O Health Seguros Portabilidade e responsabilidade (HIPAA) é uma lei dos EUA que define padrões Nacionais para proteger a privacidade e a segurança das informações de saúde protegidas (PHI). Inclui regras que regem como as Entidades cobertas e seus Associados comerciais usam, expõem, protegem e fornecem acesso a PHI em formatos eletrônicos, em papel e orais.
De acordo com a HIPAA:
O MongoDB é um associado comercial, ou seja, uma entidade que executa determinadas funções ou atividades que envolvem o uso ou a publicação de PHI em nome de uma Entidade coberta, ou que fornece serviços a uma Entidade coberta.
Os clientes do MongoDB geralmente são Entidades Cobertas, como provedores de saúde, planos de saúde ou casas de compensação de saúde, que criam, recebem, mantêm ou transmitem PHI, mas os clientes do MongoDB também podem ser Parceiros Comerciais.
Informação de Saúde Protegida (PHI) é qualquer informação de saúde individualmente identificável mantida por uma Entidade Coberta ou Associado Empresarial, incluindo, por exemplo, nomes, endereços, números de Segurança Social, registos médicas, resultados de testes e informações de seguro.
O HIPAA estabelece as seguintes regras principais de compliance:
Regra de privacidade: rege como informações de saúde protegidas (PHI) podem ser usadas e disponibilizadas e dá aos individuais direitos sobre suas informações de saúde
Regra de segurança: rege como as Entidades cobertas e seus associados comerciais devem proteger as informações eletrônicas pessoais de saúde (ePHI) dos usuários
Regra de notificação de violação: controla como as Entidades Cobertas e seus Associados Comerciais fornecem notificação após uma violação de PHI não protegida
Entendemos que a conformidade com a HIPAA é uma responsabilidade compartilhada entre o MongoDB, você e seus clientes finais. As seções a seguir descrevem como os recursos do MongoDB Atlas podem oferecer suporte à sua conformidade com essas regras principais da HIPAA.
Importante
Para saber mais sobre o programa de privacidade e proteção de dados da MongoDB, incluindo informações sobre nosso Acordo de Processamento de Dados, consulte:
O MongoDB concluiu uma avaliação independente de conformidade com a Regra de Segurança HIPAA. Para obter uma cópia do relatório do árbitro independente:
Os clientes existentes podem solicitar uma cópia por meio do Portal de confiança do cliente
Clientes em potencial podem solicitar acesso entrar em contato com a equipe de vendas do MongoDB
Conecte-se com nossa equipe de vendas para solicitar um Contrato de Associado Empresarial (BAA). Para saber mais, consulte a página HIPAA e Atlas For Government no MongoDB Trust Center.
Regra de privacidade
O MongoDB Atlas fornece recursos que oferecem suporte à conformidade com a regra de privacidade:
direito individual de acesso e retificação de registros
A Regra de Privacidade dá aos individuais direitos sobre suas informações de saúde, incluindo o direito de examinar e obter uma cópia de seus registros de saúde e de solicitar correções quando apropriado.
As seguintes funcionalidades do MongoDB Atlas oferecem suporte à compliance nessa área:
A UI do Atlas e os drivers do MongoDB permitem que usuários autorizados se conectem com segurança à sua implantação do MongoDB Atlas e visualizem, criem, atualizem ou excluam documentos contendo o PHI de um individual de acordo com suas políticas.
Os robustos recursos de query do Atlas permitem que os usuários autorizados localizem e recuperem o PHI de um indivíduo usando filtros avançados e recursos de agregação .
Retenção de dados e descarte seguro
A Regra de Privacidade define padrões de como as Entidades cobertas devem proteger o PHI durante todo o seu ciclo de vida, inclusive quando o PHI não é mais necessário e deve ser descartado com segurança.
Os seguintes artigos do MongoDB Atlas Architecture Center descrevem os recursos do Atlas que oferecem suporte à conformidade nessa área:
Orientação para backups do Atlas: Crie backups de seus dados para fins de recuperação durante o período de retenção, habilite políticas de conformidade para evitar que os backups sejam modificados ou excluídos e exclua backups com segurança quando não forem mais necessários.
Orientação para criptografia de dados do Atlas : Use recursos de criptografia para proteger o PHI em repouso, em trânsito e em uso durante todo o seu ciclo de vida, inclusive quando estiver sendo excluído.
Padrão mínimo necessário (minimização de dados)
O padrão mínimo necessário da regra de privacidade é o princípio de que as Entidades Cobertas devem tomar medidas razoáveis para usar, publicar e solicitar somente a quantidade mínima de PHI necessária para realizar a finalidade do uso, da publicação ou da solicitação.
Os seguintes artigos do MongoDB Atlas Architecture Center descrevem os recursos do Atlas que oferecem suporte à conformidade nessa área:
Orientação para Auditoria e Registro do Atlas: Monitore, registre e revise eventos do banco de dados , como tentativas de autenticação do usuário e ajustes de permissão que impacto o acesso ao PHI.
