Cumplimiento de NIST SP 800-66

Simplifique las evaluaciones de la norma de seguridad HIPAA

La Publicación Especial (SP) 800-66del Instituto Nacional de Estándares y Tecnología (NIST) se desarrolló para ayudar a las organizaciones de prestación de servicios de salud (HDO) a comprenderla Norma de Seguridad de la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA)y proporcionar un marco para apoyar su implementación.

La Norma de Seguridad de la HIPAA se aplica a cualquier organización que gestione información sanitaria protegida electrónica (ePHI), ya sea una entidad cubierta o un socio comercial (por ejemplo, un proveedor externo, un proveedor o un socio). La norma exige a las organizaciones:

Garantizar la confidencialidad, integridad y disponibilidad de toda la información médica protegida electrónica (ePHI) que crean, reciben, mantienen o transmiten.
Identificar y proteger contra amenazas razonablemente previsibles para la seguridad o integridad de la información.
Proteger contra usos o divulgaciones no permitidos de la ePHI que sean razonablemente previsibles.
Garantizar el cumplimiento por parte de su personal.

El cumplimiento de las directrices y mejores prácticas delNIST 800-66r2ayudará a las organizaciones sanitarias a simplificar el cumplimiento de la norma de seguridad HIPAA.

Requisitos pertinentes

Realizar una evaluación precisa y exhaustiva de los riesgos y vulnerabilidades potenciales para la confidencialidad, integridad y disponibilidad de la información sanitaria protegida en formato electrónico que obra en poder de la entidad cubierta o del socio comercial.

Implementar medidas de seguridad suficientes para reducir los riesgos y vulnerabilidades a un nivel razonable y adecuado.

Comprender la norma de seguridad de la HIPAA

La norma de seguridad HIPAA recomienda siete pasos que deben incluirse en un proceso integral de evaluación de riesgos. La tabla siguiente muestra las capacidades de la solución Prevalent para cada paso, ilustrando cómo una solución de gestión de riesgos de terceros puede ayudar a abordar estas mejores prácticas.

NOTA: Esta información se presenta únicamente a modo de orientación resumida. Las organizaciones deben revisar por su cuenta y en su totalidad los requisitos de la norma NIST 800-66r2 y la norma de seguridad HIPAA, en consulta con sus auditores.

