FRAMEWORK · HIPAA

HIPAA Security Rule.
Para entidades sanitarias EE.UU.

Health Insurance Portability and Accountability Act. Aplica a hospitales, clínicas, aseguradoras médicas estadounidenses y sus business associates (incluyendo proveedores europeos que tratan PHI de pacientes USA). Itamite cubre las salvaguardas técnicas del 45 CFR §164.312.

Ver precios Demo HIPAA

¿Quién está sujeto a HIPAA?

Covered entities: hospitales, clínicas, médicos individuales, aseguradoras médicas, planes de salud, clearinghouses sanitarios. Business associates: cualquier proveedor que trate, almacene o transmita PHI (Protected Health Information) electrónica en nombre de una covered entity. Incluye: proveedores TIC, consultorías, hosting, servicios cloud, traducción, transcripción médica, telemedicina, RCM (revenue cycle management).

Multas: 100-50.000 USD por violación, máx 1.5M USD/año por categoría. Penalización penal: hasta 10 años prisión para violaciones intencionadas. Pérdida de contratos con covered entities = quiebra del business associate.

SALVAGUARDAS TÉCNICAS — §164.312

Lo que Itamite cubre del Security Rule

§164.312(a) — Access Control

Identificación única de usuario (a)(2)(i), procedimiento de emergencia (a)(2)(ii), automatic logoff/screen lock (a)(2)(iii), encryption decryption de PHI at rest (a)(2)(iv) — Itamite verifica BitLocker/FileVault en equipos con PHI.

§164.312(b) — Audit Controls

"Implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use ePHI." → Auditoría inmutable hash-chain de Itamite cumple este requisito en endpoints. Logs preservados con integridad demostrable.

§164.312(c) — Integrity

"Protect ePHI from improper alteration or destruction." → Itamite detecta cambios no autorizados en configuración crítica. Hash SHA-256 de cada heartbeat permite verificar integridad de los datos reportados.

§164.312(d) — Person/Entity Authentication

Verificación que quien accede es quien dice ser. Itamite soporta SSO/SAML, MFA obligatorio para administradores, integración con Active Directory y proveedores de identidad.

§164.312(e) — Transmission Security

Cifrado en tránsito de ePHI. Itamite usa TLS 1.3 para todas las comunicaciones agente-servidor y cliente-servidor. Mutual TLS opcional para conexiones agente.

Sesiones remotas y screen sharing

Cifrado E2E con Diffie-Hellman efímero (no incluso Itrion ve el contenido). Grabación opcional con SHA-256. Auditoría inmutable de toda intervención. Crítico cuando técnicos acceden a equipos con PHI.

PREGUNTAS FRECUENTES

Dudas sobre HIPAA

¿Itrion firma BAA (Business Associate Agreement)?
Sí, para clientes Enterprise con casos de uso HIPAA. El BAA estándar Itrion cubre obligaciones del Security Rule. Para clientes con requisitos específicos: BAA negociable. Plazo típico de revisión: 1-2 semanas.
¿Itamite es HIPAA-eligible?
La plataforma técnicamente cumple las salvaguardas del Security Rule. Para uso formal con PHI necesitas firmar BAA con Itrion + activar configuración HIPAA-ready en tu tenant (BYOK obligatorio, retención auditoría 6 años, datacenter US si requerido por contrato).
¿Necesito hosting en EE.UU.?
HIPAA no obliga hosting físico USA, pero algunas covered entities lo exigen contractualmente. Itamite ofrece hosting US (AWS Virginia o Azure US East) para casos donde se requiera. Coste adicional: 25% sobre tarifa estándar.
¿Y si mi entidad tiene pacientes US y EU?
Doble compliance HIPAA + RGPD. Itamite cubre ambos: BAA HIPAA + DPA RGPD + SCC + datacenter en región apropiada. Activable por tenant; no necesitas tenants separados.

Sector salud con PHI estadounidense

Demo Enterprise con BAA preparado y configuración HIPAA-ready.

Ver precios Solicitar BAA