Orientação para o Atlas Data Encryption: Aplique a criptografia em técnicas de uso, como a criptografia no nível do campo do lado do cliente (CSFLE) e a Queryable Encryption , para limitar a exposição de dados confidenciais de PHI apenas a componentes de aplicação e usuários autorizados.
Regra de segurança
O MongoDB Atlas fornece recursos que oferecem suporte à conformidade com a regra de segurança:
Segurança de criptografia e transmissão
A Regra de Segurança define padrões sobre como as Entidades Cobertas devem garantir a confidencialidade, integridade e disponibilidade do ePHI, inclusive implementando medidas técnicas de segurança que protegem contra o acesso não autorizado ao ePHI que está sendo transmitido por uma rede eletrônica.
O seguinte artigo do MongoDB Atlas Architecture Center descreve os recursos do Atlas que oferecem suporte à conformidade nessa área:
Orientação para criptografia de dados do Atlas : Garanta a criptografia de dados em trânsito (TLS), em repouso (AES-,256 BYOK, CMK, KMS ou TDE) e em uso (CSFLE, criptografia aleatória ou criptografia consultável).
Orientação para a Segurança de Rede Atlas: Proteja o acesso de rede aos clusters Atlas e proteja o ePHI durante a transmissão com criptografia em trânsito, listas de acesso IP, configurações de firewall , endpoints privados e isolamento de rede.
Controle de acesso
A regra de segurança exige que apenas pessoal autorizado tenha acesso ao ePHI.
Os seguintes artigos do MongoDB Atlas Architecture Center descrevem os recursos do Atlas que oferecem suporte à conformidade nessa área:
Orientação para Autenticação do Atlas: Implemente o controle de acesso e a autenticação do usuário para proteger o ePHI por meio do gerenciamento seguro de identidades, incluindo suporte para Autenticação Federada com IdPs, autenticação defunção AWS IAM, autenticação multifatorial (MFA) e muito mais.
Orientação para autorização do Atlas: implemente a segurança da força de trabalho, o gerenciamento de acesso a informações e a responsabilidade de segurança atribuída para garantir que apenas o pessoal autorizado possa acessar o ePHI com base em suas funções e responsabilidades de tarefa específicas.
Regra de notificação de violação
O MongoDB Atlas fornece recursos que oferecem suporte à conformidade com a Regra de notificação de violação:
Auditoria e Análise da Atividade do Sistema de Informação
A regra de notificação de violação solicita que as entidades cobertas e os parceiros comerciais implementem mecanismos que registrem e examinem a atividade em sistemas de informação que contenham ou usem ePHI.
Os seguintes artigos do MongoDB Atlas Architecture Center descrevem os recursos do Atlas que oferecem suporte à conformidade nessa área:
Orientação para Auditoria e Registro do Atlas: Monitore, registre e revise eventos do banco de dados , como tentativas de autenticação do usuário e ajustes de permissão.
Orientações para o Atlas Monitoring e Alertas: Acompanhe a integridade, o desempenho e as métricas operacionais do cluster e configure alertas que podem exibir atividades anômalas relevantes para o ePHI.
Você também pode aproveitar o Atlas Stream Processing para criar pipelines de processamento de dados personalizados sobre fluxos de dados em tempo real, incluindo tópicos do Kafka, Kinesis e Atlas Change Streams, um recurso nativo do MongoDB que expõe um fluxo ordenado de eventos de mudança (inserir, atualizar, excluir , etc.) das suas collections, bancos de dados ou clusters do MongoDB . Você pode integrar o Atlas Stream Processing com ferramentas de monitoramento e registro de terceiros para criar uma visão abrangente da atividade do sistema para seus aplicativos que processam o ePHI.
Notificação de violação e resposta a instâncias
A Regra de Notificação de Violações define padrões sobre como as Entidades Cobertas e os Parceiros Comerciais devem notificar após uma violação de PHI não protegida.
Integrações de terceiros com ferramentas SIEM, como PagerDuty, Microsoft Teams e Prometheus, oferecem suporte ao roteamento de alerta , notificação de chamada e fluxos de trabalho coordenados de resposta a incidentes.
Planejamento de contingência: alta disponibilidade e recuperação após desastres
O MongoDB Atlas oferece recursos que oferecem suporte ao planejamento de contingência para garantir a disponibilidade e a recuperabilidade do ePHI no evento de uma emergência ou outro evento que danifique os sistemas que contêm o ePHI.
Os seguintes artigos do MongoDB Atlas Architecture Center descrevem os recursos do Atlas que oferecem suporte à conformidade nessa área:
Orientação para a alta disponibilidade do Atlas: crie configurações de cluster que atendam às suas necessidades de disponibilidade e agilize a recuperação de desastres por meio de failover automatizado e replicação de dados.
Orientação para backups do Atlas : Crie e gerencie backups de seus clusters do Atlas para atingir suas metas de RPO e RTO.
Orientação para Recuperação de desastres do Atlas : Crie um plano de recuperação de desastres com etapas a serem seguidas se você enfrentar uma interrupção, exclusão acidental de dados de produção e muito mais.