Por que a conformidade com a HIPAA é vital para o seu negócio
A HIPAA faz com que você possa ter novos clientes de assistência médica. Veja o que é, por que é importante e como você pode usar a Auth0 em seu serviço compatível com HIPAA

O que é HIPAA?
HIPAA é a Lei de portabilidade e responsabilidade de seguro de saúde. É a legislação que garante que suas informações de saúde protegidas (PHI) sejam mantidas em sigilo e seguras. Ela aborda como os provedores de assistência médica e empresas associadas devem lidar com os dados e proteger as informações de saúde, além de fornecer os padrões necessários para garantir que os dados PHI sejam armazenados, manipulados e acessados corretamente em todos os momentos.
Ela também estabelece multas e penalidades significativas para indivíduos e organizações que lidam com dados confidenciais de PHI, mas não cumprem os padrões.
O que conta como informação de saúde protegida?
A PHI inclui:
- Todos os registros médicos, como resultados de exames de sangue ou ressonância magnética.
- Registros de cobrança no consultório médico.
- Conversas (e-mails, observações) sobre sua saúde entre você e seu médico, seu médico e outra equipe médica ou seu provedor de saúde e sua companhia de seguros.
Quem precisa seguir a HIPAA?
Inicialmente, apenas médicos, hospitais e seguradoras precisavam cumprir as especificações da HIPAA, pois eram as únicas pessoas e organizações com acesso a PHI. Elas são conhecidas como Entidades cobertas e incluem qualquer organização que forneça “operações de tratamento, pagamento e assistência médica”.
As Entidades cobertas incluem:
- Médicos e consultórios
- Hospitais
- Farmácias
- Empresas de seguro
- HMO (Organizações de Manutenção de Saúde)
No entanto, uma atualização de 2013 aumentou o escopo da HIPAA para levar em consideração o aumento do uso de terceirização e provedores de nuvem na área da saúde. Qualquer serviço que transmita, armazene ou receba dados de PHI agora é classificado como um Parceiro de trabalho e deve estar em conformidade com a HIPAA.
Os Parceiros de trabalho incluem:
- Um serviço de transcrição médica que presta serviços a um médico.
- Uma empresa SaaS que fornece registros eletrônicos de saúde baseados em nuvem para médicos.
- Uma empresa de análise que processa dados médicos.
Quais são as exigências da HIPAA?
Para que uma entidade coberta ou um parceiro de negócios esteja em conformidade com a lei HIPAA, eles são obrigados a cumprir 4 requisitos:
- Ter salvaguardas para que os dados PHI estejam sempre protegidos.
- Restringir o acesso aos dados PHI apenas às pessoas necessárias para atingir o objetivo pretendido.
- Ter Contratos de parceiro de trabalho (BAAs) em vigor com provedores de serviços para garantir a segurança dos dados de PHI.
- Ter procedimentos e políticas para limitar o acesso a dados de PHI e treinamento para ensinar funcionários e usuários sobre segurança e privacidade de dados.
A regra de segurança da HIPAA
Das quatro regras da HIPAA (segurança, privacidade, aplicação e notificação de violação), é à regra de segurança da HIPAA que os desenvolvedores devem prestar muita atenção.
Para empresas SaaS que desejam trabalhar com provedores de assistência médica, organizações médicas ou parceiros de negócios que já trabalham no setor, a regra de segurança define como os dados PHI devem ser tratados pela aplicação ou serviço.
Esta regra estabelece as Salvaguardas técnicas que garantem que o acesso aos dados seja controlado, que os dados estejam seguros e que os indivíduos sejam devidamente autenticados.
- Controle de acesso. Deve haver políticas e procedimentos em vigor para garantir que apenas usuários autorizados tenham acesso aos dados PHI. Isso pode incluir identificadores exclusivos para cada usuário, procedimentos de acesso de emergência e procedimentos de criptografia.
- Controles de auditoria. Devem existir mecanismos para registrar a atividade no sistema e examinar o acesso de indivíduos.
- Controles de integridade. Quaisquer dados PHI não devem ser alterados ou destruídos indevidamente e devem ser implementados procedimentos para que os auditores possam confirmar se isso aconteceu.
- Segurança da transmissão. Medidas de segurança devem ser implementadas para garantir que nenhum acesso não autorizado aos dados de PHI aconteça enquanto eles são transferidos pela rede.
As vantagens da conformidade com a HIPAA
O uso dos padrões HIPAA permite que você tenha novos clientes em um mercado em crescimento. Atualmente, 67% das organizações de saúde estão usando um serviço SaaS em seu fluxo de trabalho, com 92% dos provedores de saúde dizendo que podem ver um uso futuro para SaaS em sua organização. Ao aplicar as normas da HIPAA, você pode explorar o setor de saúde de US$ 3 trilhões.
Ao trabalhar em conformidade com a HIPAA, você pode atingir 3 novas bases de clientes:
- Entidades cobertas
- 80% dos médicos e 60% dos hospitais agora usam registros eletrônicos de saúde (EHR). Essas empresas exigem conformidade com a HIPAA para qualquer serviço de nuvem usado.
- Parceiros de trabalho
- Além das entidades cobertas, outros parceiros de negócios que processam PHI podem ter certeza de que seu serviço também protegerá todos os dados. À medida que o mercado de nuvem para assistência médica cresce, soluções de terceiros para parceiros de negócios poderão ser lançadas para esse fim.
- Acessórios vestíveis e tecnologias de saúde
- Embora hoje os acessórios vestíveis não precisem ser compatíveis com HIPAA, a tendência de compartilhar dados pessoais de saúde deles e de aplicações significa que essas empresas confundem as linhas entre o que precisa e o que não precisa ser compatível com a HIPAA. Por exemplo, o Fitbit agora é compatível com HIPAA para que as empresas B2B possam compartilhar os dados de seu programa Fitbit Wellness com entidades cobertas.
Uso da Auth0 para autenticação da HIPAA
A Auth0 oferece Contrato de parceiro de trabalho da HIPAA para clientes que lidam com dados PHI. Isso permite que as empresas sejam compatíveis com HIPAA usando a Auth0 como um serviço de identidade e autenticação.
Aqui estão duas proteções técnicas da regra de segurança da HIPAA abordadas pela Auth0:
Logoff automático
O logoff automático é uma parte “endereçável” dos requisitos técnicos da regra de segurança. Isso não significa que seja opcional. Especificações endereçáveis devem ser implementadas se for razoável e apropriado para isso.
Você pode determinar que a Auth0 desconecte automaticamente um usuário após um determinado período de inatividade usando o painel. Você só precisa definir o tempo de expiração do JSON Web Token, nas configurações da aplicação, para o seu tempo de inatividade predeterminado. Nesse cenário, a aplicação desconectará automaticamente o usuário após 15 minutos de inatividade:
Autenticação
Para manter os dados privados e seguros, é importante autenticar os usuários corretamente para que apenas aqueles com as credenciais necessárias possam acessar as contas. Usando a Auth0, um parceiro de trabalho ou entidade coberta pode usar sua própria solução de conexão federada por meio de SAML para controlar o acesso. Implementar SAML é fácil como a Auth0; clique aqui para ver o vídeo tutorial.
Inscreva-se gratuitamente
Comece a construir e proteja suas aplicações com a plataforma de identidade Auth0 hoje mesmo.
