Cumplimiento de la HIPAA

Contactar con un experto

Volver a todos los casos de uso

HIPAA y gestión de riesgos de terceros

La Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996(HIPAA) se estableció para garantizar que la información médica protegida (PHI) no se divulgara sin el consentimiento del paciente. La HIPAA incluye una norma de seguridad que establece medidas de protección para las organizaciones que almacenan información médica protegida (ePHI) en formato electrónico, así como una norma de privacidad que establece límites y condiciones sobre los usos y divulgaciones que se pueden hacer de dicha información sin la autorización del paciente.

Aunque las regulaciones de la HIPAA están más estrechamente alineadas con las «entidades cubiertas», como los planes de salud, los centros de intercambio de información sanitaria y algunos proveedores de atención médica, también se aplican a los «socios comerciales», es decir, a los proveedores externos que tienen acceso a la PHI. Esto amplía drásticamente el número de organizaciones que deben cumplir con los requisitos de la HIPAA y el número de terceros que los proveedores deben evaluar.

Las organizaciones deben ser conscientes de los riesgos que corren la información crítica, tanto a nivel interno como con terceros que tienen acceso a la ePHI. La HIPAA lo establece como requisito y amplía el término «organización» a las entidades cubiertas y los socios comerciales. La sección 164.308(a)(1)(ii)(A) establece: «ANÁLISIS DE RIESGOS (obligatorio). Realizar una evaluación precisa y exhaustiva de los riesgos y vulnerabilidades potenciales para la confidencialidad, integridad y disponibilidad de la información sanitaria protegida electrónica que obra en poder de la [organización]».

La evaluación de la preparación de un proveedor para cumplir con las expectativas de seguridad de la entidad cubierta se lleva a cabo mediante una evaluación de riesgos del proveedor.

Requisitos pertinentes

  • La Norma de Privacidad de la HIPAA define la Información Médica Protegida (PHI) como «cualquier información en poder de una entidad cubierta que se refiera al estado de salud, la prestación de asistencia sanitaria o el pago de la asistencia sanitaria que pueda vincularse a una persona».
  • La Norma de Seguridad de la HIPAA se ocupa específicamente de la protección de la información médica protegida almacenada electrónicamente (ePHI).

Cumplimiento de los requisitos de la norma de seguridad HIPAA TPRM

Así es como Prevalent puede ayudarle a cumplir los requisitos de gestión de riesgos de terceros de la HIPAA:

Norma de seguridad HIPAA 45 CFR Partes 160, 162 y 164: Reforma del seguro médico: Normas de seguridad; Norma definitiva.

Cómo ayudamos

Proceso de gestión de la seguridad
Medidas de seguridad administrativas
(§ 164.308(a)(1))

(A) Análisis de riesgos (OBLIGATORIO)

Una entidad cubierta o un socio comercial debe realizar una evaluación precisa y exhaustiva de los riesgos y vulnerabilidades potenciales para la confidencialidad, integridad y disponibilidad de la información médica protegida electrónica que posee la entidad cubierta o el socio comercial.

Una vez recopiladas y analizadas las evaluaciones, la plataforma Prevalent TPRM ofrece recomendaciones y orientación integradas para la corrección. Con informes claros y orientación para la corrección, la plataforma garantiza que los riesgos se identifiquen, analicen y escalen a los canales adecuados para que su organización alcance un nivel de riesgo adecuado a su apetito de riesgo.

Proceso de gestión de la seguridad
Medidas de seguridad administrativas
(§ 164.308(a)(1))

(D) Revisión de la actividad del sistema de información (OBLIGATORIO)

Implementar procedimientos para revisar periódicamente los registros de la actividad del sistema de información, como registros de auditoría, informes de acceso e informes de seguimiento de incidentes de seguridad.

Prevalent ofrece una visión continua de los riesgos a través de fuentes de información sobre amenazas en Internet y la Dark Web, así como análisis de riesgos empresariales y financieros, con el fin de revelar acontecimientos que podrían afectar a los riesgos.

La plataforma Prevalent también permite realizar revisiones exhaustivas con un cuestionario de evaluación de contratos específico y personalizado, además de métricas de rendimiento con seguimiento continuo a través de paneles de control centralizados de los proveedores.

Prevalent mantiene un repositorio completo de toda la documentación recopilada y revisada durante el proceso de diligencia debida, con informes específicos sobre el cumplimiento normativo y el marco de seguridad.

