Rubriques Connexes
À propos des rapports de conformité HIPAA
La règle de sécurité américaine intitulée Health Insurance Portability and Accountability Act (HIPAA) comprend une série de mesures de sécurité administratives, techniques et physiques que les organisations aux États-Unis doivent respecter afin de s'assurer que les informations sur la santé protégées électroniquement (EPHI) restent confidentielles. Les organisations de soins de santé utilisent régulièrement diverses applications informatiques pour leur facturation, leurs paiements, leurs prises de décisions cliniques et la gestion de leurs flux de travail. Tandis que des informations personnelles et confidentielles sont transférées entre divers réseaux, entre fournisseurs de soins de santé, entre employeurs et entre compagnies d'assurances, les organisations doivent protéger ces données pour rester conformes avec la loi HIPAA.
Toutes les entités concernées par la loi HIPAA doivent se conformer à la Règle de sécurité. En règle générale, les normes, les exigences et les spécifications d'implémentation de la loi HIPAA s'appliquent aux entités concernées suivantes :
- Fournisseurs de soins de santé couverts — Tout fournisseur de soins de santé, de fournitures ou de services médicaux transmettant des informations sur la santé au format électronique en rapport avec une transaction pour laquelle le Department of Health and Human Services a adopté une norme.
- Plans de santé — Tout plan individuel ou de groupe fournissant ou payant les frais de soins (par exemple, un prestataire d'assurances santé et les programmes Medicare et Medicaid).
Pour savoir quelles entités sont couvertes par la loi HIPAA, consultez :
- L'Office for Civil Rights (OCR) — www.hhs.gov/ocr/hipaa
- Les CMS — www.cms.hhs.gov, consultez les Règles et Conseils
La règle de sécurité de la loi HIPAA consiste en un certain nombre de précautions dans divers secteurs :
- Administratif
- Physique
- Technique
Chaque ensemble de précautions comprend un certain nombre de normes, qui comprennent elles-mêmes généralement un certain nombre de spécifications d'applications requises ou adressées. Si une spécification d'application est requise, l'entité couverte doit appliquer des politiques et/ou procédures respectant les exigences de cette spécification. Si une spécification d'application est adressée, l'entité couverte doit évaluer s'il s'agit d'une précaution raisonnable et appropriée dans l'environnement de cette entité.
La Règle de sécurité requiert qu'une entité couverte documente les raisons de ses décisions concernant la sécurité.
Bon nombre de précautions administratives et techniques de la loi HIPAA sont larges et générales dans leurs énoncés, et ne spécifient pas d'implémentation technique autre que les bonnes pratiques de sécurité comme l'authentification des utilisateurs, des audits et des rapports réguliers, la gestion des incidents et la réaction à ces incidents. La loi HIPAA concernant initialement la confidentialité, les précautions de sécurité insistent également sur le chiffrement des données.
WatchGuard répond aux normes de conformité spécifiques à la loi HIPAA suivantes :
La spécification d'implémentation de l'Identification d'Utilisateur Unique stipule qu'une entité couverte doit : "Attribuer un nom et/ou un numéro unique pour l'identification et le suivi de l'identité de l'utilisateur." L'identification de l'utilisateur est une manière de trouver un utilisateur particulier d'un système d'information, généralement par son nom et/ou son numéro. Un identificateur d'utilisateur unique permet à une entité de suivre l'activité d'un utilisateur spécifique lorsque cet utilisateur est connecté à un système d'information. Il permet à une entité de responsabiliser les utilisateurs pour des fonctions effectuées sur des systèmes d'information comprenant la politique EPHI lorsqu'ils sont connectés à ces systèmes.
Lorsque cette spécification d'application est une mesure de précaution raisonnable et appropriée pour une entité couverte, cette dernière doit : "Mettre en place un mécanisme électronique de chiffrement et déchiffrement pour les informations électroniques protégées sur la santé."
Fireware XTM offre plusieurs options pour authentifier les utilisateurs et suivre l'activité du réseau par utilisateur ainsi que par adresse IP. Single Sign-On avec Active Directory en est une.
Le standard des Contrôles d'Audit requiert une entité couverte pour : "Mettre en place des mécanismes matériels, logiciels et/ou procéduraux qui enregistrent et examinent l'activité sur les systèmes d'information contenant ou utilisant des informations électroniques protégées sur la santé."
Il est important de souligner que la Règle de sécurité n'identifie pas les données devant être rassemblées par les contrôles d'audit, ni la fréquence avec laquelle les rapports d'audit devraient être examinés. Une entité couverte doit évaluer ses analyses de risques et ses facteurs organisationnels, comme l'infrastructure technique actuelle, ou les capacités de sécurité du matériel et des logiciels, pour déterminer des contrôles d'audit raisonnables et appropriés pour les systèmes d'information contenant ou utilisant la politique EPHI.
Afin de s'assurer que tous les utilisateurs respectent la stratégie de sécurité, il est utile de surveiller régulièrement les clients les plus actifs, ainsi que les clients bloqués des actions enfreignant la stratégie de sécurité.
