La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) es una ley estadounidense que establece estándares nacionales para proteger la privacidad y la seguridad de la información médica protegida (PHI). Incluye normas que rigen cómo las Entidades Cubiertas y sus Socios Comerciales usan, divulgan, protegen y brindan acceso a la misma. PHI en formatos electrónicos, en papel y orales.
Según HIPAA:
Los clientes de MongoDB suelen ser entidades cubiertas, como proveedores de atención médica, planes de salud o cámaras de compensación de atención médica, que crean, reciben, mantienen o transmiten PHI, pero los clientes de MongoDB también pueden ser socios comerciales.
La información médica protegida (PHI) es cualquier información médica individualmente identificable que posee una entidad cubierta o un socio comercial, incluidos, por ejemplo, nombres, direcciones, números de seguro social, registros médicos, resultados de pruebas e información del seguro.
HIPAA establece las siguientes reglas clave para el cumplimiento:
Regla de privacidad: regula cómo se puede usar y divulgar la información médica protegida (PHI), y otorga a las personas derechos sobre su información médica.
Regla de seguridad: rige cómo las entidades cubiertas y sus socios comerciales deben proteger la información médica personal electrónica (ePHI) de las personas.
Regla de notificación de infracciones: regula cómo las entidades cubiertas y sus socios comerciales proporcionan notificaciones después de una infracción de PHI no segura.
Entendemos que el cumplimiento de la HIPAA es una responsabilidad compartida entre MongoDB, usted y sus clientes finales. Las siguientes secciones describen cómo las funciones de MongoDB Atlas pueden ayudarle a cumplir con estas normas fundamentales de la HIPAA.
Importante
Para obtener más información sobre el programa de privacidad y protección de datos de MongoDB, incluida información sobre nuestro Acuerdo de procesamiento de datos, consulte:
MongoDB ha completado una evaluación independiente de su cumplimiento con la regla de seguridad de HIPAA. Para obtener una copia del informe del profesional independiente:
Los clientes existentes pueden solicitar una copia a través del Portal de Confianza del Cliente
Los clientes potenciales pueden solicitar acceso contactándose con el equipo de ventas de MongoDB.
Contacte con nuestro equipo de ventas para solicitar un Acuerdo de Asociado Comercial (BAA). Para obtener más información, consulte la página HIPAA y Atlas para Gobierno en el Centro de Confianza de MongoDB.
Regla de privacidad
MongoDB Atlas proporciona funciones que respaldan el cumplimiento de la regla de privacidad:
Derecho individual de acceso y rectificación de registros
La Regla de Privacidad otorga a las personas derechos sobre su información de salud, incluido el derecho a examinar y obtener una copia de sus registros médicos y a solicitar correcciones cuando sea apropiado.
Las siguientes características de MongoDB Atlas respaldan el cumplimiento en esta área:
La interfaz de usuario de Atlas y los controladores de MongoDB permiten a los usuarios autorizados conectarse de forma segura a su implementación de MongoDB Atlas y ver, crear, actualizar o eliminar documentos que contengan la PHI de una persona de acuerdo con sus políticas.
Las sólidas capacidades de consulta de Atlas permiten a los usuarios autorizados localizar y recuperar la PHI de un individuo utilizando filtros enriquecidos y capacidades de agregación.
Retención de datos y eliminación segura
La Regla de Privacidad establece estándares sobre cómo las Entidades Cubiertas deben proteger la PHI durante todo su ciclo de vida, incluso cuando la PHI ya no es necesaria y debe eliminarse de forma segura.
Los siguientes artículos del Centro de arquitectura de MongoDB Atlas describen las características de Atlas que respaldan el cumplimiento en esta área:
Orientación para copias de seguridad de Atlas: cree copias de seguridad de sus datos con fines de recuperación durante su período de retención, habilite políticas de cumplimiento para evitar que las copias de seguridad se modifiquen o eliminen, y elimine de forma segura las copias de seguridad cuando ya no sean necesarias.
Orientación para el cifrado de datos de Atlas: utilice funciones de cifrado para proteger la PHI en reposo, en tránsito y en uso durante todo su ciclo de vida, incluso cuando se elimina.
Estándar mínimo necesario (minimización de datos)
El estándar mínimo necesario de la Regla de Privacidad es el principio de que las entidades cubiertas deben tomar medidas razonables para usar, divulgar y solicitar solo la cantidad mínima de PHI necesaria para cumplir con el propósito previsto del uso, divulgación o solicitud.
Los siguientes artículos del Centro de arquitectura de MongoDB Atlas describen las características de Atlas que respaldan el cumplimiento en esta área:
Orientación para auditoría y registro de Atlas: supervisar, registrar y revisar eventos de la base de datos, como intentos de autenticación de usuarios y ajustes de permisos que afectan el acceso a la PHI.
Orientación para el cifrado de datos Atlas: aplique técnicas de cifrado en uso como el cifrado a nivel de campo del lado del cliente (CSFLE) y el cifrado consultable para limitar la exposición de datos PHI confidenciales únicamente a los componentes y usuarios autorizados de la aplicación.
