Novas regras do HIPAA exigem MFA e criptografia para ePHI — Sua organização está preparada?

A norma de segurança do HIPAA está recebendo uma grande atualização — uma das maiores dos últimos anos. Em 27 de dezembro de 2024, o Escritório de Direitos Civis (OCR) propôs novos requisitos de segurança cibernética destinados a proteger as informações eletrônicas de saúde protegidas (ePHI) da crescente onda de ameaças cibernéticas.
Essas atualizações foram publicadas em 6 de janeiro de 2025, dando início a um período de 60 dias para consulta pública. Após esse período, o OCR analisará o feedback, revisará a proposta de regulamentação, se necessário, e a finalizará para aprovação. Uma vez aprovada e publicada, a regulamentação incluirá uma data de vigência e um cronograma de conformidade. Caso não haja grandes atrasos, a regulamentação final poderá ser publicada no final de 2025 ou início de 2026. Ela incluirá uma data de vigência e um prazo de conformidade (geralmente de 6 a 24 meses após a publicação).
As alterações visam estabelecer maior proteção de dados e expectativas de conformidade mais claras. Isso se soma à aplicação obrigatória de medidas de segurança críticas.
Essas medidas incluem:
- Autenticação multifator (MFA) para todos os sistemas que acessam informações eletrônicas de saúde protegidas (ePHI).
- Criptografia para ePHI em repouso e em trânsito
- Inventários de ativos tecnológicos e mapeamento de redes para rastrear a movimentação de informações eletrônicas de saúde protegidas (ePHI).
- Requisitos de análise de risco mais rigorosos e detalhados
Para os líderes de segurança de dados, será necessário comprovar que as informações eletrônicas de saúde protegidas (ePHI) estão devidamente protegidas — em todos os lugares e em todos os momentos. No entanto, muitas organizações não têm visibilidade sobre seus dados e quem está acessando-os.
A questão, então, é: como proteger e demonstrar conformidade se você não sabe onde estão suas informações eletrônicas de saúde protegidas (ePHI)? Você não pode proteger o que não sabe que existe e não pode impor autenticação multifator (MFA) se não souber quem está acessando as ePHI.
Analisando os novos requisitos de segurança do HIPAA
1. A autenticação multifator (MFA) agora é obrigatória.
A autenticação multifator (MFA) deixou de ser uma recomendação e tornou-se obrigatória para qualquer sistema que conceda acesso a informações eletrônicas de saúde protegidas (ePHI). Isso se aplica a sistemas locais, em nuvem e de terceiros usados por entidades cobertas e parceiros comerciais.
O que você precisa fazer:
- Implemente a autenticação multifator (MFA) em todas as contas que acessam informações eletrônicas de saúde protegidas (ePHI).
- Monitore o acesso para detectar atividades suspeitas.
- Implemente o controle de acesso baseado em funções para limitar o acesso desnecessário.
Como a Cyera ajuda: Para implementar a autenticação multifator (MFA), primeiro você precisa descobrir e classificar seus dados para entender onde suas informações eletrônicas de saúde protegidas (ePHI) residem. Com esse conhecimento, fornecido pelos recursos de descoberta e classificação da Cyera, juntamente com nosso módulo de Identidade, você pode obter clareza sobre onde suas ePHI residem e quem — ou o que — tem acesso a elas.
2. A criptografia deve ser aplicada em repouso e em trânsito.
A criptografia é uma prática recomendada do setor, mas agora é explicitamente exigida pela HIPAA. As informações eletrônicas de saúde protegidas (ePHI) devem ser criptografadas por padrão, sejam elas estruturadas, semiestruturadas ou não estruturadas.
Embora o tipo de criptografia não seja explicitamente declarado, ele deve ser razoável e apropriado, como por exemplo:
- Aplicando criptografia AES-256 a dados em repouso.
- Utilizando criptografia TLS 1.2+ para dados em trânsito.
- Garantir que a nuvem e terceiros cumpram as políticas de criptografia.
O último ponto mencionado acima significa maior diligência prévia ao trabalhar com terceiros. Isso resultará em mudanças nos processos, incluindo avaliações de risco de terceiros, bem como em uma linguagem contratual atualizada para garantir o tratamento adequado dos dados.
Como a Cyera ajuda: Entendendo onde reside sua informação eletrônica de saúde protegida (ePHI). é o primeiro passo para verificar a criptografia. Da Cyera DSPM A solução proporciona visibilidade profunda dos seus repositórios de dados, fornecendo metadados detalhados para ajudar você a avaliar medidas de segurança críticas, incluindo criptografia.
A visibilidade da criptografia pode variar de acordo com o sistema de armazenamento. Para dados locais, a criptografia pode ser complexa — embora um array de armazenamento possa criptografar o disco, isso não significa necessariamente que os próprios dados estejam criptografados. A criptografia em nível de disco protege principalmente contra roubo físico, e não contra a segurança dos dados em repouso. A Cyera ajuda você a lidar com essas complexidades, garantindo que suas medidas de criptografia atendam aos padrões de segurança e conformidade.
3. As organizações devem rastrear todos os ativos de tecnologia e a movimentação de dados.
A nova regra traz outra exigência importante: todas as organizações devem manter um inventário atualizado de todos os ativos de tecnologia que processam, armazenam ou transmitem informações eletrônicas de saúde protegidas (ePHI). Isso inclui a criação de um mapa de rede que rastreie a movimentação de ePHI entre sistemas internos e parceiros externos.