Pasos y tareas recomendados	Cómo ayudamos
1. Prepárese para la evaluación. Comprender dónde se crea, recibe, mantiene, procesa o transmite la ePHI. Defina el alcance de la evaluación.	Prevalent se asocia con usted para crear un programa integral de gestión de riesgos de terceros (TPRM) basado en las mejores prácticas probadas y una amplia experiencia en el mundo real. Nuestrosexpertoscolaboran con su equipo en la definición e implementación de procesos y soluciones de TPRM; la selección de cuestionarios y marcos de evaluación de riesgos; y la optimización de su programa para abordar todo el ciclo de vida de los riesgos de terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida. Prevalent puede identificar relaciones de subcontratación de cuarta y enésima parte mediante la realización de una evaluación basada en cuestionarios o mediante el escaneo pasivo de la infraestructura pública del tercero. El mapa de relaciones resultante muestra las rutas de información y las dependencias que podrían exponer su entorno a riesgos. Los proveedores descubiertos a través de este proceso son supervisados continuamente para detectar riesgos financieros, ESG, cibernéticos, comerciales y de violación de datos, así como para detectar sanciones o personas políticamente expuestas (PEP). Una vez identificadas las terceras y cuartas partes, puede aprovechar las más de 750plantillas de evaluaciónpredefinidas disponibles en la plataforma Prevalent para evaluar a los socios comerciales externos en función de los requisitos del NIST, la HIPAA u otros.
2. Identificar amenazas realistas Identificar los posibles eventos de amenaza y las fuentes de amenaza que son aplicables a la entidad regulada y su entorno operativo.	Prevalent realiza un seguimiento y análisis continuos delas amenazas externas a terceros. La solución supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas. Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes y las iniciativas de respuesta. Las fuentes de supervisión incluyen: Más de 1500 foros criminales; miles de páginas onion; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550 000 empresas. Una base de datos con más de 10 años de historial de violaciones de seguridad de miles de empresas. 550 000 fuentes públicas y privadas de información sobre reputación, incluyendo actividades de fusiones y adquisiciones, noticias empresariales, noticias negativas, información normativa y legal, actualizaciones operativas y mucho más. Una red global de 2 millones de empresas con 5 años de cambios organizativos y rendimiento financiero. 30 000 fuentes de noticias globales Una base de datos que contiene más de 1,8 millones de perfiles de personas políticamente expuestas. Listas de sanciones globales y más de 1000 listas de ejecución y documentos judiciales.
3. Identificar posibles vulnerabilidades y condiciones predisponentes Utilice fuentes internas y externas para identificar posibles vulnerabilidades. Las fuentes internas pueden incluir evaluaciones de riesgos previas, análisis de vulnerabilidades y resultados de pruebas de seguridad del sistema (por ejemplo, pruebas de penetración) e informes de auditoría. Las fuentes externas pueden incluir búsquedas en Internet, información de proveedores, datos de seguros y bases de datos de vulnerabilidades.	Prevalent normaliza, correlaciona y analiza la información a través de evaluaciones de riesgos internas y externas. Este modelo unificado proporciona contexto, cuantificación, gestión y apoyo para la corrección de riesgos. También valida la presencia y la eficacia de los controles internos con supervisión externa.
4.-6. Determinar la probabilidad (y el impacto) de que una amenaza aproveche una vulnerabilidad; determinar el nivel de riesgo. Determinar la probabilidad (de muy baja a muy alta) de que una amenaza aproveche con éxito una vulnerabilidad. Determinar el impacto (operativo, individual, en los activos, etc.) que podría tener en la ePHI si una amenaza aprovecha una vulnerabilidad. Evalúe el nivel de riesgo (bajo, medio, alto) para la ePHI, teniendo en cuenta la información recopilada y las determinaciones realizadas durante los pasos anteriores.	La plataforma Prevalent le permite definir umbrales de riesgo y clasificar y puntuar los riesgos en función de su probabilidad e impacto. El mapa de calor resultante permite a los equipos centrarse en los riesgos más importantes.
7. Documentar los resultados de la evaluación de riesgos. Documentar los resultados de la evaluación de riesgos.	Con Prevalent, puede generar registros de riesgos al completar la encuesta, integrando información en tiempo real sobre ciberseguridad, negocios, reputación y finanzas para automatizar las revisiones, los informes y las respuestas ante riesgos. Desde el registro de riesgos, puede crear tareas relacionadas con los riesgos u otros elementos; comprobar el estado de las tareas mediante reglas de correo electrónico vinculadas a la plataforma; y aprovechar las recomendaciones y orientaciones de corrección integradas. La solución automatizala auditoría de cumplimiento de la gestión de riesgos de tercerosmediante la recopilación de información sobre los riesgos de los proveedores, la cuantificación de los riesgos y la generación de informes para docenas de normativas gubernamentales y marcos industriales, incluidos NIST, HIPAA y muchos más.

Pasos y tareas recomendados

Cómo ayudamos

1. Prepárese para la evaluación.

Comprender dónde se crea, recibe, mantiene, procesa o transmite la ePHI.

Defina el alcance de la evaluación.

Prevalent se asocia con usted para crear un programa integral de gestión de riesgos de terceros (TPRM) basado en las mejores prácticas probadas y una amplia experiencia en el mundo real. Nuestrosexpertoscolaboran con su equipo en la definición e implementación de procesos y soluciones de TPRM; la selección de cuestionarios y marcos de evaluación de riesgos; y la optimización de su programa para abordar todo el ciclo de vida de los riesgos de terceros, desde la contratación y la diligencia debida hasta la rescisión y la salida.

