FRAMEWORK · HIPAA

HIPAA Security Rule.
Para entidades de saúde dos EUA.

Health Insurance Portability and Accountability Act. Aplica-se a hospitais, clínicas, seguradoras médicas norte-americanas e aos seus business associates (incluindo fornecedores europeus que tratam PHI de doentes dos EUA). O Itamite cobre as salvaguardas técnicas do 45 CFR §164.312.

Ver preços Demo HIPAA

Quem está sujeito a HIPAA?

Covered entities: hospitais, clínicas, médicos individuais, seguradoras médicas, planos de saúde, clearinghouses de saúde. Business associates: qualquer fornecedor que trate, armazene ou transmita PHI (Protected Health Information) eletrónica em nome de uma covered entity. Inclui: fornecedores TIC, consultoras, hosting, serviços cloud, tradução, transcrição médica, telemedicina, RCM (revenue cycle management).

Coimas: 100-50 000 USD por violação, máx 1,5M USD/ano por categoria. Sanções penais: até 10 anos de prisão para violações intencionais. Perda de contratos com covered entities = falência do business associate.

SALVAGUARDAS TÉCNICAS — §164.312

O que o Itamite cobre da Security Rule

§164.312(a) — Access Control

Identificação única do utilizador (a)(2)(i), procedimento de emergência (a)(2)(ii), automatic logoff/screen lock (a)(2)(iii), cifragem/decifragem de PHI at rest (a)(2)(iv) — o Itamite verifica BitLocker/FileVault em equipamentos com PHI.

§164.312(b) — Audit Controls

"Implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use ePHI." → A auditoria imutável hash-chain do Itamite cumpre este requisito nos endpoints. Registos preservados com integridade demonstrável.

§164.312(c) — Integrity

"Protect ePHI from improper alteration or destruction." → O Itamite deteta alterações não autorizadas na configuração crítica. O hash SHA-256 de cada heartbeat permite verificar a integridade dos dados reportados.

§164.312(d) — Person/Entity Authentication

Verificação de que quem acede é quem diz ser. O Itamite suporta SSO/SAML, MFA obrigatória para administradores, integração com Active Directory e fornecedores de identidade.

§164.312(e) — Transmission Security

Cifragem em trânsito de ePHI. O Itamite utiliza TLS 1.3 para todas as comunicações agente-servidor e cliente-servidor. Mutual TLS opcional para ligações de agente.

Sessões remotas e partilha de ecrã

Cifragem E2E com Diffie-Hellman efémero (nem a própria Itrion vê o conteúdo). Gravação opcional com SHA-256. Auditoria imutável de cada intervenção. Crítico quando técnicos acedem a equipamentos com PHI.

PERGUNTAS FREQUENTES

Dúvidas sobre HIPAA

A Itrion assina BAA (Business Associate Agreement)?
Sim, para clientes Enterprise com casos de uso HIPAA. O BAA padrão da Itrion cobre as obrigações da Security Rule. Para clientes com requisitos específicos: BAA negociável. Prazo típico de revisão: 1-2 semanas.
O Itamite é HIPAA-eligible?
A plataforma cumpre tecnicamente as salvaguardas da Security Rule. Para uso formal com PHI é necessário assinar BAA com a Itrion + ativar a configuração HIPAA-ready no seu tenant (BYOK obrigatório, retenção de auditoria 6 anos, datacenter nos EUA se exigido por contrato).
Preciso de hosting nos EUA?
HIPAA não obriga hosting físico nos EUA, mas algumas covered entities exigem-no contratualmente. O Itamite oferece hosting EUA (AWS Virginia ou Azure US East) para casos em que seja exigido. Custo adicional: 25% sobre a tarifa padrão.
E se a minha entidade tem doentes dos EUA e da UE?
Dupla conformidade HIPAA + RGPD. O Itamite cobre ambos: BAA HIPAA + DPA RGPD + CCT + datacenter na região apropriada. Ativável por tenant; não precisa de tenants separados.

Setor saúde com PHI norte-americano

Demo Enterprise com BAA preparado e configuração HIPAA-ready.

Ver preços Solicitar BAA