HIPAA
HIPAA – Health Insurance Probability and Accountability Act, הינו חוק אמריקאי הקובע צורה אחידה לניהול, שמירה והעברה של מידע רפואי. החוק מתווה מודל להגנה על מידע רפואי ועל כל פעולה הקשורה במידע זה, ומגדיר כי כל אדם זכאי לפרטיות מלאה בנושאים רפואיים.
החוק נחקק ע"י הקונגרס כך שיחול על שירותי הבריאות האמריקאים ועם השנים הורחב ואומץ ע"י התעשייה העולמית ומשמש למעשה "תו תקן" לניהול אבטחת מידע עבור חברות העוסקות בתחום הרפואי.
בשנת 2013 בוצע תיקון לחוק המגדיר אחריות של ספקי תוכנה ותשתיות לגופים הרפואיים ומחייב את אותם ספקים לספק מוצר או שירות שעומד בדרישות של HIPAA.
הדרישות העיקריות של החוק כוללות התייחסות לקביעת מדיניות ונהלי אבטחת מידע, ביצוע הערכות וסקרי סיכונים, הטמעת אמצעי אבטחת מידע, הגברת מודעות לנושאי אבטחת מידע ועוד.
ארצות רבות בעולם, ובכללן ישראל, אימצו את החוק, או לפחות את רוחו. חברות ישראליות המספקות שירותים לחברות אמריקאיות העוסקות בעולם הבריאות, ומערכות שפותחו עבור פעילות זאת, מחויבות בעמידה בדרישות חוק HIPAA.
חברת פריימסק בע"מ, העוסקת בתחום רגולציות, טכנולוגיות מידע, אבטחת מידע וניהול פרויקטים, בשיתוף חברת S.Q.A.C העוסקת בניהול איכות, נהלים ורגולציה, מציעה פעילות התאמה ואישור עמידה בדרישות HIPAA.
הפעילות כוללת בדיקה של הנושאים להלן והגדרת תכנית עבודה להשלמת הפערים:
- מנגנון הזדהות
- מדיניות סיסמאות
- תיעוד פעולות
- מידור הרשאות
- הצפנת תווך
- ניהול Session
- הגנת התשתיות (אם מנוהלות על ידכם)
- הגנה על בסיס הנתונים
- אופן ניהול הנתונים במערכת
- קיום בדיקות קלט לשדות.
- טופולוגיה כללית
עם סיום התהליך תעניק החברה חוות דעת משפטית על עמידת הארגון או המוצר בדרישות החוק.