Prevalent puede identificar relaciones de subcontratación de cuarta y enésima parte mediante la realización de una evaluación basada en cuestionarios o mediante el escaneo pasivo de la infraestructura pública del tercero. El mapa de relaciones resultante muestra las rutas de información y las dependencias que podrían exponer su entorno a riesgos. Los proveedores descubiertos a través de este proceso son supervisados continuamente para detectar riesgos financieros, ESG, cibernéticos, comerciales y de violación de datos, así como para detectar sanciones o personas políticamente expuestas (PEP).

Una vez identificadas las terceras y cuartas partes, puede aprovechar las más de 750plantillas de evaluaciónpredefinidas disponibles en la plataforma Prevalent para evaluar a los socios comerciales externos en función de los requisitos del NIST, la HIPAA u otros.

2. Identificar amenazas realistas

Identificar los posibles eventos de amenaza y las fuentes de amenaza que son aplicables a la entidad regulada y su entorno operativo.

Prevalent realiza un seguimiento y análisis continuos delas amenazas externas a terceros. La solución supervisa Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Todos los datos de supervisión se correlacionan con los resultados de la evaluación y se centralizan en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes y las iniciativas de respuesta. Las fuentes de supervisión incluyen:

Más de 1500 foros criminales; miles de páginas onion; más de 80 foros de acceso especial a la web oscura; más de 65 fuentes de amenazas; y más de 50 sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades que abarcan 550 000 empresas.
Una base de datos con más de 10 años de historial de violaciones de seguridad de miles de empresas.
550 000 fuentes públicas y privadas de información sobre reputación, incluyendo actividades de fusiones y adquisiciones, noticias empresariales, noticias negativas, información normativa y legal, actualizaciones operativas y mucho más.
Una red global de 2 millones de empresas con 5 años de cambios organizativos y rendimiento financiero.
30 000 fuentes de noticias globales
Una base de datos que contiene más de 1,8 millones de perfiles de personas políticamente expuestas.
Listas de sanciones globales y más de 1000 listas de ejecución y documentos judiciales.

3. Identificar posibles vulnerabilidades y condiciones predisponentes

Utilice fuentes internas y externas para identificar posibles vulnerabilidades. Las fuentes internas pueden incluir evaluaciones de riesgos previas, análisis de vulnerabilidades y resultados de pruebas de seguridad del sistema (por ejemplo, pruebas de penetración) e informes de auditoría. Las fuentes externas pueden incluir búsquedas en Internet, información de proveedores, datos de seguros y bases de datos de vulnerabilidades.

Prevalent normaliza, correlaciona y analiza la información a través de evaluaciones de riesgos internas y externas. Este modelo unificado proporciona contexto, cuantificación, gestión y apoyo para la corrección de riesgos. También valida la presencia y la eficacia de los controles internos con supervisión externa.

4.-6. Determinar la probabilidad (y el impacto) de que una amenaza aproveche una vulnerabilidad; determinar el nivel de riesgo.

Determinar la probabilidad (de muy baja a muy alta) de que una amenaza aproveche con éxito una vulnerabilidad.

Determinar el impacto (operativo, individual, en los activos, etc.) que podría tener en la ePHI si una amenaza aprovecha una vulnerabilidad.

Evalúe el nivel de riesgo (bajo, medio, alto) para la ePHI, teniendo en cuenta la información recopilada y las determinaciones realizadas durante los pasos anteriores.

La plataforma Prevalent le permite definir umbrales de riesgo y clasificar y puntuar los riesgos en función de su probabilidad e impacto. El mapa de calor resultante permite a los equipos centrarse en los riesgos más importantes.

7. Documentar los resultados de la evaluación de riesgos.

Documentar los resultados de la evaluación de riesgos.

