Declaração de Privacidade e Observância à HIPAA

A segurança e privacidade dos pacientes são as principais prioridades do CloudVisit Telemedicina. Veja abaixo alguns dos métodos que utilizamos para garantir sua privacidade.

Medidas Técnicas de Proteção

Criptografia de Dados (na transmissão)

A criptografia padrão AES de 256 bits é usada em todos os pontos nos quais as informações do paciente são transmitidas entre um usuário e nossos servidores. Isso inclui a criptografia completa de informações compartilhadas entre médicos e pacientes, bem como a transmissão criptografada de imagens e documentos carregados/baixados.

Criptografia de Dados (no armazenamento)

Todos os dados de pacientes e informações de faturamento são armazenados em tabelas de banco de dados criptografados usando o padrão AES de 256 bits. Todos os documentos e imagens enviados por um paciente ou profissional de saúde também são armazenados de modo criptografado. A criptografia total se aplica a todos os discos rígidos que armazenam informações de pacientes e dados de operação do site, usando os padrões de criptografia SHA-512.

Criptografia de Áudio/Vídeo

A transmissão de áudio e vídeo ocorre, em todas as sessões, através de um canal criptografado que utiliza as primitivas criptográficas padrão do setor. Os fluxos de áudio e vídeo são decodificados conforme recebidos por um profissional de saúde ou paciente participante.

Servidores Distribuídos

Vários servidores são utilizados ​​para lidar com tarefas específicas, como hospedagem na web, armazenamento de dados e gerenciamento de sessões de vídeo. Cada servidor é configurado exclusivamente com detalhes de acesso, chaves de descriptografia de software, permissões e salvaguardas separados. O acesso a sistemas contendo informações confidenciais é restrito a uma estrutura de rede interna com procedimentos de autenticação.

Hospedagem em Conformidade com a HIPAA

O CloudVisit utiliza uma solução de hospedagem de classe corporativa que fornece todas as ferramentas necessárias para manter as medidas de segurança compatíveis com a HIPAA e a privacidade do paciente. Os padrões de criptografia utilizados pela CloudVisit garantem que nossa solução de hospedagem não tenha acesso a informações confidenciais do paciente a qualquer momento.

Padrões de Negócio em Conformidade com a HIPAA

e acordo com as diretrizes e regulamentações da HIPAA, os fornecedores de soluções de software para telemedicina são obrigados a manter práticas comerciais e de segurança compatíveis com a HIPAA. Além disso, os prestadores de serviços de saúde são obrigados a assinar um Contrato de Associado Comercial (BAA) com seu fornecedor de software de telemedicina. A CloudVisit mantém os padrões HIPAA e celebra BAAs mútuos com cada assinante do CloudVisit Telemedicina.
Esta auto-auditoria está em conformidade com os requisitos regulamentares da HIPAA impostos pelo Departamento de Saúde e Serviços Humanos dos Estados Unidos (www.hhs.gov) em vigor desde 16 de setembro de 2016.

Medidas Físicas de Proteção

Controles de Acesso

Aplicamos procedimentos que permitem uma visibilidade profunda das chamadas de API, incluindo identificação, modo e local das chamadas realizadas para registrar qualquer usuário que esteja acessando os servidores. Os procedimentos também incluem salvaguardas para impedir o acesso físico não autorizado, adulteração e roubo, através de registros de atividade e notificações de alerta. As informações dos pacientes não são excessivamente armazenadas, impressas, copiadas, divulgadas ou processadas por outros meios fora do propósito de uso.

Uso das Estações de Trabalho

Todos os dispositivos de computação são instalados e configurados para restringir o acesso ePHI somente a usuários autorizados. O ePHI é exclusivamente armazenado, revisado, criado, atualizado ou excluído usando dispositivos de computação que atendem aos requisitos de segurança para esse tipo de dispositivo. Antes de deixar um dispositivo de computação sem supervisão, os usuários obrigatoriamente devem fazer logoff ou, de outro modo, bloquear ou proteger o dispositivo ou os aplicativos. Essa prática impede o acesso de usuários não autorizados ao ePHI ou a qualquer componente do sistema. Os dispositivos de computação estão localizados e orientados de modo que as informações nos monitores não sejam visíveis por pessoas não autorizadas.

Procedimentos para Dispositivos Móveis

Sempre que for armazenado em dispositivos de computação portáteis ou móveis (tais como laptops, smartphones, tablets, etc.) ou em mídias de armazenamento eletrônico removível (como pen drives, etc.), o ePHI é criptografado. O original (fonte) ou a única cópia do PHI não é armazenado em dispositivos de computação portáteis.

