1. 主页 > 分享 >

如何确保2021年医疗保健软件符合HIPAA要求

物联网
 
    在美国,医疗保健软件开发人员需要遵守的最重要的事情之一是健康保险流通与责任法案(HIPAA)。该法律保护私人健康信息。任何经营或投资医疗业务的人都知道这一点,但未能正确遵守其规则可能会导致非常不可原谅的后果。去年,因违反HIPAA信息隐私而被处以数百万美元的罚款。您如何确保您的产品符合HIPAA?
 
    采取这些措施是有充分理由的。黑市黑暗网站对有价值的医疗保健信息的需求不断增长,导致了数次违规。2020年,向HHS民权办公室报告了616起数据泄露事件,其中包含500条或更多记录。有28,756,445份医疗记录被暴露、泄露或未经允许披露。这使得2020年成为违反医疗记录数量第三严重的年份。
 
    公司未能合理和适当地维护ePHI的机密性、完整性和可用性。再加上硬件和软件控制不足,医疗保健企业代表违规受害者面临数百万美元的罚款。
 
    如何确保Web或移动医疗保健应用程序符合HIPAA
 
    使您的医疗软件符合HIPAA标准或从头开始构建的方法取决于您的目标以及敏感数据的存储和传输方式。但是,让我们谈谈有关如何满足这些要求的七个一般想法。
 
    传输加密
 
    任何ePHI(电子受保护健康信息)在传输之前都必须加密。符合HIPAA标准的软件在传输过程中对敏感的健康数据进行加密,第一步是使用SSL和HTTPS协议使其安全。您的公共或私有云提供商应该允许您的SSL配置以确保强大的加密方法。前者保护收集或显示健康数据的页面以及登录页面。这些页面不应有任何替代的非安全版本。
 
    建议验证HTTPS协议是否设置正确,并且没有过期或不安全的TLS版本。
 
    密码可以在哈希值的帮助下传输和存储。结合安全的复杂密码,这可以防止泄露事件。
 
    备份和存储加密
 
    大多数托管服务提供商都提供备份和恢复服务,以便在发生事故或紧急情况时不会丢失数据。数据应该备份、安全存储,并且只有授权人员才能访问。
 
    在处理敏感的PHI时,必须确保它仅供授权人员使用。这涵盖了存储在您的软件系统中的所有数据,包括数据库、备份和事件日志。它可能恰好存储在您无法控制的位置,例如与同一托管服务提供商的其他客户共享的服务器上。如果此服务器以某种方式受到损害,则数据必须保持加密且无法访问。
 
    为此,我们使用具有强密钥的AES和RSA算法应用行业认可的加密(AES最好为256位,RSA至少为4096位)。具有内置数据加密功能的PostgreSQL管理器可能是另一种解决方案。
 
    我们还在公共云中使用加密的托管数据库,例如AmazonRelationalDatabaseService(RDS)或CloudSQL。
 
    身份和访问管理
 
    为了保持HIPAA合规性,身份和访问管理是必不可少的。当涉及到机构数据时,密码和用户ID必须尽可能安全,绝不能在员工之间共享。HIPAA对必须维护的安全级别有严格的规定,以确保用户数据的隐私和保护。
 
    系统日志是HIPAA合规性的重要组成部分。系统应写入访问日志和事件日志以跟踪所有登录尝试和对PHI所做的更改。
 
    为确保只有授权用户才能访问敏感数据和信息,应使用双因素身份验证(2FA),使用多种形式的身份验证来验证个人身份。
 
    但是,需要快速访问这些数据。生物识别和单点登录(SSO)等医疗保健行业的新技术不断涌现,以在提供按需数据的同时保持安全。
 
    单点登录使用户能够安全登录一次,然后在一次会话期间访问应用程序和网站网络,而无需再次登录。这对于需要在不牺牲机构数据隐私的情况下快速有效地访问应用程序和网站生态系统中的用户数据的医疗保健专业人员非常有用。
 
    由于人类指纹、面部或声音的独特性,生物识别解决方案也很受欢迎。然而,这些技术需要先进的反欺骗技术。为了防止黑客模拟另一个人的生物特征,活体检测可以抵制欺骗企图。多模态生物特征认证技术是一种需要多种认证形式的安全系统。这可以使黑客更难破解医疗保健安全,并有助于更好地确保HIPAA合规性。
 