Con Prevalent, puede generar registros de riesgos al completar la encuesta, integrando información en tiempo real sobre ciberseguridad, negocios, reputación y finanzas para automatizar las revisiones, los informes y las respuestas ante riesgos. Desde el registro de riesgos, puede crear tareas relacionadas con los riesgos u otros elementos; comprobar el estado de las tareas mediante reglas de correo electrónico vinculadas a la plataforma; y aprovechar las recomendaciones y orientaciones de corrección integradas.

La solución automatizala auditoría de cumplimiento de la gestión de riesgos de tercerosmediante la recopilación de información sobre los riesgos de los proveedores, la cuantificación de los riesgos y la generación de informes para docenas de normativas gubernamentales y marcos industriales, incluidos NIST, HIPAA y muchos más.

Asignación de capacidades prevalentes a los requisitos de la norma de seguridad HIPAA NIST SP 800-66r2

La norma NIST SP 800-66r2 presenta medidas de seguridad que son relevantes para cada estándar de la Norma de Seguridad de la HIPAA. La tabla siguiente identifica medidas específicas para socios comerciales y muestra las capacidades de Prevalent que ayudan a satisfacer los requisitos.

Actividad clave y descripción	Cómo ayudamos
5.1.9 Contratos con socios comerciales y otros acuerdos (§ 164.308(b)(1)) Norma HIPAA:Una entidad cubierta puede permitir que un socio comercial cree, reciba, mantenga o transmita información médica protegida electrónica en nombre de la entidad cubierta solo si la entidad cubierta obtiene garantías satisfactorias, de conformidad con la sección 164.314(a), de que el socio comercial protegerá adecuadamente la información. Una entidad cubierta no está obligada a obtener dichas garantías satisfactorias de un socio comercial que sea un subcontratista.
1. Identificar las entidades que son socios comerciales según la norma de seguridad de la HIPAA. Identifique a la persona o departamento que se encargará de coordinar la ejecución de los acuerdos con socios comerciales u otros acuerdos. Reevaluar la lista de socios comerciales para determinar quién tiene acceso a la ePHI con el fin de evaluar si la lista está completa y actualizada. Identificar los sistemas cubiertos por el contrato/acuerdo. Los socios comerciales deben tener un BAA vigente con cada uno de sus socios comerciales subcontratistas. Los socios comerciales subcontratistas también son directamente responsables de sus propias infracciones a la Norma de Seguridad.	Prevalent identifica las relaciones con terceros a través de una evaluación de identificación nativa o mediante el escaneo pasivo de la infraestructura pública del tercero. El mapa de relaciones resultante muestra las rutas de información y las dependencias que podrían abrir vías de acceso a un entorno. Prevalent ofrece una evaluación de diligencia debida previa al contrato con una puntuación clara basada en ocho criterios para capturar, rastrear y cuantificarlos riesgos inherentespara todos los terceros y socios comerciales durante la incorporación. Los criterios incluyen: Tipo de contenido necesario para validar los controles Importancia crítica para el rendimiento y las operaciones empresariales Ubicación(es) y consideraciones legales o normativas relacionadas Nivel de dependencia de terceros (para evitar el riesgo de concentración) Exposición a procesos operativos o de atención al cliente Interacción con datos protegidos Situación financiera y salud Reputación A partir de esta evaluación de riesgos inherentes, su equipo puede gestionar de forma centralizada a todos los socios comerciales, clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas.
2. Establecer un proceso para medir el cumplimiento del contrato y rescindirlo si no se cumplen los requisitos de seguridad. Mantener líneas de comunicación claras entre las entidades cubiertas y los socios comerciales en relación con la protección de la ePHI, de conformidad con el BAA o el contrato. Establecer criterios para medir el rendimiento del contrato.	Prevalent ayuda a medir de forma centralizadalos KPI y KRI de tercerospara reducir los riesgos derivados de las deficiencias en la supervisión de los proveedores mediante la automatización de las evaluaciones de contratos y rendimiento. Cuando se detecta que un tercero incumple el contrato, la plataforma automatiza las evaluaciones contractuales ylos procedimientos de baja parareducir el riesgo de exposición posterior al contrato de su organización.
3. Contrato escrito u otro acuerdo Documentar las garantías satisfactorias exigidas por esta norma mediante un contrato escrito u otro acuerdo con el socio comercial que cumpla los requisitos aplicables del artículo 164.314(a)... Ejecutar acuerdos o arreglos nuevos o actualizar los existentes, según corresponda. Identificar funciones y responsabilidades. Incluir requisitos de seguridad en los contratos y acuerdos con socios comerciales para abordar la confidencialidad, integridad y disponibilidad de la ePHI. Especifique cualquier requisito de formación asociado al contrato, acuerdo o arreglo, si es razonable y apropiado.	Prevalent centraliza la distribución, discusión, retención y revisión delos contratos con proveedores. También ofrece capacidades de flujo de trabajo para automatizar el ciclo de vida de los contratos, desde la incorporación hasta la salida. Las capacidades clave incluyen: Seguimiento centralizado de todos los contratos y sus atributos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones. Funciones de flujo de trabajo (basadas en el tipo de usuario o contrato) para automatizar el ciclo de vida de la gestión de contratos. Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de contratos. Discusión centralizada de contratos y seguimiento de comentarios Almacenamiento de contratos y documentos con permisos basados en roles y registros de auditoría de todos los accesos. Seguimiento del control de versiones que admite la edición de contratos y documentos sin conexión. Permisos basados en roles que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación. Con estas capacidades, puede asegurarse de que las cláusulas adecuadas, como las protecciones de seguridad sobre la ePHI y la formación, estén incluidas en el contrato, y de que sean aplicables y se comuniquen de manera eficaz a todas las partes interesadas.
