La Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA) es una ley de los EE. UU. que establece normas nacionales para proteger la privacidad y la seguridad de la información de salud protegida (PHI, por sus siglas en inglés). Incluye normas que rigen cómo las entidades cubiertas y sus socios comerciales utilizan, divulgan, protegen y proporcionan acceso a HIPAA a través de formatos electrónicos, en papel y orales.
Nota
El Modelo de Responsabilidad Compartida de MongoDB Atlas define los deberes complementarios de MongoDB y sus clientes en el mantenimiento de un entorno de datos seguro y resiliente. Bajo este marco, MongoDB gestiona la seguridad y la integridad operativa de la plataforma subyacente, mientras que los clientes son responsables de la configuración, gestión y políticas de datos de sus implementaciones específicas. Para obtener un desglose detallado de la propiedad en materia de seguridad y excelencia operativa, consulta Modelo de responsabilidad compartida.
Bajo HIPAA:
MongoDB es un Asociado comercial, o sea, una entidad que realiza ciertas funciones o actividades que implican el uso o la divulgación de PHI en nombre de, o presta servicios a, una Entidad Cubierta.
Los clientes de MongoDB suelen ser entidades cubiertas, tales como proveedores de atención médica, planes de salud o casas de compensación sanitaria, que crean, reciben, mantienen o transmiten PHI, pero los clientes de MongoDB también pueden ser socios comerciales.
Información de salud protegida (PHI) es cualquier información de salud individual identificable mantenida por una entidad cubierta o un asociado de negocios, incluyendo, por ejemplo, nombres, direcciones, números de seguro social, registros médicos, resultados de pruebas e información de seguro.
HIPAA establece las siguientes reglas clave para el cumplimiento:
Regla de Privacidad: regula cómo se puede utilizar y divulgar la información de salud protegida (PHI) y otorga a los individuos derechos sobre su información de salud.
Regla de seguridad: rige cómo las Entidades Cubiertas y sus Asociados Comerciales deben proteger la información de salud personal electrónica (ePHI) de los individuos.
Regla de notificación de violación: Regula cómo las Entidades Cubiertas y sus Asociados Comerciales proporcionan notificación después de una violación de Información de Salud Protegida (PHI)no asegurada
Importante
Para obtener más información sobre el programa de privacidad y protección de datos de MongoDB, incluida información sobre nuestro Acuerdo de procesamiento de datos, consulta:
MongoDB ha completado una evaluación independiente de su cumplimiento con la regla de seguridad de HIPAA. Para obtener una copia del informe del profesional independiente:
Los clientes existentes pueden solicitar una copia a través del Portal de Confianza del Cliente
Los posibles clientes pueden solicitar acceso contactando con el equipo de ventas de MongoDB
Conéctese con nuestro equipo de ventas para solicitar un acuerdo de asociado comercial (BAA). Para obtener más información, consulta la página HIPAA y Atlas para el gobierno en el Centro de Confianza de MongoDB.
Regla de privacidad
MongoDB Atlas proporciona funcionalidades que asistencia técnica al cumplimiento de la regla de privacidad:
Derecho individual de acceso y rectificación de los registros
La norma de privacidad otorga a las personas derechos sobre su información de salud, incluido el derecho a examinar y obtener una copia de sus registros de salud y a solicitar correcciones cuando proceda.
Las siguientes funciones de MongoDB Atlas respaldan el cumplimiento en esta área:
La Atlas Interfaz de Usuario y los Drivers de MongoDB permiten a los usuarios autorizados conectarse de forma segura a tu implementación de MongoDB Atlas y visualizar, crear, actualizar o borrar documentos que contengan la PHI de un individuo, de acuerdo con tus políticas.
Las robustas capacidades de query de Atlas permiten a los usuarios autorizados localizar y recuperar la PHI de una persona utilizando filtros avanzados y capacidades de agregación.
Retención de datos y eliminación segura
La Regla de Privacidad establece estándares sobre cómo las Entidades Cubiertas deben proteger el PHI a lo largo de su ciclo de vida, incluyendo cuándo PHI ya no es necesario y debe ser eliminado de manera segura.
Los siguientes artículos del Architecture Center de MongoDB Atlas describen las funciones de Atlas que respaldan el cumplimiento en esta área:
Guía para la recuperación ante desastres de Atlas: Cree copias de seguridad de sus datos con fines de recuperación durante su período de retención, habilite políticas de cumplimiento para evitar que las copias de seguridad se modifiquen o eliminen, y elimine de forma segura las copias de seguridad cuando ya no sean necesarias.
Orientaciones para el cifrado de datos de Atlas: Utiliza funcionalidades de cifrado para proteger la PHI en reposo, en tránsito y en uso durante todo su ciclo de vida, incluyendo cuando esté siendo borrada.
Estándar Mínimo Necesario (Minimización de datos)
El estándar mínimo necesario de la Regla de privacidad es el principio de que las Entidades Cubiertas deben tomar medidas razonables para usar, divulgar y solicitar solo la cantidad mínima de PHI necesaria para lograr el propósito previsto del uso, divulgación o solicitud.
Los siguientes artículos del Architecture Center de MongoDB Atlas describen las funciones de Atlas que respaldan el cumplimiento en esta área:
Orientación para auditar y registrar de Atlas: supervisa, registra y revisa eventos de la base de datos como intentos de autenticación de usuarios y ajustes de permisos que afectan el acceso a PHI.