Contratos con socios comerciales y otros acuerdos
(§ 164.308(b)(1))

Una entidad cubierta puede permitir que un socio comercial cree, reciba, mantenga o transmita información médica protegida electrónica en nombre de la entidad cubierta solo si la entidad cubierta obtiene garantías satisfactorias, de conformidad con la sección 164.314(a), de que el socio comercial protegerá adecuadamente la información. Una entidad cubierta no está obligada a obtener tales garantías satisfactorias de un socio comercial que sea un subcontratista.

Las capacidades de evaluación de Prevalent simplifican el cumplimiento normativo y reducen el riesgo gracias a la recopilación, el análisis y la corrección automatizados de las respuestas de los proveedores mediante encuestas estándar del sector o personalizadas, incluidas aquellas que miden las medidas de protección de la información.

Aunque no es obligatorio, Prevalent ofrece visibilidad sobre las partes cuarta y enésima (por ejemplo, subcontratistas) con un mapeo detallado de las relaciones, lo que proporciona registros de auditoría de los flujos de información en todo el ecosistema de proveedores.

Proceso de gestión de la seguridad, salvaguardias administrativas
§ 164.308(a)(6)

Especificación de implementación: Respuesta y notificación (OBLIGATORIO)

Identificar y responder a incidentes de seguridad sospechosos o conocidos; mitigar, en la medida de lo posible, los efectos perjudiciales de los incidentes de seguridad que sean conocidos por la entidad cubierta o el socio comercial; y documentar los incidentes de seguridad y sus resultados.

Prevalent Vendor Threat Monitor(VTM) supervisa Internet y la Dark Web en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas, lo que proporciona visibilidad en tiempo real de los riesgos y permite a los equipos de gestión de riesgos y seguridad actuar de inmediato.

El servicio Prevalent Third-Party Incident Response Service permite a las organizaciones identificar y mitigar rápidamente el impacto de las infracciones de terceros mediante la gestión centralizada de los proveedores, la realización de evaluaciones de incidentes, la puntuación de los riesgos identificados y el acceso a directrices de corrección.

Proceso de gestión de la seguridad, salvaguardias administrativas
§ 164.308(a)(8)

Norma: Evaluación. Realizar una evaluación periódica técnica y no técnica, basada inicialmente en las normas implementadas en virtud de la presente norma y, posteriormente, en respuesta a los cambios ambientales u operativos que afecten a la seguridad de la información sanitaria protegida electrónica, que establezca en qué medida las políticas y procedimientos de seguridad de una entidad cubierta o un socio comercial cumplen los requisitos de la presente subparte.

Prevalent Vendor Threat Monitor alerta a las organizaciones sobre cambios adversos en los negocios de terceros y activa evaluaciones específicas para abordar los riesgos inmediatos provisionales. Las alertas tempranas permiten disponer de más tiempo para responder a los incidentes y las directrices de corrección integradas ayudan a las organizaciones a proteger la información médica protegida (PHI) y a evitar medidas de la OCR y daños a la reputación.

Algunos cambios, como la pandemia de COVID-19, obligaron a introducir cambios fundamentales en el funcionamiento de las empresas. Los cuestionarios de evaluación de Prevalent incluyen preguntas diseñadas para revelar las deficiencias internas en la continuidad del negocio y las debilidades externas de la cadena de suministro que podrían afectar negativamente a la capacidad de una organización para mantener el control sobre la información médica protegida (PHI) o llevarla a considerar proveedores alternativos.

Políticas, procedimientos y requisitos de documentación
(§ 164.316(b)(1))

Estándar: Documentación

  • (i) Mantener por escrito (que puede ser en formato electrónico) las políticas y procedimientos implementados para cumplir con esta subparte; y
  • (ii) Si esta subparte exige que se documente una acción, actividad o evaluación, mantenga un registro escrito (que puede ser electrónico) de la acción, actividad o evaluación.

La plataforma TPRM de Prevalent incluye la gestión de contratos, documentos, pruebas y certificaciones con controles de versión integrados, asignación de tareas y cadencia de revisión automática en perfiles de proveedores centralizados.
Además, Prevalent captura y audita conversaciones y compara la documentación o las pruebas con los riesgos. Los paneles de control intuitivos y sencillos proporcionan una visión general clara de las tareas, los calendarios, las actividades de riesgo, el estado de finalización de las encuestas, los acuerdos y los documentos asociados.

Recursos adicionales

Blog

Lista de verificación del cumplimiento de la HIPAA para la gestión de riesgos de terceros

Libro Blanco

Ocho pasos para el éxito en la gestión de riesgos de terceros en el sector sanitario

Ficha técnica

Red de proveedores sanitarios

Guía

Alinee su programa TPRM con la CCPA, el RGPD, la HIPAA y otras normativas.

Ver más recursos

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.