La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) es una ley estadounidense que establece estándares nacionales para proteger la privacidad y la seguridad de la información médica protegida (PHI). Incluye normas que rigen cómo las Entidades Cubiertas y sus Socios Comerciales usan, divulgan, protegen y brindan acceso a la misma. HIPAA a través de formatos electrónicos, en papel y orales.
Bajo HIPAA:
MongoDB es una Socio comercial, o sea, una entidad que realiza ciertas funciones o actividades que implican el uso o la divulgación de PHI en nombre de, o presta servicios a, una Entidad Cubierta.
Los clientes de MongoDB suelen ser entidades cubiertas, como proveedores de atención médica, planes de salud o centros de intermediación de datos de salud, que crean, reciben, mantienen o transmiten PHI, pero los clientes de MongoDB también pueden ser asociados comerciales.
Información de salud protegida (PHI) es cualquier información de salud individual identificable mantenida por una entidad cubierta o un asociado de negocios, incluyendo, por ejemplo, nombres, direcciones, números de seguro social, registros médicos, resultados de pruebas e información de seguro.
HIPAA establece las siguientes reglas clave para el cumplimiento:
Regla de Privacidad: regula cómo se puede utilizar y divulgar la información de salud protegida (PHI) y otorga a los individuos derechos sobre su información de salud.
Regla de seguridad: rige cómo las Entidades Cubiertas y sus Asociados Comerciales deben proteger la información de salud personal electrónica (ePHI) de los individuos.
Regla de notificación de incumplimiento: regula cómo las Entidades Cubiertas y sus Asociados Comerciales proporcionan una notificación tras una violación de PHIno seguras
Entendemos que el cumplimiento de la HIPAA es una responsabilidad compartida entre MongoDB, vos y sus clientes finales. Las secciones siguientes describen cómo las funciones de MongoDB Atlas pueden respaldar tu cumplimiento con estas reglas principales de HIPAA.
Importante
Para obtener más información sobre el programa de privacidad y protección de datos de MongoDB, incluida información sobre nuestro Acuerdo de procesamiento de datos, consulta:
MongoDB ha completado una evaluación independiente de su cumplimiento con la regla de seguridad de HIPAA. Para obtener una copia del informe del profesional independiente:
Los clientes existentes pueden solicitar una copia a través del Portal de Confianza del Cliente
Los posibles clientes pueden solicitar acceso contactando con el equipo de ventas de MongoDB
Conéctese con nuestro equipo de ventas para solicitar un acuerdo de asociado comercial (BAA). Para obtener más información, consulta la página HIPAA y Atlas para el gobierno en el Centro de Confianza de MongoDB.
Regla de privacidad
MongoDB Atlas proporciona funciones que respaldan el cumplimiento de la regla de privacidad:
Derecho individual de acceso y rectificación de registros
La Regla de Privacidad otorga a las personas derechos sobre su información de salud, incluido el derecho a examinar y obtener una copia de sus registros médicos y a solicitar correcciones cuando sea apropiado.
Las siguientes funciones de MongoDB Atlas respaldan el cumplimiento en esta área:
La interfaz de usuario de Atlas y los controladores de MongoDB permiten a los usuarios autorizados conectarse de forma segura a su implementación de MongoDB Atlas y ver, crear, actualizar o eliminar documentos que contengan la PHI de una persona de acuerdo con sus políticas.
Las sólidas query capabilities de Atlas permiten a los usuarios autorizados localizar y recuperar la PHI de un individuo utilizando filtros avanzados y capacidades de agregación.
Retención de datos y eliminación segura
La Privacy Rule establece estándares sobre cómo las entidades cubiertas deben proteger la PHI durante todo su ciclo de vida, incluido cuando la PHI ya no sea necesaria y deba eliminarse de forma segura.
Los siguientes artículos del Architecture Center de MongoDB Atlas describen las funciones de Atlas que respaldan el cumplimiento en esta área:
Orientación para copias de seguridad de Atlas: cree copias de seguridad de sus datos con fines de recuperación durante su período de retención, habilite políticas de cumplimiento para evitar que las copias de seguridad se modifiquen o eliminen, y elimine de forma segura las copias de seguridad cuando ya no sean necesarias.
Guía para el cifrado de datos de Atlas: Utiliza funciones de cifrado para proteger la PHI en reposo, en tránsito y en uso durante todo su ciclo de vida, incluso cuando se esté eliminando.
Estándar Mínimo Necesario (Minimización de datos)
El estándar mínimo necesario de la Regla de Privacidad es el principio de que las entidades cubiertas deben tomar medidas razonables para usar, divulgar y solicitar solo la cantidad mínima de PHI necesaria para cumplir con el propósito previsto del uso, divulgación o solicitud.
Los siguientes artículos del Architecture Center de MongoDB Atlas describen las funciones de Atlas que respaldan el cumplimiento en esta área:
Orientación para la auditoría y el registro de Atlas: supervisa, registra y revisa eventos en la base de datos como intentos de autenticación de usuarios y ajustes de permisos que impactan el acceso a PHI.
