Apa itu HIPAA?
HIPAA (Health Insurance Portability and Accountability Act) adalah undang-undang federal AS yang menetapkan standar nasional untuk melindungi privasi dan keamanan informasi kesehatan yang dapat diidentifikasi secara individual, yang dikenal sebagai Protected Health Information (PHI).
Juga dikenal sebagai: HIPAA, Health Insurance Portability and Accountability Act
Aturan Keamanan HIPAA mengharuskan covered entities dan business associate mereka untuk menerapkan perlindungan administratif, fisik, dan teknis guna memastikan kerahasiaan, integritas, dan ketersediaan ePHI (electronic PHI). Perlindungan teknis mencakup kontrol akses, kontrol audit, kontrol integritas, dan keamanan transmisi — dengan enkripsi tercantum sebagai spesifikasi implementasi yang dapat ditangani baik untuk data saat istirahat maupun saat transit.
Aturan Privasi mengatur siapa yang dapat mengakses PHI dan dalam keadaan apa, menetapkan standar "minimum necessary" — setara dengan hak istimewa minimum di bidang layanan kesehatan. Organisasi harus membatasi akses PHI hanya pada apa yang diperlukan untuk tujuan tertentu. Pelanggaran membawa hukuman berat: denda berkisar dari $100 hingga $50.000 per pelanggaran (hingga $1,5 juta per tahun per kategori pelanggaran), dan kelalaian yang disengaja dapat mengakibatkan tuntutan pidana.
Dalam praktiknya, kepatuhan HIPAA menuntut organisasi layanan kesehatan dengan cermat mengendalikan cara informasi sensitif dibagikan — baik secara internal maupun dengan mitra eksternal. Mengirimkan email berisi kredensial yang tidak terenkripsi untuk sistem layanan kesehatan, berbagi password basis data dalam bentuk plaintext, atau membiarkan access key di saluran chat persisten semuanya menimbulkan risiko kepatuhan. Persyaratan enkripsi dan kontrol akses meluas ke setiap sistem yang menyentuh ePHI, termasuk kredensial yang digunakan untuk mengakses sistem tersebut.
Cara Vaulted menggunakan HIPAA
Vaulted menyediakan saluran aman untuk berbagi kredensial dan data sensitif di lingkungan layanan kesehatan yang memerlukan kepatuhan HIPAA. Ketika tim IT perlu berbagi kredensial basis data, password sistem, atau API key untuk sistem yang berisi ePHI, enkripsi AES-256-GCM sisi klien Vaulted memastikan data dienkripsi sebelum meninggalkan browser. Server zero-knowledge tidak pernah melihat plaintext, tautan self-destructing menegakkan akses terbatas waktu yang konsisten dengan prinsip minimum necessary, dan perlindungan passphrase opsional menambahkan lapisan kontrol akses tambahan.