Hipaa : conditions pour le logiciel de collaboration d’intranet
Le partage de l’information privée de santé au-dessus de l’Internet peut être des affaires risquées. Malheureusement, car les gens s’habituent à faire la majeure partie sinon toute de leurs affaires personnelles en ligne, la demande d’accéder à cette information en ligne deviendra le point que les fournisseurs de soins de santé n’auront aucun choix mais à pour permettre d’accéder à cette information privée de santé ou pour perdre leurs clients.
L’acte de portabilité et de responsabilité d’assurance médicale maladie (hipaa) a été décrété pour assurer la confidentialité de l’information patiente. Ceci exige que les fournisseurs de soins de santé emploient des mesures rigoureuses de s’assurer que l’information partagée sur l’Internet est protégée contre l’accès non autorisé.
L’acte de hipaa exige santé-fournir des entités à :
• assigner la responsabilité de la sécurité à une personne ou à une organisation.
• évaluer les risques pour la sécurité et déterminer les menaces principales à la sécurité et à l’intimité d’information protégée de santé.
• établir un programme pour adresser la sécurité physique, la sécurité de personnel, les contrôles de sécurité techniques, et la réponse d’incident de sécurité et le recouvrement des pertes.
• certifier l’efficacité des contrôles de sécurité.
• développer les politiques, les procédures et les directives pour l’usage des dispositifs de calcul personnel (postes de travail, ordinateurs portables, dispositifs tenus dans la main), et pour assurer des mécanismes être in place que permettre, limiter et terminer l’accès (listes de contrôle d’accès, comptes d’utilisateur, etc.) approprié au statut, au changement du statut ou à l’arrêt d’un individu.
• mettre en application les contrôles d’accès qui peuvent inclure le chiffrage, l’accès contexte-basé, l’accès rôle-basé, ou l’accès utilisateur-basé ; auditer les mécanismes de commande, l’authentification de données, et l’authentification d’entité
Cette loi a des implications sérieuses pour les organismes qui permettent l’accès non autorisé ayant pour résultat une infraction dans la confidentialité.
La sécurité est la clef
Puisque la loi de hipaa prévoit des pénalités civiles et criminelles pour des violations, la sécurité de données et d’accès est primordiale. Pour assurer la conformité de hippa, la gestion de document en ligne sur des intranets de compagnie et les Extranet doivent inclure un certain nombre de dispositifs de sécurité :
• web server bloqué – un fonctionnement de serveur fixent des couches de douille est le minimum requis.
• base de données chiffrée – toutes les données doivent être chiffrées. Le logiciel est disponible que a chiffré toutes les données envoyées entre l’ordinateur deux au-dessus de l’Internet.
• fixer le contrôle d’accès — en plus d’une identification de l’utilisateur et d’un mot de passe traditionnels, ce peut être une bonne idée d’employer un mot de passe ou une carte à puce fort en tant que sécurité additionnelle.
• temps mort de session – ceci s’assure que des données confidentielles ne sont pas laissées sur un écran unattended.
• surveillance de serveur – le web server bloqué doit être strictement surveillé pour détecter des tentatives rodage.
• audits de sécurité réguliers – des audits réguliers sont exigés pour s’assurer que toutes les précautions de sécurité fonctionnent correctement.
• personnel – l’entretien de système devrait être aux mains de l’au courant qualifié de personnel des conditions de hippa