Guía para el cifrado de datos Atlas: Aplica técnicas de cifrado en uso como el cifrado a nivel de campo del lado del cliente (CSFLE) y el cifrado consultable para limitar la exposición de datos sensibles de PHI solo a componentes y usuarios autorizados de la aplicación.
Regla de seguridad
MongoDB Atlas proporciona funciones que respaldan el cumplimiento de la regla de seguridad:
Cifrado y seguridad de transmisión
La Regla de Seguridad establece normas sobre cómo las Entidades Cubiertas deben asegurar la confidencialidad, integridad y disponibilidad de ePHI, incluyendo la implementación de medidas técnicas de seguridad para proteger contra el acceso no autorizado a ePHI que se transmite a través de una red electrónica.
El siguiente artículo del MongoDB Atlas Architecture Center describe las funcionalidades de Atlas que respaldan el cumplimiento en esta área:
Orientación sobre cifrado de datos Atlas: Garantizar el cifrado de datos en tránsito (TLS), en reposo (AES-256, BYOK, llave maestra de cliente, KMS o TDE) y en uso (CSFLE, cifrado aleatorio o Queryable Encryption).
Guía para la Seguridad de la Red de Atlas: Proteja el acceso a la red de los clústeres de Atlas y proteja el ePHI durante la transmisión con cifrado en tránsito, listas de acceso IP, configuraciones de firewall, nodos privados y aislamiento de red.
Control de acceso
La Norma de Seguridad requiere que solo el personal autorizado tenga acceso a ePHI.
Los siguientes artículos del Architecture Center de MongoDB Atlas describen las funciones de Atlas que respaldan el cumplimiento en esta área:
Orientación para la autenticación de Atlas: Controle el acceso a sus bases de datos de Atlas implementando una gestión segura de identidades, con mecanismos de autenticación como la autenticación federada con IdPs, autenticación de roles de AWS IAM, autenticación multifactor (MFA), y mucho más.
Orientación para la autorización de Atlas: Garantiza que solo el personal autorizado pueda acceder al ePHI según funciones y responsabilidades laborales específicas, implementando una gestión segura de acceso con control de acceso basado en roles (RBAC).
Regla de notificación de infracciones
MongoDB Atlas proporciona funciones que respaldan el cumplimiento de la regla de notificación de infracciones:
Revisión de la actividad de auditoría y sistemas de información
La Regla de Notificación de Infracciones solicita a las Entidades Cubiertas y Asociados Comerciales implementar mecanismos que registren y examinen la actividad en sistemas de información que contengan o utilicen ePHI.
Los siguientes artículos del Architecture Center de MongoDB Atlas describen las funciones de Atlas que respaldan el cumplimiento en esta área:
Orientación para auditoría y registro de Atlas: supervise, registre y revise eventos de la base de datos, como intentos de autenticación de usuarios y ajustes de permisos.
Orientación para la supervisión de Atlas y las alertas: Rastrea la salud del clúster, el rendimiento y las métricas operativas, y configura alertas que puedan mostrar actividad anómala relevante para ePHI.
También se puede aprovechar Atlas Stream Processing para compilar pipelines de procesamiento de datos personalizados sobre flujos de datos en tiempo real, incluidos temas de Kafka, Kinesis y Atlas Change Streams, una funcionalidad nativa de MongoDB que expone una secuencia ordenada de eventos de cambio (insertar, actualizar, borrar, etc.) de las colecciones, bases de datos o clústeres de MongoDB. Puedes integrar Atlas Stream Processing con herramientas de supervisión y registro de terceros para crear una vista integral de la actividad del sistema para tus aplicaciones que procesan ePHI.
Notificación de Brecha y Respuesta a Incidentes
La Regla de Notificación de Violaciones establece los estándares sobre cómo las entidades cubiertas y los asociados comerciales deben proporcionar notificación tras una violación de PHI no asegurada.
Integraciones de Terceros con herramientas SIEM como PagerDuty, Microsoft Teams y Prometheus, admiten el enrutamiento de alertas, la notificación en guardia y los flujos de trabajo coordinados de respuesta ante incidentes.
Planificación de contingencias: alta disponibilidad y recuperación ante desastres
MongoDB Atlas proporciona funcionalidades que respaldan la planificación de contingencias para garantizar la disponibilidad y recuperabilidad de ePHI en caso de emergencia u otro evento que perjudique sistemas que contengan ePHI.
Los siguientes artículos del Architecture Center de MongoDB Atlas describen las funciones de Atlas que respaldan el cumplimiento en esta área:
Guía para alta disponibilidad de Atlas: Crea configuraciones de clúster que cumplan con tus necesidades de disponibilidad y aceleren la recuperación ante desastres mediante la conmutación automática por error y la replicación de datos.
Orientación para copias de seguridad de Atlas: Crea y gestiona copias de seguridad de tus clústeres de Atlas para cumplir tus objetivos de RPO y RTO.
Guía para la recuperación ante desastres de Atlas: cree un plan de recuperación ante desastres con los pasos a seguir si experimenta una interrupción, eliminación accidental de datos de producción y más.