Construyendo un sitio web compatible con HIPAA (Guía para principiantes)

La ley sobre portabilidad y responsabilidad del seguro de salud (sitio web de HIPAA) establece diferentes orientaciones (aprobadas en 1996) a ser adoptadas por cualquier persona a cargo de cualquier datos médicos electrónicos. Estas pautas estipulan que todos los servicios médicos y hospitalarios deben garantizar que las medidas necesarias se tomen para ahorrar, acceder y compartir cualquier datos médicos electrónicos para mantener segura la información de los pacientes. El incumplimiento de las regulaciones de HIPAA sobre los estándares de seguridad podría conducir a altas multas e incluso a la pérdida de licencias médicas.
Se esconde el contenido
¿Quién debería respetar a HIPAA?
Un breve resumen de las regulaciones de HIPAA
HIPAA y sitios de WordPress
¿Cómo hacer que su sitio compatible con HIPAA?
Comience analizando los riesgos potenciales
Encuentra un servicio de alojamiento adecuado
Aproveche la fuerza de los complementos
Tenga cuidado con los complementos
Almacene EPI fuera de WordPress
Use todos los consejos de seguridad comunes
Verifique todas las nuevas cuentas de usuario
¿Quién debería respetar a HIPAA? Entre los que tienen que respetar HIPAA se encuentran cualquier entidad que proporcione o pague servicios de atención médica. Esto puede incluir centros clínicos, planes de salud y cualquier otro tipo de proveedor de asistencia médica (atención, servicios o consumibles relacionados con la salud de una persona, incluidos preventivos, diagnóstico, terapéutico, rehabilitación, mantenimiento o cuidados paliativos, asesoramiento, servicios, evaluación o procedimientos relacionados con para la salud física, el estado mental o el estado funcional de un individuo que afecta la estructura o función del cuerpo).
Las entidades híbridas, que realizan algunas de las funciones enumeradas anteriormente, también deben cumplir. Un ejemplo de esto son las universidades que tienen hospitales. El hospital universitario transmite la información de salud personal electrónicamente, que a su vez está cubierta por HIPAA. Por otro lado, imagine que la misma universidad tiene un laboratorio de investigación que no está integrado en el hospital. En este caso, este laboratorio no necesita ser HIPAA compatible. Esto se debe a que, a pesar del hecho de que está a cargo de la información de salud, no tiene acceso a la misma información que el hospital. Derechos de HIPAA

