Simplifiez les évaluations de conformité à la règle de sécurité HIPAA

La publication spéciale (SP) 800-66du National Institute of Standards and Technology (NIST) a été élaborée afin d'aider les organismes de prestation de soins de santé (HDO) à comprendrela règle de sécurité de la loi HIPAA (Health Insurance Portability and Accountability Act)et de fournir un cadre pour soutenir sa mise en œuvre.

La règle de sécurité HIPAA s'applique à toute organisation gérant des informations de santé protégées électroniques (ePHI), qu'il s'agisse d'une entité couverte ou d'un partenaire commercial (par exemple, un fournisseur tiers, un prestataire ou un partenaire). La règle impose aux organisations :

  • Garantir la confidentialité, l'intégrité et la disponibilité de toutes les informations médicales électroniques protégées (ePHI) qu'ils créent, reçoivent, conservent ou transmettent.
  • Identifier et protéger contre les menaces raisonnablement prévisibles pour la sécurité ou l'intégrité des informations.
  • Se protéger contre les utilisations ou divulgations non autorisées des ePHI qui sont raisonnablement prévisibles.
  • Veiller au respect des règles par leur personnel

Le respect des directives et des meilleures pratiques énoncées danslanormeNIST 800-66r2aidera les organismes de santé à simplifier leur mise en conformité avec la règle de sécurité HIPAA.

Exigences pertinentes

  • Réaliser une évaluation précise et approfondie des risques potentiels et des vulnérabilités liés à la confidentialité, à l'intégrité et à la disponibilité des informations de santé électroniques protégées détenues par l'entité couverte ou le partenaire commercial.
  • Mettre en œuvre des mesures de sécurité suffisantes pour réduire les risques et les vulnérabilités à un niveau raisonnable et approprié.

Comprendre la règle de sécurité HIPAA

La règle de sécurité HIPAA recommande sept étapes à inclure dans un processus complet d'évaluation des risques. Le tableau ci-dessous présente les fonctionnalités de la solution Prevalent pour chaque étape, illustrant comment une solution de gestion des risques tiers peut aider à mettre en œuvre ces bonnes pratiques.

REMARQUE : ces informations sont fournies à titre indicatif uniquement. Les organisations doivent examiner elles-mêmes l'intégralité des exigences de la norme NIST 800-66r2 et de la règle de sécurité HIPAA, en consultation avec leurs auditeurs.

Étapes et tâches recommandées Comment nous aidons
1. Préparez-vous à l'évaluation

Comprendre où les ePHI sont créées, reçues, conservées, traitées ou transmises.

Définir la portée de l'évaluation.

Prevalent partners with you to build a comprehensive third-party risk management (TPRM) program based on proven best practices and extensive real-world experience. Our experts collaborate with your team on defining and implementing TPRM processes and solutions; selecting risk assessment questionnaires and frameworks; and optimizing your program to address the entire third-party risk lifecycle – from sourcing and due diligence, to termination and offboarding.

Prevalent peut identifier les relations de sous-traitance de quatrième et n-ième partie en réalisant une évaluation basée sur un questionnaire ou en analysant de manière passive l'infrastructure publique du tiers. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient exposer votre environnement à des risques. Les fournisseurs découverts grâce à ce processus font l'objet d'une surveillance continue afin de détecter les risques financiers, ESG, cybernétiques, commerciaux et de violation des données, ainsi que les sanctions/contrôles PEP.

Une fois les tiers et les quatrièmes parties identifiés, vous pouvez utiliser les plus de 750modèles d'évaluationprédéfinis disponibles dans la plateforme Prevalent pour évaluer les partenaires commerciaux tiers par rapport aux exigences NIST, HIPAA ou autres.

2. Identifier les menaces réalistes

Identifier les événements et les sources de menace potentiels qui s'appliquent à l'entité réglementée et à son environnement opérationnel.

Prevalent continuously tracks and analyzes menaces externes envers des tiers. La solution surveille Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances.