Regla de seguridad
MongoDB Atlas proporciona funciones que respaldan el cumplimiento de la regla de seguridad:
Cifrado y seguridad de transmisión
La Regla de Seguridad establece estándares sobre cómo las Entidades Cubiertas deben garantizar la confidencialidad, integridad y disponibilidad de la ePHI, incluso mediante la implementación de medidas de seguridad técnicas que protejan contra el acceso no autorizado a la ePHI que se transmite a través de una red electrónica.
El siguiente artículo del Centro de arquitectura Atlas de MongoDB describe las características de Atlas que respaldan el cumplimiento en esta área:
Guía para el cifrado de datos de Atlas: garantizar el cifrado de datos en tránsito (TLS), en reposo (AES-,256 BYOK, CMK, KMS o TDE) y en uso (CSFLE, cifrado aleatorio o cifrado consultable).
Orientación para la seguridad de la red Atlas: proteja el acceso a la red de los clústeres Atlas y proteja la ePHI durante la transmisión con cifrado en tránsito, listas de acceso IP, configuraciones de firewall, puntos finales privados y aislamiento de red.
Control de acceso
La regla de seguridad requiere que sólo el personal autorizado tenga acceso a la ePHI.
Los siguientes artículos del Centro de arquitectura de MongoDB Atlas describen las características de Atlas que respaldan el cumplimiento en esta área:
Orientación para la autenticación de Atlas: implemente el control de acceso y la autenticación de usuarios para proteger la ePHI a través de la gestión de identidad segura, incluido el soporte para la autenticación federada con IdP, la autenticación de rolesde AWS IAM, la autenticación multifactor (MFA) y más.
Orientación para la autorización de Atlas: Implementar la seguridad de la fuerza laboral, la gestión del acceso a la información y la responsabilidad de seguridad asignada para garantizar que solo el personal autorizado pueda acceder a ePHI en función de sus funciones y responsabilidades laborales específicas.
Regla de notificación de infracciones
MongoDB Atlas proporciona funciones que respaldan el cumplimiento de la regla de notificación de infracciones:
Revisión de la actividad de auditoría y sistemas de información
La Regla de Notificación de Infracciones solicita a las Entidades Cubiertas y a los Socios Comerciales que implementen mecanismos que registren y examinen la actividad en los sistemas de información que contengan o utilicen ePHI.
Los siguientes artículos del Centro de arquitectura de MongoDB Atlas describen las características de Atlas que respaldan el cumplimiento en esta área:
Orientación para auditoría y registro de Atlas: supervise, registre y revise eventos de la base de datos, como intentos de autenticación de usuarios y ajustes de permisos.
Orientación para monitoreo y alertas de Atlas: realice un seguimiento del estado, el rendimiento y las métricas operativas del clúster y configure alertas que puedan revelar actividad anómala relevante para ePHI.
También puede aprovechar Atlas Stream Processing para crear canales de procesamiento de datos personalizados basados en flujos de datos en tiempo real, incluyendo temas de Kafka, Kinesis y Atlas Change Streams, una función nativa de MongoDB que expone un flujo ordenado de eventos de cambio (inserción, actualización, eliminación, etc.) desde sus colecciones, bases de datos o clústeres de MongoDB. Puede integrar Atlas Stream Processing con herramientas de monitorización y registro de terceros para crear una vista completa de la actividad del sistema para sus aplicaciones que procesan ePHI.
Notificación de infracciones y respuesta a incidentes
La Regla de Notificación de Infracciones establece estándares sobre cómo las Entidades Cubiertas y los Socios Comerciales deben proporcionar notificaciones luego de una violación de PHI no segura.
Las integraciones de terceros con herramientas SIEM como PagerDuty, Microsoft Teams y Prometheus admiten el enrutamiento de alertas, la notificación de guardia y los flujos de trabajo coordinados de respuesta a incidentes.
Planificación de contingencias: alta disponibilidad y recuperación ante desastres
MongoDB Atlas proporciona funciones que respaldan la planificación de contingencias para garantizar la disponibilidad y capacidad de recuperación de ePHI en caso de una emergencia u otro evento que dañe los sistemas que contienen ePHI.
Los siguientes artículos del Centro de arquitectura de MongoDB Atlas describen las características de Atlas que respaldan el cumplimiento en esta área:
Orientación para alta disponibilidad de Atlas: cree configuraciones de clúster que satisfagan sus necesidades de disponibilidad y agilicen la recuperación ante desastres mediante conmutación por error automatizada y replicación de datos.
Orientación para copias de seguridad de Atlas: cree y administre copias de seguridad de sus clústeres Atlas para cumplir con sus objetivos de RPO y RTO.
Guía para la recuperación ante desastres de Atlas: cree un plan de recuperación ante desastres con los pasos a seguir si experimenta una interrupción, eliminación accidental de datos de producción y más.