Un breve resumen de las regulaciones HIPAA con el eslogan HIPAA que es “su información de salud, sus derechos”, no es una sorpresa que los ciudadanos estén en el centro de esta Ley. Estas son las disposiciones más importantes: Acceso a la información: cualquier persona puede tener acceso a su propia información de salud. Pueden sugerir correcciones y obtener niños físicos o electrónicos. Intercambio de información: los ciudadanos pueden necesitar compartir información a médicos o especialistas médicos por cualquier motivo y, con HIPAA, esto es posible, porque toda la información está en línea y puede elegir con quién compartirlos.
Protección de la información: todas las entidades que deben cumplir con HIPAA deben cumplir con las reglas específicas de HIPAA, como la regla de privacidad de HIPAA o la regla de seguridad de HIPAA. Esto se refiere al intercambio de información, si la información del paciente no puede divulgarse sin autorización (excepto casos específicos). HIPAA y sitios de WordPress Si tiene un sitio médico construido en WordPress, es posible que se pregunte si necesita (y puede) respetar HIPAA. De hecho, no se centra en el cumplimiento de los sitios web, lo que hace un requisito de HIPAA para sitios web ligeramente vagos. En este sentido, hay otro concepto importante que llegar: Ephi. Este acrónimo, que significa “información de salud electrónica protegida”, se refiere a cualquier información en un formato digital que pueda usarse para identificar a un paciente. HIPAA tiene los mismos requisitos de confidencialidad para todos los tipos de PHI, físicos u otros tipos, lo que lo convierte en una parte esencial de la conformidad de HIPAA. En vista de esto, aplicar las garantías que cumplen con los requisitos de HIPAA con respecto a la confidencialidad, integridad y disponibilidad de Ephi se convierte en una necesidad. Cualquier sitio web de Conex debe implementar medidas administrativas, físicas, técnicas y de seguridad, de modo que siempre se garantice la confidencialidad de cualquier información de salud protegida.
Vale la pena mencionar que una parte esencial de cualquier programa de cumplimiento efectivo HIPAA es un Acuerdo de Asociación de Negocios (BAA). Si una organización manipula, usa, distribuye o accede a la información de salud protegida (PHI), califican como BAA de acuerdo con las regulaciones de HIPAA. ¿Cómo hacer que su sitio compatible con HIPAA? Aunque no hay una manera simple de crear un sitio de WordPress que respete HIPAA, hay algunos pasos que pueden y deben lograrse. Comience analizando los riesgos potenciales de acuerdo con las actividades y el propósito del sitio web, los riesgos pueden variar bastante poco, por lo que es imposible tener un análisis de riesgo universal que se adapte a todos los casos. Los propietarios de sitios web deben tener en cuenta los ataques ciberninarios ordinarios y tratar de identificar todas las situaciones en las que se tratará Ephi. Encuentre un servicio de alojamiento adecuado si no se ocupa de su sitio web, es importante elegir el servicio de alojamiento adecuado. Hacer un sitio web de WordPress compatible con HIPAA es absolutamente inútil si el servicio de alojamiento es débil y frágil. Entonces se vuelve importante elegir un servicio de alojamiento de acuerdo con HIPAA, que debería proporcionar un firewall poderoso, una conexión VPN cifrada, para que nadie pueda oler su tráfico. Y proporcionar a los niños de repuesto fuera del sitio, para que los datos nunca se pierdan, entre otras características de seguridad importantes y útiles. Si desea pasar a un mejor proveedor de alojamiento, aquí hay una publicación útil sobre el mejor alojamiento de WordPress para elegir.
Aproveche la potencia de los complementos Una de las características más potentes de la plataforma WordPress es cuánto se puede mejorar con complementos. Tocar el cumplimiento de HIPAA también es fácil si elige los complementos correctos. Un buen ejemplo a este respecto son los formularios HIPAA, un complemento de WordPress que permite que su sitio web tenga formularios web compatibles con HIPAA. Use complementos de formulación regulares, como formularios de caldera o formularios de gravedad, y agrega una capa de seguridad. Incluye un campo de firma en el que los usuarios pueden firmar sacando el mouse o el dedo en las pantallas táctiles. Complemento HIPAA para el sitio de acuerdo con HIPAA

Al referir, cifre los datos y empújalos a la API del servicio de formularios HIPA. Luego almacene los datos en una solución de almacenamiento compatible con HIPAA. Tenga en cuenta que este complemento requiere una licencia pagada. La opción para los complementos de WordPress es infinita. Encontrará muchos complementos de seguridad de WordPress para elegir. Tenga cuidado con los complementos que los complementos son una maravilla para WordPress, pero también son uno de los puntos más débiles en términos de seguridad. Según los datos de Wordfency, las vulnerabilidades relacionadas con los complementos representaban más de la mitad de los puntos de entrada conocidos del ataque.
Para evitar esto, asegúrese de recibir siempre complementos de fuentes oficiales. Además, manténgalos actualizados. Lo mismo es cierto para la plataforma principal de WordPress, porque también es propensa a tener problemas de seguridad. Almacene Ephi fuera de WordPress La mayoría de los sitios web se basan en WordPress, haciendo sitios de WordPress para ciberdelincuentes. Debido a que WordPress no es realmente la plataforma más segura allí, evite almacenar datos EPHI allí. Discuta esto con su proveedor de alojamiento para asegurarse de obtener la mejor solución posible aquí. Con el proveedor de alojamiento adecuado, puede obtener ubicaciones de alojamiento externas y asegurarse de que todos los datos se almacenen y recuperen de forma segura de manera cifrada. Utilice todos los consejos de seguridad comunes que la seguridad es un tema común en la web. Hay muchos consejos de seguridad de WordPress que los usuarios pueden seguir, pero muy pocos siguen. Las reglas de seguridad comunes que un sitio web debe seguir de acuerdo con HIPAA son contraseñas de Strong
Habilitar la autenticación con dos o más factores

Cambie los nombres de las cuentas del administrador para evitar ataques de fuerza bruta, etc.