FRAMEWORK · HIPAA

HIPAA Security Rule.
Dla amerykańskich podmiotów ochrony zdrowia.

Health Insurance Portability and Accountability Act. Stosuje się do amerykańskich szpitali, klinik, ubezpieczycieli medycznych i ich business associates (w tym europejskich dostawców przetwarzających PHI pacjentów z USA). Itamite pokrywa techniczne zabezpieczenia 45 CFR §164.312.

Zobacz cennik Demo HIPAA

Kto podlega HIPAA?

Covered entities: szpitale, kliniki, indywidualni lekarze, ubezpieczyciele medyczni, plany zdrowotne, healthcare clearinghouses. Business associates: każdy dostawca, który przetwarza, przechowuje lub przesyła elektroniczne PHI (Protected Health Information) w imieniu covered entity. Obejmuje: dostawców ICT, firmy doradcze, hosting, usługi chmurowe, tłumaczenie, transkrypcję medyczną, telemedycynę, RCM (revenue cycle management).

Kary: 100-50 000 USD za naruszenie, maks. 1,5 mln USD/rok na kategorię. Sankcje karne: do 10 lat więzienia za umyślne naruszenia. Utrata kontraktów z covered entities = upadłość business associate.

ZABEZPIECZENIA TECHNICZNE — §164.312

Co Itamite pokrywa z Security Rule

§164.312(a) — Access Control

Unikalna identyfikacja użytkownika (a)(2)(i), procedura awaryjna (a)(2)(ii), automatyczne wylogowanie/blokada ekranu (a)(2)(iii), szyfrowanie/odszyfrowywanie PHI at rest (a)(2)(iv) — Itamite weryfikuje BitLocker/FileVault na urządzeniach z PHI.

§164.312(b) — Audit Controls

„Implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use ePHI." → Niezmienialny audyt hash-chain Itamite spełnia ten wymóg na endpointach. Logi przechowywane z możliwą do udowodnienia integralnością.

§164.312(c) — Integrity

„Protect ePHI from improper alteration or destruction." → Itamite wykrywa nieautoryzowane zmiany w krytycznej konfiguracji. Hash SHA-256 każdego heartbeatu pozwala zweryfikować integralność raportowanych danych.

§164.312(d) — Person/Entity Authentication

Weryfikacja, że osoba uzyskująca dostęp jest tym, za kogo się podaje. Itamite obsługuje SSO/SAML, obowiązkowe MFA dla administratorów, integrację z Active Directory i dostawcami tożsamości.

§164.312(e) — Transmission Security

Szyfrowanie ePHI w transmisji. Itamite używa TLS 1.3 do wszystkich komunikacji agent-serwer i klient-serwer. Opcjonalny mutual TLS dla połączeń agenta.

Sesje zdalne i udostępnianie ekranu

Szyfrowanie E2E z efemerycznym Diffie-Hellman (nawet sama Itrion nie widzi zawartości). Opcjonalne nagrywanie z SHA-256. Niezmienialny audyt każdej interwencji. Krytyczne, gdy technicy uzyskują dostęp do urządzeń z PHI.

NAJCZĘSTSZE PYTANIA

Pytania o HIPAA

Czy Itrion podpisuje BAA (Business Associate Agreement)?
Tak, dla klientów Enterprise z przypadkami użycia HIPAA. Standardowy BAA Itrion pokrywa obowiązki Security Rule. Dla klientów ze specyficznymi wymaganiami: BAA negocjowany. Typowy czas przeglądu: 1-2 tygodnie.
Czy Itamite jest HIPAA-eligible?
Platforma technicznie spełnia zabezpieczenia Security Rule. Do formalnego użycia z PHI należy podpisać BAA z Itrion + aktywować konfigurację HIPAA-ready w swoim tenancie (obowiązkowe BYOK, retencja audytu 6 lat, datacenter w USA jeśli wymagane kontraktowo).
Czy potrzebuję hostingu w USA?
HIPAA nie wymaga fizycznego hostingu w USA, ale niektóre covered entities wymagają tego kontraktowo. Itamite oferuje hosting w USA (AWS Virginia lub Azure US East) dla przypadków, w których jest to wymagane. Dodatkowy koszt: 25% ponad cennik standardowy.
A jeśli moja jednostka ma pacjentów z USA i UE?
Podwójna zgodność HIPAA + RODO. Itamite pokrywa obie: BAA HIPAA + DPA RODO + SCC + datacenter w odpowiednim regionie. Aktywowalne na tenant; nie potrzeba oddzielnych tenantów.

Sektor ochrony zdrowia z amerykańskim PHI

Demo Enterprise z przygotowanym BAA i konfiguracją HIPAA-ready.

Zobacz cennik Poproś o BAA