5.4.1 Contratos con socios comerciales u otros acuerdos (§ 164.314(a)) Norma HIPAA:(i) El contrato u otro acuerdo entre la entidad cubierta y su socio comercial exigido por el artículo 164.308(b)(3) debe cumplir los requisitos del párrafo (a)(2)(i), (a)(2)(ii) o (a)(2)(iii) de esta sección, según corresponda. (ii) Una entidad cubierta cumple con el párrafo (a)(1) de esta sección si tiene otro acuerdo que cumpla con los requisitos de la sección §164.504(e)(3). (iii) Los requisitos de los párrafos (a)(2)(i) y (a)(2)(ii) de esta sección se aplican al contrato u otro acuerdo entre un socio comercial y un subcontratista exigido por el artículo 164.308(b)(4) de la misma manera que dichos requisitos se aplican a los contratos u otros acuerdos entre una entidad cubierta y un socio comercial.
1. El contrato debe estipular que los socios comerciales cumplirán con los requisitos aplicables de la norma de seguridad. Los contratos entre las entidades cubiertas y los socios comerciales deben estipular que estos últimos implementarán medidas de seguridad administrativas, físicas y técnicas que protejan de manera razonable y adecuada la confidencialidad, integridad y disponibilidad de la ePHI que el socio comercial cree, reciba, mantenga o transmita en nombre de la entidad cubierta. 2. El contrato debe estipular que los socios comerciales celebren contratos con los subcontratistas para garantizar la protección de la ePHI. De conformidad con el artículo 164.308(b)(2), asegúrese de que cualquier subcontratista que cree, reciba, mantenga o transmita ePHI en nombre del socio comercial se comprometa a cumplir los requisitos aplicables de esta subparte mediante la celebración de un contrato u otro acuerdo que cumpla con esta sección.	Prevalent centraliza la distribución, discusión, retención y revisión delos contratos con proveedores. También ofrece capacidades de flujo de trabajo para automatizar el ciclo de vida de los contratos, desde la incorporación hasta la salida. Con estas capacidades, puede asegurarse de que las cláusulas adecuadas —como la aplicación de controles de seguridad, la auditabilidad, la respuesta a incidentes, las notificaciones, los acuerdos con subcontratistas externos, etc.— estén incluidas en el contrato y de que sean aplicables y se comuniquen de manera eficaz a todas las partes interesadas.
3. El contrato debe estipular que los socios comerciales informarán de los incidentes de seguridad. Informar a la entidad cubierta de cualquier incidente de seguridad del que tenga conocimiento, incluyendo violaciones de la seguridad de la PHI, tal y como exige el artículo 164.410. Mantener líneas de comunicación claras entre las entidades cubiertas y los socios comerciales en relación con la protección de la ePHI, de conformidad con el BAA o el contrato. Establecer un mecanismo de notificación y un proceso que el socio comercial pueda utilizar en caso de incidente o violación de la seguridad.	Además de la gestión del ciclo de vida de los contratos, Prevalent ofrece unservicio de respuesta a incidentes de tercerosque permite a los equipos identificar y mitigar rápidamente el impacto de las infracciones de terceros mediante la gestión centralizada de los proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados y el acceso a orientación sobre medidas correctivas. Los clientes también pueden acceder a una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo. La base de datos incluye los tipos y cantidades de datos robados, cuestiones de cumplimiento y normativas, y notificaciones en tiempo real de violaciones de datos de proveedores. En combinación con la supervisión cibernética continua, proporciona a las organizaciones una visión completa de los riesgos externos de seguridad de la información que pueden afectar a sus operaciones.
4. Otros acuerdos La entidad cubierta cumple con el párrafo (a)(1) de esta sección si tiene otro acuerdo vigente que cumple con los requisitos de § 164.504(e)(3). 5. Contratos de socios comerciales con subcontratistas Los requisitos de los párrafos (a)(2)(i) y (a)(2)(ii) de esta sección se aplican al contrato u otro acuerdo entre un socio comercial y un subcontratista de la misma manera que dichos requisitos se aplican a los contratos u otros acuerdos entre una entidad cubierta y un socio comercial.	Además de garantizar que los contratos con socios comerciales contengan disposiciones para evaluar los riesgos de terceros, Prevalent identifica las relaciones con terceros mediante una evaluación de identificación nativa o mediante el escaneo pasivo de la infraestructura pública del tercero. El mapa de relaciones resultante muestra las rutas de información y las dependencias que podrían abrir vías de acceso a un entorno.

