O Health Insurance Portability e Accountability Act (HIPAA ) foi introduzido pelo governo em 1996. Este conjunto de regulamentos abrange muitas áreas diferentes de seguro de saúde , incluindo a cobertura para os trabalhadores que perderam ou mudaram de emprego, definição de normas para registros de saúde eletrônicos e privacidade dos dados do paciente. Requisitos tecnológicos são detalhadas para o armazenamento , transmissão, criação e destruição de dados do paciente. Entidades abrangidos por estes regulamentos incluem profissionais de saúde , instituições e empresas de seguro de saúde . Acesso Físico

acesso físico ao servidor que contém os logs do sistema com informações sobre a saúde do paciente deve ser restrito ao número mínimo de pessoas que necessitam de acesso para executar sua função . O acesso físico deve ser restrito por meio de dispositivos apropriados, tais como portas trancadas ou racks de servidores . Os métodos aceitáveis ​​para controlar o acesso incluem teclas físicas , digitalização de impressões digitais , escaneamento de retina e emblemas físicos. Logs contendo informações de acesso sobre quem , quando e por que os servidores foram acessados ​​fisicamente são encorajados para uso de passagem auditorias HIPAA . Visitantes fornecidas com acesso a uma área com informações HIPAA deve ser atribuído um acompanhante para a duração da visita.
Armazenamento de informações necessárias

arquivos de log deve manter apenas o dados necessários para o pessoal técnico para executar sua função . Se as informações pessoais de saúde são armazenados , os dados de mascaramento ( ocultação de uma parte dos dados para torná-lo inutilizável ) deve ser usado , se possível, para evitar a perda de dados pessoais . Perda de arquivos de log que contêm informações pessoais de saúde devem ser comunicados ao Departamento de Saúde e Serviços Humanos . Destruição de arquivos de log devem estar em conformidade com os requisitos de apagamento seguros contidos nas regulamentações HIPAA . Controles de acesso suficientes devem estar no local para garantir a informação pessoal de saúde não é alterada de forma não intencional .
Dados em trânsito

Transmissão de dados, como registros de servidor fora da rede interna da entidade proprietária do servidor, requer que os dados sejam criptografados. Padrões de criptografia comuns, como o Secure Socket Layer ( SSL) , atender aos requisitos do regulamento. Transferir uma log do servidor a partir de um dispositivo interno para outro não requer que os dados sejam criptografados em trânsito.
Salvaguardas

sessões de formação anuais são necessários para os indivíduos com acesso , fisicamente ou via computador, para os logs do servidor . Estas sessões de formação devem incluir informações detalhando o que é informação pessoal de saúde e como lidar corretamente com este tipo de dados. Políticas e procedimentos devem ser criados para documentar o tratamento adequado dos arquivos contendo as informações abrangidas pelo HIPAA . Salvaguardas , como assinaturas digitais ou somas de verificação , devem ser usados ​​para validar os arquivos com informações HIPAA para manter a sua integridade original .