Novas Regras da HIPAA Exigem MFA e Criptografia para ePHI—Sua Organização Está Preparada?

A Regra de Segurança da HIPAA está recebendo uma grande atualização—uma das maiores em anos. Em 27 de dezembro de 2024, o Escritório de Direitos Civis (OCR) propôs novos requisitos de cibersegurança projetados para proteger informações eletrônicas de saúde protegidas (ePHI) da crescente onda de ameaças cibernéticas.

Essas atualizações foram publicadas em 6 de janeiro de 2025, dando início a um período de comentários públicos de 60 dias. Após o período de comentários públicos, o OCR revisará o feedback, revisará a regra proposta se necessário e finalizará para aprovação regulatória. Uma vez aprovada e publicada, a regra incluirá uma data de vigência e um cronograma de conformidade. Se não houver grandes atrasos, a regra final poderá ser publicada no final de 2025 ou início de 2026. Ela incluirá uma data de vigência e um prazo de conformidade (geralmente de 6 a 24 meses após a publicação).

As mudanças visam estabelecer maior proteção de dados e expectativas de conformidade mais claras. Isso é um complemento à aplicação obrigatória de medidas críticas de segurança.

Essas medidas incluem:

• Autenticação multifator (MFA) para todos os sistemas que acessam ePHI
• Criptografia para ePHI em repouso e em trânsito
• Inventários de ativos de tecnologia e mapeamento de rede para rastrear a movimentação de ePHI
• Requisitos de análise de risco mais rigorosos e detalhados

Para líderes de segurança de dados, você precisará comprovar que as ePHI estão devidamente protegidas—onde quer que existam, o tempo todo. No entanto, muitas organizações carecem de visibilidade sobre seus dados e quem está acessando-os.

Então a questão se torna: Como você protege e demonstra conformidade se não sabe onde está sua ePHI? Você não pode proteger o que não sabe que existe e não pode aplicar MFA se não sabe quem está acessando a ePHI.

Detalhando os Novos Requisitos de Segurança da HIPAA

1. Autenticação Multifator (MFA) Agora é Obrigatória

A AMF não é mais uma recomendação—é um requisito obrigatório para qualquer sistema que concede acesso a ePHI. Isso se aplica a sistemas locais, na nuvem e de terceiros usados por entidades cobertas e associados de negócios.

O que você precisa fazer:

• Implementar MFA em todas as contas que acessam ePHI
• Monitore o acesso em busca de atividades suspeitas
• Aplicar controle de acesso baseado em funções para limitar acessos desnecessários

Como a Cyera ajuda: Para aplicar a MFA, você deve primeiro descobrir e classificar seus dados para entender onde seus ePHI residem. Com esse conhecimento, fornecido pelos recursos de descoberta e classificação da Cyera juntamente com nosso módulo de Identidade, você pode obter clareza sobre onde seus ePHI residem e quem—ou o que tem acesso aos ePHI.

2. A Criptografia Deve Ser Aplicada em Repouso e em Trânsito

A criptografia é uma prática recomendada do setor, mas agora é explicitamente exigida pela HIPAA. As ePHI devem ser criptografadas por padrão—sejam elas estruturadas, semiestruturadas ou não estruturadas.

Embora o tipo de criptografia não seja explicitamente declarado, ele deve ser razoável e apropriado, como:

• Aplicando criptografia AES-256 para dados em repouso
• Usando criptografia TLS 1.2+ para dados em trânsito
• Garantindo que a nuvem e terceiros cumpram as políticas de criptografia

O ponto final mencionado acima significa maior diligência ao trabalhar com terceiros. Isso resultará em mudanças nos processos, incluindo avaliações de risco de terceiros, bem como linguagem contratual atualizada para garantir o manuseio adequado de dados.

Como a Cyera Ajuda: Entender onde seus ePHI residem é o primeiro passo para verificar a criptografia. A solução DSPM da Cyera fornece visibilidade profunda em seus armazenamentos de dados, entregando metadados detalhados para ajudá-lo a avaliar medidas críticas de segurança, incluindo criptografia.

A visibilidade da criptografia pode variar de acordo com o sistema de armazenamento. Para dados locais, a criptografia pode ser complexa—embora um array de armazenamento possa criptografar o disco, isso não significa necessariamente que os dados em si estejam criptografados. A criptografia em nível de disco protege principalmente contra roubo físico, em vez de proteger os dados em repouso. A Cyera ajuda você a navegar por essas complexidades, garantindo que suas medidas de criptografia atendam aos padrões de segurança e conformidade.

3. As Organizações Devem Rastrear Todos os Ativos de Tecnologia e Movimentação de Dados

A nova regra traz outro requisito importante: toda organização deve manter um inventário atualizado de todos os ativos de tecnologia que processam, armazenam ou transmitem ePHI. Isso inclui a criação de um mapa de rede que rastreie a movimentação de ePHI entre sistemas internos e parceiros externos.

