0
0
Por Product Marketing Manager da Thales
A plataforma abrangente de segurança de dados da Thales ajuda você a estar em conformidade com as mudanças na HIPAA em 2025.
Você segue sua rotina diária na sua organização de saúde, utilizando os mesmos processos dos últimos doze anos. Você confia que as Informações de Saúde Pessoal (PHI) estão protegidas, graças à conformidade com a HIPAA.
A HIPAA exige que as organizações implementem um sistema de segurança para proteger informações de saúde. Afinal, você não imprimiria seus dados médicos e os distribuiria livremente. A HIPAA garante que as empresas tratem essas informações com cuidado extra, criptografando-as, restringindo o acesso e garantindo que os sistemas que armazenam esses dados sejam seguros e testados continuamente. Sempre que você recebe atendimento médico, a HIPAA está atuando nos bastidores para manter suas informações protegidas contra cibercriminosos.
De acordo com o Thales Data Threat Report, Healthcare and Life Sciences Edition, em 2023, 76% dos casos de vazamento de dados na nuvem no setor de saúde e ciências da vida foram causados por erro humano – bem à frente da falta de autenticação multifator (MFA), que representou apenas 11%. Além disso, a complexidade na gestão de identidade e criptografia é um grande desafio: 60% das organizações de saúde utilizam cinco ou mais sistemas diferentes de gerenciamento de chaves.
O que é a HIPAA?
A Lei de Portabilidade e Responsabilidade dos Planos de Saúde (HIPAA) é uma lei federal dos EUA criada para estabelecer padrões nacionais na proteção de informações sensíveis de saúde dos pacientes, impedindo sua divulgação sem consentimento ou conhecimento do titular. O Departamento de Saúde e Serviços Humanos dos EUA (HHS) emitiu a Regra de Privacidade da HIPAA para garantir a aplicação desses requisitos. Já a Regra de Segurança da HIPAA protege um subconjunto dessas informações cobertas pela Regra de Privacidade.
Para quem se aplica?
- Entidades cobertas: Planos de saúde, seguradoras, hospitais, clínicas, farmácias, médicos, dentistas e qualquer organização que tenha acesso a Informações de Saúde Pessoal (PHI).
- Associados comerciais: Prestadores de serviços terceirizados que criam, recebem, armazenam ou transmitem informações eletrônicas de saúde (ePHI) em nome de entidades cobertas. Exemplos incluem empresas de TI e provedores de armazenamento em nuvem.
Datas importantes
Em 27 de dezembro de 2024, o Escritório de Direitos Civis (OCR) do HHS publicou um Aviso de Proposta de Regra (NPRM) para modificar a Regra de Segurança da HIPAA, reforçando a proteção cibernética para informações eletrônicas de saúde (ePHI). As mudanças devem entrar em vigor em 7 de março de 2025, após um período de consulta pública.
A HIPAA não é uma regulamentação estática – desde sua publicação original, tem sido periodicamente atualizada para se manter relevante.
O que mudou?
As mudanças são significativas e incluem novas diretrizes escritas, salvaguardas técnicas e atualizações nos acordos com associados comerciais. Aqui estão os principais pontos:
1. Eliminação dos padrões “endereçáveis”
A distinção entre padrões “obrigatórios” e “endereçáveis” foi removida. Agora, todas as entidades reguladas pela HIPAA devem cumprir todos os requisitos de segurança, com poucas exceções.
2. Reforço nas medidas de segurança
- Criptografia obrigatória: Todos os dados eletrônicos de saúde (ePHI) devem ser criptografados, tanto em repouso quanto em trânsito.
- Autenticação multifator (MFA): Implementação obrigatória de MFA para reforçar a segurança no acesso a sistemas sensíveis.
- Análises de risco aprimoradas: Exigências mais rigorosas para a condução e documentação de análises de risco.
- Varredura de vulnerabilidades e testes de invasão: Agora obrigatórios de forma regular.
- Melhor resposta a incidentes: Diretrizes mais claras sobre como as organizações devem responder a incidentes de segurança.
- Alinhamento com diretrizes do NIST: Adoção de práticas recomendadas amplamente reconhecidas em cibersegurança.
- Sanções mais severas: Penalidades aumentadas para negligência e reincidência em violações de segurança.
Consequências do não cumprimento da HIPAA
As penalidades para violações da HIPAA variam conforme o nível de negligência. As multas podem ir de US$ 100 a US$ 50.000 por infração individual, com um teto anual de US$ 1,9 milhão. Além disso, em casos mais graves, os responsáveis podem enfrentar de 1 a 10 anos de prisão.
A solução da Thales para conformidade com a HIPAA
Nenhuma ferramenta única garante 100% de conformidade com a HIPAA, mas a Thales oferece um conjunto abrangente de soluções de segurança de dados alinhadas aos requisitos da lei. A Thales protege os dados e todos os caminhos de acesso a eles, ajudando sua organização a se tornar mais segura e estar em conformidade.
Como a Thales auxilia na conformidade com a HIPAA:
✅ Análise e mitigação de riscos
✅ Redução de riscos associados a terceiros
✅ Controle de acesso e autenticação robustos
✅ Criptografia de PHI em repouso e em trânsito
✅ Proteção de chaves de criptografia
✅ Anonimização de PHI em bancos de dados
Thales + Imperva: Segurança unificada para dados de saúde
Com a fusão entre Thales e Imperva há um ano, a solução de segurança de dados da Thales se tornou ainda mais robusta. Embora não exista uma solução única para eliminar riscos, a estratégia completa de proteção e monitoramento de dados da Thales simplifica a conformidade com a HIPAA.
Com a Thales, sua empresa pode estar em conformidade com a HIPAA sem precisar investir em múltiplas ferramentas de diferentes fornecedores. A combinação de segurança de aplicações, proteção de dados e gestão de identidade e acesso permite que sua organização atenda aos novos requisitos da HIPAA de forma eficiente.
Conclusão
A Thales se destaca como uma solução essencial para empresas que buscam conformidade com a HIPAA – seja para se adequar às mudanças de 2025 ou manter-se em conformidade contínua. Como a primeira grande mudança na HIPAA em 12 anos, essas atualizações exigem que as empresas reavaliem sua segurança e adotem medidas mais rigorosas para proteção de dados de saúde.
Baixe o Thales Data Threat Report, Healthcare and Life Sciences Edition, e descubra como as soluções de proteção de dados da Thales podem acelerar seu processo de conformidade com a HIPAA.
Esse artigo tem informações retiradas do blog da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.