Medidas Administrativas de Proteção

Gerenciamento de Risco

a. A CloudVisit registra e mantém um inventário de componentes de tecnologia da informação que fazem parte do serviço de telemedicina.

b. Os sistemas são dotados de capacidade suficiente para garantir a disponibilidade contínua no caso de um incidente de segurança.
c. Os sistemas garantem que a proteção contra software malicioso está ativa e sempre atualizada.
d. Todas as ações de usuários privilegiados são registradas. Quaisquer alterações nesses registros por um sistema, usuário privilegiado ou usuário final devem ser detectáveis. Os registros de atividade são revisados ​​periodicamente pelo pessoal administrativo autorizado da CloudVisit.
e. As informações sobre eventos importantes relacionados à segurança são registradas, incluindo tipos de eventos como falha de autenticação, falha do sistema, alterações nos direitos de acesso e atributos do evento tais como: data, hora, ID do usuário, nome do arquivo e endereço IP, onde for tecnicamente viável.
f. Os registros de atividade são armazenados por pelo menos 6 meses e disponibilizados para as Entidades Cobertas quando requisitado.
g. Os backups são realizados em caráter frequente para garantir a continuidade e a expectativa de funcionamento.
h. Aplicamos um processo de gerenciamento de vulnerabilidades para priorizar e corrigir áreas instáveis com base na natureza / gravidade das mesmas.
i. Utilizamos um processo de gerenciamento de patches para garantir que os mesmos sejam aplicados de maneira eficiente.

Treinamento de Funcionários

Introduzimos um treinamento para aumentar a conscientização sobre as políticas e procedimentos que regem o acesso ao ePHI e como identificar ataques maliciosos de software e malware. Os funcionários com acesso ao ePHI são obrigados a realizar regularmente um treinamento adequado de privacidade de dados com base na HIPAA.

Plano de Contingência

A CloudVisit implementou o Plano de Continuidade de Negócios (PCN) para abordagem e recuperação de interrupções do sistema ou outras emergências que possam danificar ou indisponibilizar o sistema ou o ePHI (tais como desastres naturais, incêndio, vandalismo, falha do sistema, corrupção de software, vírus ou erro do operador). Para reduzir a probabilidade de perda ou corrupção de dados, a CloudVisit mantém cópias exatas recuperáveis ​​do ePHI e de outros dados necessários para a operação do sistema. Os backups contêm dados suficientes para restaurar o sistema de informações a um estado recente, operável e preciso. Os incidentes de continuidade de negócios que têm impacto na execução do serviço para a entidade coberta são registrados, analisados ​​e revisados ​​pela CloudVisit e relatados à entidade coberta em tempo hábil ou de outro modo, conforme acordado.

Teste do Plano de Contingência

A CloudVisit realiza, de forma rotineira, uma Análise de Impacto no Negócio e Avaliação de Risco (BIA/RA) para identificar e mitigar ameaças e riscos potenciais às Informações do ePHI. O plano de contingência é testado regularmente, e quaisquer modificações substanciais apenas serão realizadas no Plano se pudermos ter certeza de sua eficácia e que os membros da força de trabalho compreendem seus respectivos papéis e responsabilidades na sua recuperação. Se um teste revela que o plano de contingência é ineficaz no caso de uma emergência ou outra ocorrência, a CloudVisit revisará o plano de acordo.

Restrição ao Acesso de Terceiros

A CloudVisit garante que o ePHI não será acessado por organizações de pais e subcontratantes não autorizados, e que os Contratos de Associados Comerciais serão assinados com parceiros de negócios que terão acesso ao ePHI. A divulgação de informações do ePHI a terceiros, como um terceiro subprocessador, só será permitida com o consentimento prévio por escrito dos provedores de serviços de saúde e somente para os propósitos identificados nos acordos contratuais com prestadores de serviços de saúde. Os terceiros subprocessadores estarão restritos exclusivamente ao acesso, uso, retenção e divulgação do ePHI necessários para o cumprimento das obrigações contratuais. Os terceiros subprocessadores devem receber instruções claras sobre as medidas de segurança para proteger o ePHI.

Relatando Incidentes de Segurança

A CloudVisit isola e controla incidentes e dados registrados relacionados antes que eles evoluam para uma violação. A CloudVisit aplica um processo documentado de gerenciamento de incidentes de segurança para detectar e resolver incidentes. Os relatórios da CloudVisit confirmarão a ocorrência de incidentes de segurança ou vulnerabilidades envolvendo o ePHI ou serviços para pacientes e provedores assim que possível ou conforme acordado. A CloudVisit cooperará plenamente com as entidades cobertas no controle desses incidentes. A cooperação pode incluir o fornecimento de acesso a dados de evidências digitais para avaliação forense.

Regra de Privacidade da HIPAA

Regra de Privacidade

Diversas medidas de proteção apropriadas são implementadas para proteger a privacidade das Informações Pessoais de Saúde. As informações adicionadas ao sistema pelos pacientes só podem ser vistas por provedores designados e pelo pessoal administrativo autorizado. Os pacientes têm plenos direitos sobre suas informações de saúde, incluindo o direito de obter uma cópia de seus históricos clínicos, de examiná-los e de solicitar correções nos mesmos, se necessário.

Regra de Notificação de Violação da HIPAA

As notificações de violação deverão ser feitas sem atrasos injustificados e sempre dentro de 60 dias da descoberta de uma violação. Se uma violação de informação de saúde sob proteção ocorrer na CloudVisit ou através da mesma, a CloudVisit notificará a entidade coberta após a descoberta da violação. As notificações de violação devem incluir as seguintes informações:
  • A natureza do ePHI envolvido, incluindo os tipos de identificadores pessoais expostos.
  • O indivíduo não autorizado que usou o ePHI ou para quem a divulgação foi feita (se conhecido).
  • Se o ePHI foi efetivamente adquirido ou visualizado (se conhecido).
  • Até que ponto o risco de dano foi mitigado.