également à l'Office des droits civils (OCR). L'OCR est une sous-agence du Département américain de l'éducation, qui promeut l'égalité d'accès aux programmes de soins de santé et de services sociaux.

Organisations du secteur de la santé souhaitant travailler avec un stockage cloud conforme à la loi HIPAA  le fournisseur doit demander une preuve de conformité pour se protéger. Si le fournisseur respecte toutes les normes, il ne devrait avoir aucun scrupule à partager la documentation appropriée avec vous.

Les exigences HIPAA pour les organisations d'hébergement cloud sont les mêmes que les exigences pour les associés commerciaux. Elles se répartissent en trois catégories distinctes :les garanties administratives, physiques et techniques.

• Garanties administratives :  Ces types de garanties sont des politiques transparentes qui décrivent comment l'entreprise se conformera d'un point de vue opérationnel. Les opérations peuvent inclure la gestion des évaluations des risques de sécurité, les procédures appropriées, les interventions en cas de catastrophe et d'urgence, et la gestion des mots de passe.
• Protection physique : Les sauvegardes physiques sont généralement des systèmes mis en place pour protéger les données des clients. Ils peuvent inclure un stockage approprié, une sauvegarde des données et une élimination appropriée des supports dans un centre de données. Les précautions de sécurité importantes pour les installations où résident des périphériques de stockage matériels ou logiciels font également partie de cette catégorie.
• Protections techniques : Ce groupe de protections fait référence aux fonctionnalités techniques mises en œuvre pour minimiser les risques liés aux données et maximiser la protection. Exiger des informations de connexion uniques, des politiques de déconnexion automatique et une authentification pour l'accès aux PHI ne sont que quelques-unes des protections techniques qui doivent être mises en place.

Qu'est-ce qui rend un fournisseur de cloud certifié HIPAA conforme ?

Fournir du matériel ou des logiciels de stockage de fichiers conformes à la loi HIPAA n'est pas aussi simple que d'appuyer sur un interrupteur. Il faut énormément de temps et d'efforts à une entreprise pour se mettre en conformité.

L'élément critique à rechercher chez un fournisseur de stockage en nuage certifié HIPAA est sa volonté de conclure un accord d'associé commercial. Connu sous le nom de BAA, cet accord est conclu entre deux parties prévoyant de transmettre, de traiter ou de recevoir des PHI. Son objectif principal est de protéger les deux parties de toute répercussion juridique résultant de l'utilisation abusive d'informations de santé protégées.

Un accord de partenariat commercial BAA ne doit pas ajouter, soustraire ou contredire les normes générales de l'HIPAA. Cependant, si les deux parties sont d'accord, il est acceptable de compléter une terminologie spécifique. Certaines conditions fondamentales constituent également la base d'un accord de partenariat commercial conforme et doivent être conservées pour que le contrat soit considéré comme juridiquement contraignant.

Le niveau de cryptage activé par le fournisseur de cloud nécessite une attention particulière. L'entreprise doit chiffrer les fichiers non seulement en transit, mais également au repos. Advanced Encryption Standard (AES) est le niveau de cryptage minimum qu'il doit utiliser pour le stockage et le partage de fichiers. AES est le successeur de Data Encryption Standard (DES) et a été développé par le National Institute of Standards and Technology (NIST) en 1997. Il s'agit d'un algorithme de chiffrement avancé qui offre une meilleure défense contre différents incidents de sécurité.

Sélectionner un fournisseur de stockage cloud conforme

Lorsque vous choisissez un fournisseur conforme à la loi HIPAA, recherchez l'hébergement Web HIPAA qui répond aux mesures décrites dans la section précédente. Assurez-vous de leur poser des questions sur leurs pratiques de sécurité de stockage des données pour savoir dans quelle mesure vos données PHI seront sécurisées.

Le fournisseur potentiel propose-t-il un contrat de niveau de service ?

Un contrat SLA indique des temps de réponse garantis aux menaces, généralement dans un délai de vingt-quatre heures. En tant qu'entreprise qui transmet des PHI, vous devez savoir à quelle vitesse le fournisseur peut vous avertir en cas d'incident. Plus vite vous recevez une notification de violation, plus vous pouvez réagir efficacement.

N'oubliez pas que le stockage des dossiers médicaux électroniques basés sur le cloud doit se faire dans un centre de données sécurisé.

Quelles sont les mesures de sécurité mises en place en cas d'incident ? Comment l'accès à l'installation est-il déterminé? Demandez un aperçu détaillé de la façon dont ils mettent en œuvre et appliquent la sécurité physique. Vérifiez comment ils réagissent en cas de violation de données. Assurez-vous d'obtenir tous les détails pertinents avant de mettre vos données en danger.

Le fournisseur que vous avez sélectionné doit également disposer d'un plan de reprise après sinistre et de continuité.

Un plan de continuité anticipe les pertes dues aux catastrophes naturelles, aux violations de données et à d'autres incidents imprévus. Il fournira également les processus et procédures nécessaires si ou lorsque de tels événements se produisent. En ce qui concerne les meilleures pratiques de prévention des pertes de données, il est également essentiel de déterminer la fréquence à laquelle la méthode proposée est soumise à des tests rigoureux.