Actividad clave y descripción

Cómo ayudamos

5.1.9 Contratos con socios comerciales y otros acuerdos (§ 164.308(b)(1))

Norma HIPAA:Una entidad cubierta puede permitir que un socio comercial cree, reciba, mantenga o transmita información médica protegida electrónica en nombre de la entidad cubierta solo si la entidad cubierta obtiene garantías satisfactorias, de conformidad con la sección 164.314(a), de que el socio comercial protegerá adecuadamente la información. Una entidad cubierta no está obligada a obtener dichas garantías satisfactorias de un socio comercial que sea un subcontratista.

1. Identificar las entidades que son socios comerciales según la norma de seguridad de la HIPAA.

Identifique a la persona o departamento que se encargará de coordinar la ejecución de los acuerdos con socios comerciales u otros acuerdos.
Reevaluar la lista de socios comerciales para determinar quién tiene acceso a la ePHI con el fin de evaluar si la lista está completa y actualizada.
Identificar los sistemas cubiertos por el contrato/acuerdo.
Los socios comerciales deben tener un BAA vigente con cada uno de sus socios comerciales subcontratistas. Los socios comerciales subcontratistas también son directamente responsables de sus propias infracciones a la Norma de Seguridad.

Prevalent identifica las relaciones con terceros a través de una evaluación de identificación nativa o mediante el escaneo pasivo de la infraestructura pública del tercero. El mapa de relaciones resultante muestra las rutas de información y las dependencias que podrían abrir vías de acceso a un entorno.