Toutes les données de surveillance sont corrélées aux résultats des évaluations et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui rationalise les initiatives d'examen, de reporting et de réponse aux risques. Les sources de surveillance comprennent :

  • plus de 1 500 forums criminels, des milliers de pages en oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilité couvrant 550 000 entreprises.
  • Une base de données contenant plus de 10 ans d'historique des violations pour des milliers d'entreprises
  • 550 000 sources publiques et privées d'informations sur la réputation, y compris les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc.
  • Un réseau mondial de 2 millions d'entreprises avec 5 ans de changements organisationnels et de performances financières
  • 30 000 sources d'information mondiales
  • Une base de données contenant plus de 1,8 million de profils de personnes politiquement exposées
  • Listes mondiales de sanctions et plus de 1 000 listes d'application et dossiers judiciaires
3. Identifier les vulnérabilités potentielles et les conditions prédisposantes

Utilisez des sources internes et externes pour identifier les vulnérabilités potentielles. Les sources internes peuvent inclure les évaluations de risques précédentes, les résultats des analyses de vulnérabilité et des tests de sécurité du système (par exemple, les tests de pénétration) et les rapports d'audit. Les sources externes peuvent inclure les recherches sur Internet, les informations des fournisseurs, les données d'assurance et les bases de données sur les vulnérabilités.

Prevalent normalise, corrèle et analyse les informations issues des évaluations des risques internes et externes. Ce modèle unifié fournit un contexte, une quantification, une gestion et une aide à la correction des risques. Il valide également la présence et l'efficacité des contrôles internes grâce à une surveillance externe.
4.-6. Déterminer la probabilité (et l'impact) d'une menace exploitant une vulnérabilité ; déterminer le niveau de risque

Déterminez la probabilité (très faible à très élevée) qu'une menace exploite avec succès une vulnérabilité.

Déterminez l'impact (opérationnel, individuel, sur les actifs, etc.) que pourrait subir l'ePHI si une menace exploitait une vulnérabilité.

Évaluez le niveau de risque (faible, moyen, élevé) pour les ePHI, en tenant compte des informations recueillies et des conclusions tirées lors des étapes précédentes.

La plateforme Prevalent vous permet de définir des seuils de risque, puis de classer et de noter les risques en fonction de leur probabilité et de leur impact. La carte thermique qui en résulte permet aux équipes de se concentrer sur les risques les plus importants.
7. Consigner les résultats de l'évaluation des risques

Consignez les résultats de l'évaluation des risques.

Avec Prevalent, vous pouvez générer des registres des risques une fois l'enquête terminée, en intégrant des informations en temps réel sur la cybersécurité, les activités commerciales, la réputation et la surveillance financière afin d'automatiser les examens, les rapports et les réponses en matière de risques. À partir du registre des risques, vous pouvez créer des tâches liées aux risques ou à d'autres éléments, vérifier l'état d'avancement des tâches via des règles de messagerie électronique liées à la plateforme et tirer parti des recommandations et des conseils de remédiation intégrés.

La solution automatisel'audit de conformité en matière de gestion des risques liés aux tiersen collectant des informations sur les risques liés aux fournisseurs, en quantifiant ces risques et en générant des rapports pour des dizaines de réglementations gouvernementales et de cadres industriels, notamment NIST, HIPAA et bien d'autres encore.

Mise en correspondance des capacités courantes avec les exigences de la règle de sécurité HIPAA NIST SP 800-66r2

La norme NIST SP 800-66r2 présente les mesures de sécurité applicables à chaque norme de la règle de sécurité HIPAA. Le tableau ci-dessous identifie les mesures spécifiques aux partenaires commerciaux et répertorie les fonctionnalités Prevalent qui permettent de satisfaire aux exigences.

REMARQUE : ces informations sont fournies à titre indicatif uniquement. Les organisations doivent examiner elles-mêmes l'intégralité des exigences de la norme NIST 800-66r2 et de la règle de sécurité HIPAA, en consultation avec leurs auditeurs.

Activité clé et description Comment nous aidons
5.1.9 Contrats avec des partenaires commerciaux et autres accords (§ 164.308(b)(1))

Norme HIPAA :Une entité couverte peut autoriser un partenaire commercial à créer, recevoir, conserver ou transmettre des informations de santé protégées sous forme électronique pour le compte de l'entité couverte uniquement si cette dernière obtient des garanties satisfaisantes, conformément à la section §164.314(a), que le partenaire commercial protégera ces informations de manière appropriée. Une entité couverte n'est pas tenue d'obtenir de telles garanties satisfaisantes de la part d'un partenaire commercial qui est un sous-traitant.

