À propos des Rapports de Conformité HIPAA
La règle de sécurité américaine intitulée Health Insurance Portability and Accountability Act (HIPAA) comprend une série de mesures de sécurité administratives, techniques et physiques que les entreprises situées aux États-Unis doivent respecter afin de s'assurer que les informations sur la santé protégées électroniquement (EPHI) restent confidentielles. Les organismes de santé utilisent régulièrement diverses applications informatiques pour leur facturation, leurs paiements, leurs prises de décisions cliniques et la gestion de leurs flux de travail. Les informations personnelles et confidentielles étant transférées entre divers réseaux, entre fournisseurs de soins de santé, entre employeurs et entre compagnies d'assurances, les organismes doivent protéger ces données pour demeurer conformes à la loi HIPAA.
Toutes les entités concernées par la loi HIPAA doivent se conformer à la Règle de sécurité. En règle générale, les normes, les exigences et les spécifications d'implémentation de la loi HIPAA s'appliquent aux entités concernées suivantes :
- Fournisseurs de soins de santé couverts — Tout fournisseur de soins de santé, de fournitures ou de services médicaux transmettant des informations sur la santé au format électronique en rapport avec une transaction pour laquelle le Department of Health and Human Services a adopté une norme.
- Plans de santé — Tout plan individuel ou de groupe fournissant ou payant les frais de soins (par exemple, un prestataire d'assurances santé et les programmes Medicare et Medicaid).
Pour savoir quelles entités sont couvertes par la loi HIPAA, consultez :
- L'Office for Civil Rights (OCR) — www.hhs.gov/ocr/hipaa
- Les CMS — www.cms.hhs.gov, consultez les Règles et Conseils
La règle de sécurité de la loi HIPAA consiste en un certain nombre de précautions dans divers secteurs :
- Administratif
- Physique
- Technique
Chaque ensemble de précautions comprend un certain nombre de normes, qui comprennent elles-mêmes généralement un certain nombre de spécifications d'applications requises ou adressées. Si une spécification d'application est requise, l'entité couverte doit appliquer des politiques et/ou procédures respectant les exigences de cette spécification. Si une spécification d'application est adressée, l'entité couverte doit évaluer s'il s'agit d'une précaution raisonnable et appropriée dans l'environnement de cette entité.
La Règle de sécurité requiert qu'une entité couverte documente les raisons de ses décisions concernant la sécurité.
Bon nombre de précautions administratives et techniques de la loi HIPAA sont larges et générales dans leurs énoncés, et ne spécifient pas d'implémentation technique autre que les bonnes pratiques de sécurité comme l'authentification des utilisateurs, des audits et des rapports réguliers, la gestion des incidents et la réaction à ces incidents. La loi HIPAA concernant initialement la confidentialité, les précautions de sécurité insistent également sur le chiffrement des données.
WatchGuard répond aux normes de conformité spécifiques à la loi HIPAA suivantes :
La spécification d'implémentation de l'Identification d'Utilisateur Unique stipule qu'une entité couverte doit : « Attribuer un nom et/ou un numéro unique pour l'identification et le suivi de l'identité de l'utilisateur. » L'identification de l'utilisateur constitue un moyen de trouver un utilisateur donné d'un système d'information, généralement par son nom et/ou son numéro. Un identificateur d'utilisateur unique permet à une entité de suivre l'activité d'un utilisateur spécifique lorsque cet utilisateur est connecté à un système d'information. Il permet à une entité de responsabiliser les utilisateurs pour des fonctions effectuées sur des systèmes d'information comprenant la politique EPHI lorsqu'ils sont connectés à ces systèmes.
Lorsque cette spécification d'application est une mesure de précaution raisonnable et appropriée pour une entité couverte, cette dernière doit : "Mettre en place un mécanisme électronique de chiffrement et déchiffrement pour les informations électroniques protégées sur la santé."
Le standard des Contrôles d'Audit requiert une entité couverte pour : "Mettre en place des mécanismes matériels, logiciels et/ou procéduraux qui enregistrent et examinent l'activité sur les systèmes d'information contenant ou utilisant des informations électroniques protégées sur la santé."
Il est important de souligner que la Règle de sécurité n'identifie pas les données devant être rassemblées par les contrôles d'audit, ni la fréquence avec laquelle les rapports d'audit devraient être examinés. Une entité couverte doit évaluer ses analyses de risques et ses facteurs organisationnels, comme l'infrastructure technique actuelle, ou les capacités de sécurité du matériel et des logiciels, pour déterminer des contrôles d'audit raisonnables et appropriés pour les systèmes d'information contenant ou utilisant la politique EPHI.
Afin de s'assurer que tous les utilisateurs respectent la stratégie de sécurité, il est utile de surveiller régulièrement les clients les plus actifs, ainsi que les clients bloqués des actions enfreignant la stratégie de sécurité.
