Czym jest HIPAA?
HIPAA (Health Insurance Portability and Accountability Act) to federalna ustawa USA ustanawiająca krajowe standardy ochrony prywatności i bezpieczeństwa indywidualnie identyfikowalnych informacji zdrowotnych, znanych jako Protected Health Information (PHI).
Znane również jako: HIPAA, Health Insurance Portability and Accountability Act
Zasada bezpieczeństwa HIPAA wymaga od podmiotów objętych ochroną i ich partnerów biznesowych wdrożenia administracyjnych, fizycznych i technicznych zabezpieczeń w celu zapewnienia poufności, integralności i dostępności elektronicznych PHI (ePHI). Zabezpieczenia techniczne obejmują kontrole dostępu, kontrole audytu, kontrole integralności i bezpieczeństwo transmisji — przy czym szyfrowanie jest adresowalną specyfikacją implementacyjną zarówno dla danych w spoczynku, jak i w tranzycie.
Zasada prywatności HIPAA reguluje, kto może uzyskać dostęp do PHI i pod jakimi warunkami, oraz ustanawia standard „minimalnej konieczności" — zdrowotny odpowiednik minimalnych uprawnień. Organizacje muszą ograniczyć dostęp do PHI do minimum niezbędnego dla danego celu. Naruszenia pociągają za sobą poważne sankcje: kary wahają się od 100 do 50 000 USD za naruszenie (do 1,5 mln USD rocznie za kategorię naruszenia), a celowe zaniedbanie może skutkować oskarżeniami karnymi.
W praktyce zgodność z HIPAA wymaga od organizacji ochrony zdrowia starannego kontrolowania sposobu udostępniania wrażliwych informacji — zarówno wewnętrznie, jak i zewnętrznym partnerom. Wysyłanie niezaszyfrowanych poświadczeń systemów zdrowotnych przez e-mail, udostępnianie haseł do baz danych w postaci jawnej lub pozostawianie kluczy dostępu w trwałych kanałach czatu stwarza ryzyko naruszenia zgodności. Wymagania dotyczące szyfrowania i kontroli dostępu rozciągają się na każdy system dotykający ePHI — w tym poświadczenia używane do uzyskiwania dostępu do tych systemów.
Jak Vaulted używa HIPAA
Vaulted zapewnia bezpieczny kanał do udostępniania poświadczeń i wrażliwych danych w środowiskach ochrony zdrowia, gdzie wymagana jest zgodność z HIPAA. Gdy zespoły IT muszą udostępniać poświadczenia bazy danych, hasła systemowe lub klucze API dla systemów zawierających ePHI, szyfrowanie AES-256-GCM po stronie klienta Vaulted zapewnia, że dane są szyfrowane przed opuszczeniem przeglądarki. Serwer zero-knowledge nigdy nie widzi jawnego tekstu, samozniszczające się linki egzekwują ograniczony czasowo dostęp zgodnie z zasadą minimalnej konieczności, a opcjonalna ochrona passphrase dodaje dodatkową warstwę kontroli dostępu.