Este requisito é semelhante à conformidade com PCI, onde as organizações devem documentar claramente a arquitetura e os componentes do ambiente de dados do titular do cartão. Sob as novas regras da HIPAA, as entidades cobertas devem agora estabelecer um ambiente de detentor/processador de dados ePHI bem definido.

A chave é garantir que as ePHI sejam armazenadas, processadas ou transmitidas apenas dentro deste ambiente designado e documentado. Se as ePHI se moverem para fora deste ambiente controlado para uma área "fora do escopo" dentro da empresa, esse ambiente também deve atender aos mesmos requisitos mínimos de segurança descritos na regra e fica sujeito a auditoria.

O que você precisa fazer:

• Identificar e documentar todos os sistemas, dispositivos e aplicativos que armazenam ou processam ePHI
• Mapeie como as ePHI se movem entre ambientes internos e externos
• Revise e atualize este inventário pelo menos anualmente—ou após mudanças importantes

Como a Cyera ajuda: Ao longo dos anos, muitas organizações perderam o controle de seus dados mais sensíveis, incluindo ePHI. A Cyera resolve isso. Ao se conectar às suas fontes de dados, a Cyera descobre, inventaria e classifica dados automaticamente com alta precisão, em escala e com velocidade—até mesmo dados ocultos que você pode não saber que existem. Por meio do uso de IA, a Cyera pode até descobrir tipos de dados ePHI que são exclusivos do seu negócio de maneiras que métodos tradicionais, como Expressão Regular (RegEx) e correspondência de padrões simplesmente não conseguem.

4. A Análise de Risco Deve Ser Mais Abrangente

HIPAA sempre exigiu avaliações de risco, mas a nova regra significa que uma avaliação de risco de segurança genérica não será mais suficiente. A nova regra exige avaliações mais detalhadas de ameaças cibernéticas, vulnerabilidades e salvaguardas específicas para proteger informações eletrônicas de saúde protegidas (ePHI).

O que você precisa fazer:

• Revise seu inventário de ativos de tecnologia e mapa de rede
• Identificar todas as ameaças realistas à confidencialidade, integridade e disponibilidade das ePHI
• Avaliar vulnerabilidades em sistemas eletrônicos e redes
• Determine os níveis de risco com base na probabilidade e no impacto potencial

Isso também não é uma auditoria única—requer monitoramento contínuo e mitigação de riscos para manter a conformidade.

Como a Cyera ajuda: A Cyera oferece avaliações detalhadas de risco de dados ao descobrir, classificar e avaliar a maturidade da segurança de seus dados em relação aos controles de governança, privacidade, segurança e conformidade. Com a avaliação, identificamos riscos, fornecendo insights mais profundos sobre a eficácia dos controles críticos de segurança de dados. A avaliação inclui uma avaliação de maturidade liderada por um CISO virtual, aproveitando um Modelo de Integração de Maturidade de Capacidade (CMMI) para ajudá-lo a entender sua postura de segurança de dados em relação à HIPAA e outras estruturas regulatórias.

5. Medidas de Segurança Endereçáveis Devem Ser Justificadas

A HIPAA permite alguma flexibilidade por meio de medidas de segurança "endereçáveis" (às vezes chamadas de controles compensatórios). Isso significa que os requisitos mínimos de controle podem ser atendidos por meio de várias abordagens, incluindo design, arquitetura ou uma combinação de controles complementares trabalhando juntos para atender ou exceder os padrões regulatórios. A nova regra deixa claro que as organizações devem documentar completamente seu raciocínio para a medida alternativa e fornecer uma justificativa detalhada.

O que você precisa fazer:

• Garanta que qualquer desvio dos controles de segurança padrão seja minuciosamente documentado
• Identificar medidas de segurança alternativas aceitáveis quando necessário
• Esteja preparado para defender suas escolhas de segurança em auditorias

Como a Cyera ajuda: A Cyera oferece metadados detalhados sobre seus armazenamentos de dados, incluindo quais medidas de segurança estão—ou não estão—implementadas. Isso, juntamente com o serviço de avaliação de risco de dados, traz clareza à implementação de seus controles relacionados a ePHI.

Uma Postura Forte de Segurança de Dados Simplifica a Conformidade

Os novos requisitos da HIPAA refletem uma mudança—as organizações de saúde devem elevar o nível de seu programa de segurança de dados. As organizações que adotam uma abordagem que prioriza os dados simplificarão a conformidade com a HIPAA, ao mesmo tempo em que reduzem a exposição a violações, multas e danos à reputação.

Sua organização está pronta para essas mudanças na HIPAA? Agora é o momento de avaliar como você rastreia, protege e aplica proteções em ePHI. Solicite uma demonstração hoje para ver como a Cyera pode ajudar.