Prevalent ofrece una evaluación de diligencia debida previa al contrato con una puntuación clara basada en ocho criterios para capturar, rastrear y cuantificarlos riesgos inherentespara todos los terceros y socios comerciales durante la incorporación. Los criterios incluyen:

Tipo de contenido necesario para validar los controles
Importancia crítica para el rendimiento y las operaciones empresariales
Ubicación(es) y consideraciones legales o normativas relacionadas
Nivel de dependencia de terceros (para evitar el riesgo de concentración)
Exposición a procesos operativos o de atención al cliente
Interacción con datos protegidos
Situación financiera y salud
Reputación

A partir de esta evaluación de riesgos inherentes, su equipo puede gestionar de forma centralizada a todos los socios comerciales, clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia adicional y determinar el alcance de las evaluaciones continuas.

2. Establecer un proceso para medir el cumplimiento del contrato y rescindirlo si no se cumplen los requisitos de seguridad.

Mantener líneas de comunicación claras entre las entidades cubiertas y los socios comerciales en relación con la protección de la ePHI, de conformidad con el BAA o el contrato.
Establecer criterios para medir el rendimiento del contrato.

Prevalent ayuda a medir de forma centralizadalos KPI y KRI de tercerospara reducir los riesgos derivados de las deficiencias en la supervisión de los proveedores mediante la automatización de las evaluaciones de contratos y rendimiento.

Cuando se detecta que un tercero incumple el contrato, la plataforma automatiza las evaluaciones contractuales ylos procedimientos de baja parareducir el riesgo de exposición posterior al contrato de su organización.

3. Contrato escrito u otro acuerdo

Documentar las garantías satisfactorias exigidas por esta norma mediante un contrato escrito u otro acuerdo con el socio comercial que cumpla los requisitos aplicables del artículo 164.314(a)...
Ejecutar acuerdos o arreglos nuevos o actualizar los existentes, según corresponda.
Identificar funciones y responsabilidades.
Incluir requisitos de seguridad en los contratos y acuerdos con socios comerciales para abordar la confidencialidad, integridad y disponibilidad de la ePHI.
Especifique cualquier requisito de formación asociado al contrato, acuerdo o arreglo, si es razonable y apropiado.

Prevalent centraliza la distribución, discusión, retención y revisión delos contratos con proveedores. También ofrece capacidades de flujo de trabajo para automatizar el ciclo de vida de los contratos, desde la incorporación hasta la salida. Las capacidades clave incluyen:

Seguimiento centralizado de todos los contratos y sus atributos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones.
Funciones de flujo de trabajo (basadas en el tipo de usuario o contrato) para automatizar el ciclo de vida de la gestión de contratos.
Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de contratos.
Discusión centralizada de contratos y seguimiento de comentarios
Almacenamiento de contratos y documentos con permisos basados en roles y registros de auditoría de todos los accesos.
Seguimiento del control de versiones que admite la edición de contratos y documentos sin conexión.
Permisos basados en roles que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.

Con estas capacidades, puede asegurarse de que las cláusulas adecuadas, como las protecciones de seguridad sobre la ePHI y la formación, estén incluidas en el contrato, y de que sean aplicables y se comuniquen de manera eficaz a todas las partes interesadas.

5.4.1 Contratos con socios comerciales u otros acuerdos (§ 164.314(a))

Norma HIPAA:(i) El contrato u otro acuerdo entre la entidad cubierta y su socio comercial exigido por el artículo 164.308(b)(3) debe cumplir los requisitos del párrafo (a)(2)(i), (a)(2)(ii) o (a)(2)(iii) de esta sección, según corresponda. (ii) Una entidad cubierta cumple con el párrafo (a)(1) de esta sección si tiene otro acuerdo que cumpla con los requisitos de la sección §164.504(e)(3). (iii) Los requisitos de los párrafos (a)(2)(i) y (a)(2)(ii) de esta sección se aplican al contrato u otro acuerdo entre un socio comercial y un subcontratista exigido por el artículo 164.308(b)(4) de la misma manera que dichos requisitos se aplican a los contratos u otros acuerdos entre una entidad cubierta y un socio comercial.