Guía para la encriptación de datos en Atlas: Aplica técnicas de cifrado en uso como el cifrado de campo a nivel de cliente (CSFLE) y el cifrado consultable para limitar la exposición de los datos confidenciales PHI únicamente a los componentes y usuarios autorizados de la aplicación.
Regla de seguridad
MongoDB Atlas proporciona funcionalidades que apoyan el cumplimiento de la regla de seguridad:
Cifrado y seguridad de la transmisión
La Regla de Seguridad establece normas sobre cómo las Entidades Cubiertas deben garantizar la confidencialidad, integridad y disponibilidad de la ePHI, incluso implementando medidas de seguridad técnica para proteger contra el acceso no autorizado a la ePHI que se transmite a través de una red electrónica.
El siguiente artículo del MongoDB Atlas Architecture Center describe las funcionalidades de Atlas que respaldan el cumplimiento en esta área:
Orientación sobre cifrado de datos Atlas: Garantizar el cifrado de datos en tránsito (TLS), en reposo (AES-256, BYOK, llave maestra de cliente, KMS o TDE) y en uso (CSFLE, cifrado aleatorio o Queryable Encryption).
Orientación para la seguridad de red de Atlas: Protege el acceso a la red de los clústeres de Atlas y salvaguarda la ePHI durante la transmisión mediante cifrado en tránsito, listas de acceso IP, configuraciones de firewall, nodos privados y aislamiento de red.
Control de acceso
La Regla de Seguridad requiere que solo el personal autorizado tenga acceso a ePHI.
Los siguientes artículos del Architecture Center de MongoDB Atlas describen las funciones de Atlas que respaldan el cumplimiento en esta área:
Orientación para la autenticación de Atlas: controla el acceso a tus bases de datos de Atlas implementando una gestión de identidad segura con mecanismos de autenticación como la autenticación federada con IdP, AWS IAM autenticación de roles, autenticación multifactor (MFA) y más.
Orientación para la Autorización de Atlas: Garantiza que solo el personal autorizado pueda acceder a ePHI según sus funciones y responsabilidades específicas, implementando una gestión de acceso segura con control de acceso basado en roles (RBAC).
Regla de notificación de vulneraciones
MongoDB Atlas proporciona funcionalidades que apoyan el cumplimiento de la Regla de Notificación de Violaciones:
Auditoría y revisión de la actividad del sistema de información
La norma de notificación de violaciones de seguridad solicita a las Entidades cubiertas y a los Asociados comerciales que implementen mecanismos que registren y examinen la actividad en los sistemas de información que contienen o utilizan ePHI.
Los siguientes artículos del Architecture Center de MongoDB Atlas describen las funciones de Atlas que respaldan el cumplimiento en esta área:
Orientación para la auditoría y el registro de Atlas: se supervisa, registra y revisa los eventos de la base de datos, como los intentos de autenticación de usuarios y los ajustes de permisos.
Orientación para la supervisión y alertas de Atlas: Rastrea el estado del clúster, del rendimiento y de las métricas operativas, y configura alertas que puedan señalar actividades anómalas relevantes para los ePHI.
También se puede aprovechar Atlas Stream Processing para crear pipelines de procesamiento de datos personalizados sobre transmisiones de datos en tiempo real, incluidos temas de Kafka, Kinesis y Atlas Change Streams, una funcionalidad nativa de MongoDB que expone una transmisión ordenada de eventos de cambio (inserción, actualización, eliminación, etc.) de las colecciones, bases de datos o clústeres de MongoDB. Se puede integrar Atlas Stream Processing con herramientas de registro y supervisión de terceros para crear una vista completa de la actividad del sistema para las aplicaciones que procesan ePHI.
Notificación de Brecha y Respuesta a Incidentes
La Norma de Notificación de Incumplimiento establece estándares sobre cómo las Entidades Cubiertas y los Asociados Comerciales deben proporcionar la notificación tras un incumplimiento de PHI no asegurada.
Integraciones de Terceros con herramientas SIEM como PagerDuty, Microsoft Teams y Prometheus, admiten el enrutamiento de alertas, notificaciones bajo demanda y flujos de trabajo coordinados de respuesta ante incidentes.
Planificación de contingencias: alta disponibilidad y recuperación ante desastres
MongoDB Atlas proporciona funcionalidades que dan soporte a la planificación de contingencias para garantizar la disponibilidad y capacidad de recuperación de ePHI en caso de una emergencia u otro evento que dañe los sistemas que contienen ePHI.
Los siguientes artículos del Architecture Center de MongoDB Atlas describen las funciones de Atlas que respaldan el cumplimiento en esta área:
Guía para alta disponibilidad de Atlas: Crea configuraciones de clúster que cumplan con tus necesidades de disponibilidad y aceleren la recuperación ante desastres mediante la conmutación automática por error y la replicación de datos.
Guía para la recuperación ante desastres de Atlas: Cree y gestione copias de seguridad de sus clústeres de Atlas para cumplir con sus objetivos de RPO y RTO.
Orientación para la recuperación ante desastres de Atlas: crear un plan de recuperación ante desastres con los pasos a seguir si se experimenta una interrupción del servicio, la eliminación accidental de datos de producción, entre otros casos.