Des Branch Office VPN peuvent être utilisés pour chiffrer le trafic entre différents emplacements. Des Mobiles VPN peuvent être utilisés pour s'assurer que les employés distants sont connectés de manière sûre avec le bureau ou à un lieu de soins de santé. La configuration du Firebox doit être revue de manière régulière afin de vérifier que les réseaux privés VPN (Virtual Private Network) sont configurés pour tous les emplacements spécifiés dans la stratégie de sécurité de l'entreprise.
1. Mécanisme d'Authentification des Informations Protégées sur la Santé (A) — § 164.312(c)(2)
« Implémenter des procédures pour vérifier si la personne ou l'entité qui tente d'accéder à des informations protégées sur la santé est bien celle qu'elle déclare être. » En général, l'authentification permet de s'assurer que les personnes sont bien celles qu'elles prétendent être avant de leur autoriser l'accès à la politique EPHI.
1. Contrôles d'intégrité (A) — § 164.312(e)(2)(i)
Lorsque cette spécification d'application est une mesure de précaution raisonnable et appropriée pour une entité couverte, cette dernière doit : "Mettre en place des mesures de sécurité pour s'assurer que les informations électroniques protégées sur la santé transmises électroniquement ne soient pas modifiées sans que cela ne soit décelé avant mise à disposition."
2. Chiffrement (A) — § 164.312(e)(2)(ii)
Lorsque cette spécification d'application est une mesure de précaution raisonnable et appropriée pour une entité couverte, cette dernière doit : "Mettre en place un mécanisme pour chiffrer les informations électroniques protégées sur la santé chaque fois que cela est jugé opportun."
Outre l'utilisation de réseaux privés VPN (Virtual Private Network) pour sécuriser les connexions entre différents endroits, les organisations devant se conformer aux règles de la loi HIPAA devraient envisager la fonction SMTP TLS qui peut être utilisée pour s'assurer que les e-mails envoyés entre deux serveurs prenant en charge le TLS sont chiffrés.
Les entités couvertes doivent : "Mettre en place des stratégies et des procédures pour répondre aux incidents de sécurité."
Vous pouvez configurer Fireware XTM pour envoyer des notifications et des alarmes en réponse aux événements de sécurité survenant sur votre réseau.
La spécification de mise en place de Réponse et Génération de Rapports stipule que l'entité couverte doit : "Identifier et répondre aux incidents de sécurité connus ou suspectés; minimiser, dans la mesure du possible, les effets nuisibles des incidents de sécurité connus de l'entité couverte; documenter les incidents de sécurité et leurs conséquences."
Les rapports de WatchGuard comprennent plusieurs rapports prédéfinis offrant des informations destinées à vous aider à vous assurer que votre réseau est conforme aux normes de la loi HIPAA. Ces rapports sont inclus dans le groupe Rapports de conformité.
| Standard | Rapport associé | Description du rapport |
|---|---|---|
| Identification d'utilisateur unique (R) — § 164.312(a)(2)(i) | Rapport d'authentification des utilisateurs refusée | Liste détaillée des utilisateurs dont l'authentification a été refusée Comprend la date, l'heure et la raison de l'échec d'authentification |
| Rapport d'authentification des utilisateurs | Liste détaillée des utilisateurs authentifiés comprend l'heure de connexion, l'heure de déconnexion et les données de méthode de connexion | |
| Norme § 164.312(b) — Contrôles d'Audit | Suivi d'audit | Liste détaillée des modifications de configuration auditées pour un Firebox |
| Mécanisme d'Authentification des Informations Protégées sur la Santé (A) — § 164.312(c)(2) | Rapport d'authentification des utilisateurs refusée | Liste détaillée des utilisateurs dont l'authentification a été refusée Comprend la date, l'heure et la raison de l'échec d'authentification |
| Procédures en cas d'incident de sécurité — § 164.308(a)(6) Réponses et Rapports (R) — § 164.308(a)(6)(ii) |
Alarmes | Tous les enregistrements d'alarme |
| Synthèse des alarmes | Rapport de synthèse de toutes les alarmes | |
| Synthèse de Intrusion Prevention Service | Toutes les actions de prévention des intrusions | |
| Synthèse Gateway AntiVirus | Synthèse des actions Gateway AntiVirus |
Voir les Rapports de Conformité HIPAA dans Dimension
Vous pouvez consulter les rapports de conformité PCI dans WatchGuard Dimension ou planifier les rapports à exporter dans un fichier PDF. Pour plus d'informations, voir Afficher les rapports et Planifier des Rapports
Générer des Rapports de Conformité HIPAA dans Report Manager
Pour surveiller votre réseau et vérifier qu'il est conforma à la loi HIPAA, vous pouvez générer des rapports liés pour chaque exigence.
- Dans WSM Report Server, créez une planification de rapports comprenant les Rapports de conformité requis.
Pour consulter les étapes détaillées, consultez Configurer les paramètres de génération de rapports. - Se connecter à WatchGuard WebCenter pour Afficher les rapports de conformité dans Report Manager.