1. El contrato debe estipular que los socios comerciales cumplirán con los requisitos aplicables de la norma de seguridad.

Los contratos entre las entidades cubiertas y los socios comerciales deben estipular que estos últimos implementarán medidas de seguridad administrativas, físicas y técnicas que protejan de manera razonable y adecuada la confidencialidad, integridad y disponibilidad de la ePHI que el socio comercial cree, reciba, mantenga o transmita en nombre de la entidad cubierta.

2. El contrato debe estipular que los socios comerciales celebren contratos con los subcontratistas para garantizar la protección de la ePHI.

De conformidad con el artículo 164.308(b)(2), asegúrese de que cualquier subcontratista que cree, reciba, mantenga o transmita ePHI en nombre del socio comercial se comprometa a cumplir los requisitos aplicables de esta subparte mediante la celebración de un contrato u otro acuerdo que cumpla con esta sección.

Con estas capacidades, puede asegurarse de que las cláusulas adecuadas —como la aplicación de controles de seguridad, la auditabilidad, la respuesta a incidentes, las notificaciones, los acuerdos con subcontratistas externos, etc.— estén incluidas en el contrato y de que sean aplicables y se comuniquen de manera eficaz a todas las partes interesadas.

3. El contrato debe estipular que los socios comerciales informarán de los incidentes de seguridad.

Informar a la entidad cubierta de cualquier incidente de seguridad del que tenga conocimiento, incluyendo violaciones de la seguridad de la PHI, tal y como exige el artículo 164.410.
Mantener líneas de comunicación claras entre las entidades cubiertas y los socios comerciales en relación con la protección de la ePHI, de conformidad con el BAA o el contrato.
Establecer un mecanismo de notificación y un proceso que el socio comercial pueda utilizar en caso de incidente o violación de la seguridad.

Además de la gestión del ciclo de vida de los contratos, Prevalent ofrece unservicio de respuesta a incidentes de tercerosque permite a los equipos identificar y mitigar rápidamente el impacto de las infracciones de terceros mediante la gestión centralizada de los proveedores, la realización de evaluaciones de eventos, la puntuación de los riesgos identificados y el acceso a orientación sobre medidas correctivas.

Los clientes también pueden acceder a una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo. La base de datos incluye los tipos y cantidades de datos robados, cuestiones de cumplimiento y normativas, y notificaciones en tiempo real de violaciones de datos de proveedores. En combinación con la supervisión cibernética continua, proporciona a las organizaciones una visión completa de los riesgos externos de seguridad de la información que pueden afectar a sus operaciones.

4. Otros acuerdos

La entidad cubierta cumple con el párrafo (a)(1) de esta sección si tiene otro acuerdo vigente que cumple con los requisitos de § 164.504(e)(3).

5. Contratos de socios comerciales con subcontratistas

Los requisitos de los párrafos (a)(2)(i) y (a)(2)(ii) de esta sección se aplican al contrato u otro acuerdo entre un socio comercial y un subcontratista de la misma manera que dichos requisitos se aplican a los contratos u otros acuerdos entre una entidad cubierta y un socio comercial.

Además de garantizar que los contratos con socios comerciales contengan disposiciones para evaluar los riesgos de terceros, Prevalent identifica las relaciones con terceros mediante una evaluación de identificación nativa o mediante el escaneo pasivo de la infraestructura pública del tercero. El mapa de relaciones resultante muestra las rutas de información y las dependencias que podrían abrir vías de acceso a un entorno.

Navegue por el panorama del cumplimiento normativo de TPRM

Soluciones sectoriales

Simplifique las evaluaciones de la norma de seguridad HIPAA

Requisitos pertinentes

Comprender la norma de seguridad de la HIPAA

Asignación de capacidades prevalentes a los requisitos de la norma de seguridad HIPAA NIST SP 800-66r2