Des Branch Office VPN peuvent être utilisés pour chiffrer le trafic entre différents emplacements. Des Mobiles VPN peuvent être utilisés pour s'assurer que les employés distants sont connectés de manière sûre avec le bureau ou à un lieu de soins de santé. La configuration du Firebox doit être revue de manière régulière afin de vérifier que les réseaux privés VPN (Virtual Private Network) sont configurés pour tous les emplacements spécifiés dans la stratégie de sécurité de l'entreprise.
Mécanisme d'Authentification des Informations Protégées sur la Santé (A) — § 164.312(c)(2)
« Mettre en œuvre les procédures permettant de vérifier si la personne ou l'entité qui tente d'accéder à des informations de santé protégées est bien celle qu'elle prétend être. » En général, l'authentification permet de s'assurer que les personnes sont bien celles qu'elles prétendent être avant de leur donner accès à l'EPHI.
1. Contrôles d'intégrité (A) — § 164.312(e)(2)(i)
Lorsque cette spécification d'application est une mesure de précaution raisonnable et appropriée pour une entité couverte, cette dernière doit : "Mettre en place des mesures de sécurité pour s'assurer que les informations électroniques protégées sur la santé transmises électroniquement ne soient pas modifiées sans que cela ne soit décelé avant mise à disposition."
2. Chiffrement (A) — § 164.312(e)(2)(ii)
Lorsque cette spécification d'application est une mesure de précaution raisonnable et appropriée pour une entité couverte, cette dernière doit : "Mettre en place un mécanisme pour chiffrer les informations électroniques protégées sur la santé chaque fois que cela est jugé opportun."
Outre l'utilisation de réseaux privés VPN (Virtual Private Network) pour sécuriser les connexions entre différents endroits, les organisations devant se conformer aux règles de la loi HIPAA devraient envisager la fonction SMTP TLS qui peut être utilisée pour s'assurer que les e-mails envoyés entre deux serveurs prenant en charge le TLS sont chiffrés.
Les entités couvertes doivent : "Mettre en place des stratégies et des procédures pour répondre aux incidents de sécurité."
Vous pouvez configurer Fireware pour envoyer des notifications et des alarmes en réponses aux événements de sécurité survenant sur votre réseau.
La spécification de mise en place de Réponse et Génération de Rapports stipule que l'entité couverte doit : "Identifier et répondre aux incidents de sécurité connus ou suspectés; minimiser, dans la mesure du possible, les effets nuisibles des incidents de sécurité connus de l'entité couverte; documenter les incidents de sécurité et leurs conséquences."
Les rapports de WatchGuard comprennent plusieurs rapports prédéfinis offrant des informations destinées à vous aider à vous assurer que votre réseau est conforme aux normes de la loi HIPAA. Ces rapports sont inclus dans le groupe Rapports de conformité.
| Standard | Rapport associé | Description du rapport |
|---|---|---|
| Identification d'utilisateur unique (R) — § 164.312(a)(2)(i) | Authentification de l'Utilisateur Refusée | Liste détaillée des utilisateurs d'authentification refusée Comprend la date, l'heure et la raison de l'échec d'authentification |
| Norme § 164.312(b) — Contrôles d'Audit | Suivi d'Audit | Liste détaillée des modifications de configuration auditées pour un Firebox, précisant le nom de l'utilisateur ayant apporté chaque modification. |
| Mécanisme d'Authentification des Informations Protégées sur la Santé (A) — § 164.312(c)(2) | Authentification de l'Utilisateur Refusée | Liste détaillée des utilisateurs dont l'authentification a été refusée Comprend la date, l'heure et la raison de l'échec d'authentification |
| Procédures en cas d'incident de sécurité — § 164.308(a)(6) Réponses et Rapports (R) — § 164.308(a)(6)(ii) |
Alarmes | Tous les enregistrements d'alarme |
Voir les Rapports de Conformité HIPAA dans Dimension
Vous pouvez consulter les rapports de conformité PCI dans WatchGuard Dimension ou planifier les rapports à exporter dans un fichier PDF. Pour plus d'informations, consultez Afficher les Rapports et Programmer les Rapports Dimension.
Afficher les Rapports de Conformité HIPAA dans WatchGuard Cloud
Vous pouvez consulter les rapports de conformité HIPAA dans WatchGuard Cloud, ou planifier les rapports à exporter dans un fichier PDF. Pour plus d'informations, consultez Rapport de Conformité HIPAA et Programmer les Rapports WatchGuard Cloud.
Générer des Rapports de Conformité HIPAA dans Report Manager
Pour surveiller votre réseau et vérifier qu'il est conforma à la loi HIPAA, vous pouvez générer des rapports liés pour chaque exigence.
- Dans WSM Report Server, créez un planning de rapports comprenant les Rapports de conformité requis.
Pour consulter les étapes détaillées, consultez Configurer les Paramètres de Génération de Rapports. - Connectez vous à Afficher les Rapports de Conformité dans Report Manager sur WatchGuard WebCenter.