1. Identifier les entités qui sont des partenaires commerciaux au sens de la règle de sécurité HIPAA

  • Identifiez la personne ou le service qui sera chargé de coordonner la mise en œuvre des accords de partenariat commercial ou autres arrangements.
  • Réévaluez la liste des partenaires commerciaux afin de déterminer qui a accès aux informations médicales protégées électroniques (ePHI) et de vérifier si la liste est complète et à jour.
  • Identifier les systèmes couverts par le contrat/accord.
  • Les partenaires commerciaux doivent avoir conclu un accord de confidentialité (BAA) avec chacun de leurs sous-traitants partenaires commerciaux. Les sous-traitants partenaires commerciaux sont également directement responsables de leurs propres violations de la règle de sécurité.
Prevalent identifie les relations avec les quatrièmes parties grâce à une évaluation d'identification native ou en analysant passivement l'infrastructure publique de la tierce partie. La carte des relations qui en résulte représente les chemins d'information et les dépendances qui pourraient ouvrir des voies d'accès à un environnement.

Prevalent propose une évaluation préalable à la signature du contrat, avec une notation claire basée sur huit critères permettant de saisir, suivre et quantifierles risques inhérentsà tous les tiers et partenaires commerciaux lors de leur intégration. Les critères sont les suivants :

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
  • Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration)
  • Expérience des processus opérationnels ou en contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

À partir de cette évaluation des risques inhérents, votre équipe peut gérer de manière centralisée tous les partenaires commerciaux, classer automatiquement les fournisseurs, définir les niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues.

2. Mettre en place un processus permettant de mesurer la performance du contrat et de le résilier si les exigences en matière de sécurité ne sont pas respectées.

  • Maintenir des lignes de communication claires entre les entités couvertes et les partenaires commerciaux concernant la protection des ePHI conformément au BAA ou au contrat.
  • Établir des critères pour mesurer la performance contractuelle.
Prevalent helps to centrally measure indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI) tiers to reduce risks from gaps in vendor oversight by automating contract and performance assessments.

Lorsqu'un tiers est jugé non conforme au contrat, la plateforme automatise les évaluations contractuelles etles procédures de résiliation afin deréduire le risque d'exposition post-contractuelle de votre organisation.

3. Contrat écrit ou autre accord

  • Consignez par écrit les garanties satisfaisantes requises par la présente norme dans un contrat écrit ou tout autre accord conclu avec le partenaire commercial qui satisfait aux exigences applicables du §164.314(a)…
  • Exécuter de nouveaux accords ou arrangements ou mettre à jour ceux qui existent déjà, selon le cas.
  • Définir les rôles et les responsabilités.
  • Inclure des exigences de sécurité dans les contrats et accords conclus avec les partenaires commerciaux afin de garantir la confidentialité, l'intégrité et la disponibilité des informations médicales électroniques protégées (ePHI).
  • Précisez les exigences en matière de formation associées au contrat/accord ou à l'arrangement, si cela est raisonnable et approprié.
Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats fournisseurs. It also offers workflow capabilities to automate the contract lifecycle from onboarding to offboarding. Key capabilities include:

  • Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées basées sur les rôles.
  • Fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats
  • Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats
  • Discussion centralisée des contrats et suivi des commentaires
  • Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès
  • Suivi du contrôle des versions permettant de modifier les contrats et les documents hors ligne
  • Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.

Grâce à ces fonctionnalités, vous pouvez vous assurer que les clauses appropriées (telles que les mesures de sécurité relatives aux informations médicales protégées électroniques et la formation) figurent dans le contrat, qu'elles sont applicables et communiquées efficacement à toutes les parties prenantes.