Sécurité des dossiers médicaux des soins de santé :comment puis-je en être sûr ?

Les fournisseurs de cloud qui prennent la conformité au sérieux s'assureront que leurs certifications sont à jour. Il existe plusieurs façons de vérifier s'ils respectent les normes et les réglementations en vigueur.

Une façon consiste à auditer votre fournisseur potentiel en utilisant une partie indépendante. L'audit portera à votre attention tous les risques possibles et révélera les tactiques de sécurité du fournisseur. Le stockage en nuage pour les fournisseurs de dossiers médicaux doit régulièrement auditer leurs systèmes et environnements pour sécuriser les menaces afin de rester conforme. Le terme « régulièrement » n'est pas défini par la loi, il est donc essentiel de demander des documents et des informations au moins une fois par trimestre. Vous devez également vous assurer d'avoir un accès constant aux rapports et à la documentation détaillant l'audit le plus récent.

Une autre façon de déterminer si l'entreprise est conforme est d'évaluer les qualifications de ses employés. Tout le personnel doit être formé aux normes les plus récentes et se familiariser avec les mesures de protection spécifiques. Seules ces organisations en place peuvent atteindre la conformité.

Posez des questions difficiles à votre vendeur potentiel. Toute personne ayant accès aux RPS a besoin d'une formation appropriée sur les méthodes de transmission sécurisée des données. La formation doit inclure la capacité de crypter en toute sécurité les informations des patients, quel que soit l'endroit où elles sont stockées.

Une entreprise conforme à la HIPAA ne vous demandera pas une porte dérobée pour accéder à vos données ou la permission de contourner vos protocoles de gestion des accès. Ces fournisseurs reconnaissent le risque d'exiger une authentification ou des points d'accès supplémentaires. Compromettre l'accès aux protocoles d'authentification et aux exigences de mot de passe est une violation grave et ne devrait jamais se produire.

Questions fréquentes sur la sauvegarde et le stockage dans le cloud

Demandez aux fournisseurs de cloud potentiels quelle méthode ils utilisent pour évaluer votre conformité HIPAA.

Un modèle de politique HIPAA est-il disponible ? Le fournisseur offre-t-il des conseils et des commentaires sur la conformité ? Comment s'assurent-ils que vous êtes à jour et au courant des règles et réglementations de sécurité ? Proposent-ils des e-mails conformes à la loi HIPAA ?

L'entreprise a-t-elle des employés à temps plein sur place ?

Avoir une présence sur place et disponible 24 heures sur 24 est un mécanisme pour assurer une sécurité avancée. Un représentant disponible fiabilise la sécurité PHI et garantit une réponse rapide en cas de besoin. Cela vous donne également la tranquillité d'esprit de savoir que l'entreprise en charge de la protection de vos données connaît parfaitement les normes requises.

Le bon fournisseur doit également s'adapter rapidement aux changements et vous informer de tout ce qui affecte directement vos RPS ou votre accès à ceux-ci.

La suppression des données est un élément crucial dans le choix de l'associé commercial HIPAA approprié. Combien de temps les informations sont-elles conservées pendant une période avant d'être purgées ? Comment les fuites de données sont-elles évitées lorsque les serveurs sont mis hors service ou effacés ? Les données vous sont-elles fournies avant la suppression ? La loi ne propose aucune directive concernant la durée requise, mais il s'agit d'un accord que vous et votre fournisseur devez conclure ensemble.

En plus de vos connaissances, déterminez dans quelle mesure votre fournisseur potentiel connaît les réglementations HIPAA. Les entreprises du cloud échouent souvent à suivre les dernières modifications réglementaires, et vous devez rechercher celle qui fait preuve d'un dévouement constant.

Comparer les prix. Ne vous contentez pas de la première citation.

De nombreuses entreprises vantent leur sécurité HIPAA, pour découvrir qu'elles ne sont pas à la hauteur du critère de mesure. Faites vos recherches, posez des questions et déterminez quel fournisseur répond le mieux à vos besoins.

Le stockage dans le cloud conforme à l'HIPAA est essentiel

Lorsqu'il s'agit de protéger les dossiers médicaux dans le cloud, phoenixNAP soutiendra vos efforts avec la meilleure qualité de service, la sécurité et la fiabilité.

Nous proposons une sélection de centres de données qui offrent une protection de pointe pour vos dossiers médicaux. Avec des solutions cloud évolutives, une garantie de disponibilité à 100 % et une reprise après sinistre inégalée, vous pouvez être assuré que votre infrastructure est conforme.

Les certifications HIPAA peuvent être déroutantes, compliquées et stressantes.

Vous devez pouvoir faire confiance à votre fournisseur de cloud pour protéger vos fichiers. PhoenixNap Global IT Services vous permettra de concentrer votre attention sur d'autres domaines de votre entreprise et d'assurer la protection de vos entités et associés commerciaux.