Este requisito é semelhante à conformidade com o PCI, onde as organizações devem documentar claramente a arquitetura e os componentes do ambiente de dados do titular do cartão. De acordo com as novas regras do HIPAA, as entidades abrangidas agora devem estabelecer um ambiente bem definido para detentores/processadores de dados ePHI.
A chave é garantir que as informações eletrônicas de saúde protegidas (ePHI) sejam armazenadas, processadas ou transmitidas somente dentro desse ambiente designado e documentado. Se as ePHI forem transferidas para fora desse ambiente controlado, para uma área "fora do escopo" dentro da empresa, esse ambiente também deverá atender aos mesmos requisitos mínimos de segurança descritos na norma e estará sujeito a auditoria.
O que você precisa fazer:
- Identificar e documentar todos os sistemas, dispositivos e aplicativos que armazenam ou processam informações eletrônicas de saúde protegidas (ePHI).
- Mapear como as informações eletrônicas de saúde protegidas (ePHI) se movem entre ambientes internos e externos.
- Revise e atualize este inventário pelo menos anualmente — ou após alterações significativas.
Como a Cyera ajuda: Ao longo dos anos, muitas organizações perderam o controle de seus dados mais sensíveis, incluindo informações eletrônicas de saúde protegidas (ePHI). A Cyera resolve esse problema. Conectando-se às suas fontes de dados, a Cyera descobre, inventaria e classifica dados automaticamente com alta precisão, em escala e com rapidez — até mesmo dados ocultos que você talvez nem saiba que existem. Por meio da inteligência artificial (IA), a Cyera pode até mesmo descobrir tipos de dados ePHI exclusivos do seu negócio de maneiras que os métodos tradicionais, como expressões regulares (RegEx) e correspondência de padrões, simplesmente não conseguem.
4. A análise de risco deve ser mais abrangente.
HIPAA A legislação sempre exigiu avaliações de risco, mas a nova regra significa que uma avaliação genérica de risco de segurança não será mais suficiente. A nova regra exige avaliações mais detalhadas de ameaças cibernéticas, vulnerabilidades e salvaguardas específicas para a proteção de informações eletrônicas de saúde protegidas (ePHI).
O que você precisa fazer:
- Analise o inventário de seus ativos de tecnologia e o mapa de sua rede.
- Identificar todas as ameaças reais à confidencialidade, integridade e disponibilidade das informações eletrônicas de saúde protegidas (ePHI).
- Avaliar vulnerabilidades em sistemas e redes eletrônicas.
- Determine os níveis de risco com base na probabilidade e no impacto potencial.
Esta não é uma auditoria pontual — requer monitoramento contínuo e mitigação de riscos para manter a conformidade.
Como a Cyera ajuda: A Cyera oferece avaliações detalhadas de risco de dados, descobrindo, classificando e avaliando o nível de maturidade da sua segurança de dados em relação aos controles de governança, privacidade, segurança e conformidade. Com a avaliação, identificamos riscos, proporcionando insights mais profundos sobre a eficácia dos controles críticos de segurança de dados. A avaliação inclui uma avaliação de maturidade virtual liderada por um CISO, utilizando o Capability Maturity Model Integration (CMMI) para ajudar você a entender sua postura de segurança de dados em relação à HIPAA e outras estruturas regulatórias.
5. As medidas de segurança endereçáveis devem ser justificadas.
A HIPAA permite certa flexibilidade por meio de medidas de segurança "endereçáveis" (às vezes chamadas de controles compensatórios). Isso significa que os requisitos mínimos de controle podem ser atendidos por meio de várias abordagens, incluindo design, arquitetura ou uma combinação de controles complementares que trabalhem em conjunto para atender ou superar os padrões regulatórios. A nova regra deixa claro que as organizações devem documentar completamente o raciocínio por trás da medida alternativa e fornecer uma justificativa detalhada.
O que você precisa fazer:
- Assegure-se de que qualquer desvio dos controles de segurança padrão seja minuciosamente documentado.
- Identificar medidas de segurança alternativas aceitáveis, quando necessário.
- Esteja preparado para defender suas escolhas de segurança em auditorias.
Como a Cyera ajuda: A Cyera oferece metadados detalhados sobre seus repositórios de dados, incluindo quais medidas de segurança estão — ou não — em vigor. Isso, juntamente com o serviço de avaliação de riscos de dados, traz clareza à sua implementação de controles relacionados a informações eletrônicas de saúde protegidas (ePHI).
Uma postura robusta em segurança de dados simplifica a conformidade.
Os novos requisitos da HIPAA refletem uma mudança: as organizações de saúde precisam aprimorar seus programas de segurança de dados. Organizações que adotam uma abordagem que prioriza os dados simplificarão a conformidade com a HIPAA, reduzindo a exposição a violações, multas e danos à reputação.
Sua organização está preparada para as mudanças da HIPAA? Agora é o momento de avaliar como você rastreia, protege e aplica as proteções relativas às informações eletrônicas de saúde protegidas (ePHI). Solicite uma demonstração hoje mesmo Para ver como a Cyera pode ajudar.



