O que é HIPAA?
A HIPAA (Health Insurance Portability and Accountability Act) é uma lei federal dos Estados Unidos que estabelece padrões nacionais para proteger a privacidade e a segurança das informações de saúde identificáveis individualmente, conhecidas como Informações de Saúde Protegidas (PHI).
Também conhecido como: HIPAA, Health Insurance Portability and Accountability Act
A Regra de Segurança da HIPAA exige que as entidades cobertas e seus parceiros de negócios implementem salvaguardas administrativas, físicas e técnicas para garantir a confidencialidade, a integridade e a disponibilidade da PHI eletrônica (ePHI). As salvaguardas técnicas incluem controles de acesso, controles de auditoria, controles de integridade e segurança da transmissão, com a criptografia figurando como uma especificação de implementação contemplada tanto para os dados em repouso quanto em trânsito.
A Regra de Privacidade regula quem pode acessar a PHI e em quais circunstâncias, estabelecendo o padrão de "mínimo necessário", o equivalente em saúde do menor privilégio. As organizações devem limitar o acesso à PHI apenas ao necessário para um fim específico. As infrações acarretam sanções severas: as multas vão de 100 a 50.000 dólares por infração (até 1,5 milhão de dólares por ano por categoria de infração), e a negligência deliberada pode dar origem a acusações penais.
Na prática, a conformidade com a HIPAA exige que as organizações de saúde controlem cuidadosamente como as informações sensíveis são compartilhadas, tanto internamente quanto com parceiros externos. Enviar por e-mail credenciais sem criptografia para sistemas de saúde, compartilhar senhas de bancos de dados em texto simples ou deixar chaves de acesso em canais de chat persistentes criam riscos de conformidade. O requisito de criptografia e controles de acesso se estende a cada sistema que toca a ePHI, incluindo as credenciais usadas para acessar esses sistemas.
Como o Vaulted usa HIPAA
O Vaulted oferece um canal seguro para compartilhar credenciais e dados sensíveis em ambientes de saúde onde a conformidade com a HIPAA é exigida. Quando as equipes de TI precisam compartilhar credenciais de bancos de dados, senhas de sistemas ou chaves de API para sistemas que contêm ePHI, a criptografia no lado do cliente AES-256-GCM do Vaulted garante que os dados sejam criptografados antes de saírem do navegador. O servidor zero-knowledge nunca vê o texto simples, os links autodestrutivos impõem um acesso de tempo limitado coerente com o princípio de mínimo necessário, e a proteção opcional com frase-senha adiciona uma camada extra de controle de acesso.