FRAMEWORK · HIPAA

HIPAA Security Rule.
Per entità sanitarie USA.

Health Insurance Portability and Accountability Act. Si applica a ospedali, cliniche, assicuratori medici statunitensi e ai loro business associates (inclusi fornitori europei che trattano PHI di pazienti USA). Itamite copre le salvaguardie tecniche del 45 CFR §164.312.

Vedi prezzi Demo HIPAA

Chi è soggetto a HIPAA?

Covered entities: ospedali, cliniche, medici individuali, assicuratori medici, piani sanitari, clearinghouse sanitarie. Business associates: qualsiasi fornitore che tratta, archivia o trasmette PHI (Protected Health Information) elettronica per conto di una covered entity. Include: fornitori TIC, società di consulenza, hosting, servizi cloud, traduzione, trascrizione medica, telemedicina, RCM (revenue cycle management).

Sanzioni: 100-50.000 USD per violazione, max 1,5M USD/anno per categoria. Sanzioni penali: fino a 10 anni di carcere per violazioni intenzionali. Perdita di contratti con covered entities = fallimento del business associate.

SALVAGUARDIE TECNICHE — §164.312

Cosa copre Itamite della Security Rule

§164.312(a) — Access Control

Identificazione univoca dell'utente (a)(2)(i), procedura di emergenza (a)(2)(ii), automatic logoff/screen lock (a)(2)(iii), cifratura/decifratura delle PHI at rest (a)(2)(iv) — Itamite verifica BitLocker/FileVault sui dispositivi con PHI.

§164.312(b) — Audit Controls

"Implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use ePHI." → L'audit immutabile hash-chain di Itamite soddisfa questo requisito sugli endpoint. Log preservati con integrità dimostrabile.

§164.312(c) — Integrity

"Protect ePHI from improper alteration or destruction." → Itamite rileva cambiamenti non autorizzati nella configurazione critica. L'hash SHA-256 di ogni heartbeat permette di verificare l'integrità dei dati riportati.

§164.312(d) — Person/Entity Authentication

Verifica che chi accede sia chi dichiara di essere. Itamite supporta SSO/SAML, MFA obbligatoria per gli amministratori, integrazione con Active Directory e identity provider.

§164.312(e) — Transmission Security

Cifratura in transito delle ePHI. Itamite utilizza TLS 1.3 per tutte le comunicazioni agente-server e client-server. Mutual TLS opzionale per le connessioni agente.

Sessioni remote e screen sharing

Cifratura E2E con Diffie-Hellman effimero (nemmeno Itrion vede il contenuto). Registrazione opzionale con SHA-256. Audit immutabile di ogni intervento. Critico quando i tecnici accedono a dispositivi con PHI.

DOMANDE FREQUENTI

Dubbi su HIPAA

Itrion firma il BAA (Business Associate Agreement)?
Sì, per i clienti Enterprise con casi d'uso HIPAA. Il BAA standard Itrion copre gli obblighi della Security Rule. Per clienti con requisiti specifici: BAA negoziabile. Tempi tipici di revisione: 1-2 settimane.
Itamite è HIPAA-eligible?
La piattaforma rispetta tecnicamente le salvaguardie della Security Rule. Per uso formale con PHI è necessario firmare il BAA con Itrion + attivare la configurazione HIPAA-ready sul tuo tenant (BYOK obbligatorio, retention audit 6 anni, datacenter USA se richiesto contrattualmente).
Mi serve hosting negli USA?
HIPAA non obbliga l'hosting fisico USA, ma alcune covered entities lo richiedono contrattualmente. Itamite offre hosting USA (AWS Virginia o Azure US East) per i casi in cui è richiesto. Costo aggiuntivo: 25% sopra la tariffa standard.
E se la mia entità ha pazienti USA e UE?
Doppia compliance HIPAA + GDPR. Itamite copre entrambe: BAA HIPAA + DPA GDPR + SCC + datacenter nella regione appropriata. Attivabile per tenant; non servono tenant separati.

Settore salute con PHI americano

Demo Enterprise con BAA preparato e configurazione HIPAA-ready.

Vedi prezzi Richiedi BAA