5.4.1 Contrats avec des partenaires commerciaux ou autres accords (§ 164.314(a))

Norme HIPAA :(i) Le contrat ou autre accord entre l'entité couverte et son partenaire commercial requis par §164.308(b)(3) doit satisfaire aux exigences des paragraphes (a)(2)(i), (a)(2)(ii) ou (a)(2)(iii) de la présente section, selon le cas. (ii) Une entité couverte est en conformité avec le paragraphe (a)(1) de la présente section si elle a mis en place un autre accord qui répond aux exigences du §164.504(e)(3). (iii) Les exigences des paragraphes (a)(2)(i) et (a)(2)(ii) de la présente section s'appliquent au contrat ou à tout autre accord entre un partenaire commercial et un sous-traitant requis par le § 164.308(b)(4) de la même manière que ces exigences s'appliquent aux contrats ou autres accords entre une entité couverte et un partenaire commercial.

1. Le contrat doit stipuler que les partenaires commerciaux se conformeront aux exigences applicables de la règle de sécurité.

Les contrats entre les entités couvertes et les partenaires commerciaux doivent stipuler que ces derniers mettront en œuvre des mesures de protection administratives, physiques et techniques qui protègent de manière raisonnable et appropriée la confidentialité, l'intégrité et la disponibilité des ePHI que le partenaire commercial crée, reçoit, conserve ou transmet pour le compte de l'entité couverte.

2. Le contrat doit stipuler que les partenaires commerciaux concluent des contrats avec des sous-traitants afin de garantir la protection des ePHI.

Conformément au § 164.308(b)(2), veillez à ce que tous les sous-traitants qui créent, reçoivent, conservent ou transmettent des ePHI pour le compte du partenaire commercial acceptent de se conformer aux exigences applicables de la présente sous-partie en concluant un contrat ou tout autre accord conforme à la présente section.

Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats fournisseurs. Il offre également des fonctionnalités de workflow permettant d'automatiser le cycle de vie des contrats, de l'intégration à la sortie.

Grâce à ces fonctionnalités, vous pouvez vous assurer que les clauses appropriées (telles que l'application des contrôles de sécurité, l'auditabilité, la réponse aux incidents, les notifications, les accords avec les sous-traitants tiers, etc.) figurent dans le contrat, qu'elles sont applicables et communiquées efficacement à toutes les parties prenantes.

3. Le contrat doit stipuler que les partenaires commerciaux signaleront les incidents de sécurité.

  • Signaler à l'entité couverte tout incident de sécurité dont elle a connaissance, y compris les violations de données PHI non sécurisées, conformément à la section § 164.410.
  • Maintenir des lignes de communication claires entre les entités couvertes et les partenaires commerciaux concernant la protection des ePHI conformément au BAA ou au contrat.
  • Mettre en place un mécanisme de signalement et une procédure à suivre par le partenaire commercial en cas d'incident ou de violation de la sécurité.
In addition to contract lifecycle management, Prevalent offers a Third-Party Incident Response Service that enables teams to rapidly identify and mitigate the impact of third-party breaches by centrally managing vendors, conducting event assessments, scoring identified risks, and accessing remediation guidance.

Les clients peuvent également accéder à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises à travers le monde. La base de données comprend les types et les quantités de données volées, les problèmes de conformité et de réglementation, ainsi que les notifications en temps réel des violations de données des fournisseurs. Associée à une surveillance cybernétique continue, elle offre aux organisations une vue d'ensemble des risques externes liés à la sécurité de l'information qui peuvent avoir un impact sur leurs opérations.

4. Autres dispositions

L'entité concernée se conforme au paragraphe (a)(1) de la présente section si elle a mis en place un autre dispositif qui satisfait aux exigences du § 164.504(e)(3).

5. Contrats de partenariat commercial avec des sous-traitants

Les exigences des paragraphes (a)(2)(i) et (a)(2)(ii) de la présente section s'appliquent au contrat ou à tout autre accord entre un partenaire commercial et un sous-traitant de la même manière que ces exigences s'appliquent aux contrats ou autres accords entre une entité couverte et un partenaire commercial.

En plus de veiller à ce que les contrats conclus avec les partenaires commerciaux contiennent des dispositions relatives à l'évaluation des risques liés aux quatrièmes parties, Prevalent identifie les relations avec les quatrièmes parties grâce à une évaluation d'identification native ou en analysant de manière passive l'infrastructure publique du tiers. La carte des relations qui en résulte décrit les chemins d'accès à l'information et les dépendances qui pourraient ouvrir des voies d'accès à un environnement.

Naviguer dans le paysage de la conformité TPRM