    基于属性的访问控制是解决用户角色管理问题的一种方法。这允许根据基于属性而不是用户和操作的访问控制策略对各种位置、应用程序和其他资源进行动态和上下文访问。单个属性更加灵活,尤其是随着时间的推移改变结构规则。这尤其有助于解决传统基于角色的授权中角色重叠的问题。
 
    正直
 
    有必要确保您收集、存储和传输的信息不会被有意或无意地以任何不受欢迎的方式损坏或更改。这里的第一个必要步骤是确保您的系统可以立即检测并报告任何未经授权的数据篡改,即使只有一个元素发生了变化。在网站开发中,这是通过数字签名然后验证系统中存储或传输的每条数据来实现的,使用PGP、SSL等手段。然后,必须设计和构建整个系统以防止任何未经授权的访问到数据。
 
    上述措施,例如定期备份、加密、具有适当用户角色和权限的访问授权以及限制对基础设施的物理访问,是使您的医疗软件符合HIPAA的重要因素。
 
    区块链在医疗信息安全方面具有显着优势:
 
    去中心化:不再需要半可信的第三方。
 
    安全性:单点故障的可能性非常低。高级密码加密还可以防止内部攻击。
 
    假名:区块链网络中的节点具有假名地址,以保护其真实身份。
 
    不变性:由于单向加密哈希函数,几乎不可能修改块记录。
 
    自治:数据权利归医疗保健患者所有,他们可以选择何时以及与谁共享该数据。
 
    激励机制:由于区块链的激励机制,原本可能不合作的竞争企业可以共同发展医疗服务和研究。
 
    可审计性:所有交易和数据都通过区块链记录,确保问责制和透明度。
 
    由于区块链依赖于去中心化、安全、分布式的系统,因此它比将权力置于一个人身上更值得信赖。相反,密码学和数学方法被用来保护信息。
 
    数据记录在公共或允许的分类账中。区块链网络中的每个节点都可以随时访问这些分类账,从而实现数据透明度,从而建立信任和问责制,尤其是在审计中。
 
    然而,基于区块链的EHR系统在安全数据存储方面存在局限性。其中最常见的是:
 
    病历存储系统的高度可变性
 
    非统一数据结构
 
    网络内存储成本高
 
    处理
 
    备份和存档的数据必须过期并被永久处理。这也适用于所有解密密钥。必须预见到,传输数据的每个位置都可能对其进行备份或复制。当您不再使用服务器时,必须处理数据以确保医疗保健数据安全和HIPAA合规性。
 
    商业伙伴协议
 
    符合HIPAA的软件的最后一个关键是:ePHI应托管在与其签署业务伙伴协议的公司的服务器上。否则,它应该托管在安全的内部服务器上。大多数托管服务提供商都不熟悉HIPAA。他们可能不愿意冒任何签署此协议的风险,这可能与他们自己的业务流程相矛盾。
 
    我们建议医疗保健组织在最受信任的符合HIPAA的提供商*处使用云存储,例如GoogleCloudPlatform、MicrosoftAzure和AmazonWebServices。Apple的iCloud不符合HIPAA标准。业务伙伴协议必须涉及处理您敏感健康数据的每个供应商。
 
    COVID-19、远程医疗和HIPAA
 
    在COVID-19突发公共卫生事件期间,HHS民权办公室(OCR)放松了HIPAA的执法。执法自由裁量权通知允许医疗保健提供者使用管制较少的通信系统,如FaceTime、Zoom、FacebookMessenger、GoogleHangout和Skype,以提供不符合HIPAA标准的远程医疗服务。
 
    由于突发公共卫生事件(PHE),仍有许多豁免在行动。然而,存在的例子表明远程医疗可能会更多地融入医疗保健行业。但是,该法规使得开发可以允许提供商在线为患者提供服务的解决方案变得更加困难。
 
    结论
 
    HIPAA合规性对于保护机构医疗数据和避免高额监管费用至关重要。最好在考虑到HIPAA要求的情况下领先于游戏和设计系统。与在开发符合HIPAA的医疗保健软件方面经验丰富的开发人员合作可能是遵守政府法规和保护用户数据的正确选择。

本文由网上采集发布,不代表我们立场,转载联系作者并注明出处:http://www.34iot.com//a/fenxiang/364.html

联系我们

在线咨询:点击这里给我发消息

微信号:weixin888

工作日:9:30-18:30,节假日休息