Atlassian continúa mejorando la seguridad y el cumplimiento en la nube

Atlassian está constantemente mejorando su oferta Cloud, prueba de ello la hoja de ruta repleta de nuevas mejoras; entre ellas, Atlassian ha anunciado que las herramientas en la nube ahora cumplen con la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA por sus siglas en inglés). Una serie de normas sobre la seguridad, integridad y confidencialidad de información sanitaria protegida de cada persona. En esta publicación te vamos a contar todo lo que sabemos sobre esta actualización.

El cumplimiento en la nube de Atlassian, desde febrero de 2022, se adhiere a los requerimientos de la Ley de Portabilidad y Responsabilidad del Seguro Médico (Health Insurance Portability and Accountability Act -HIPAA-), es una ley desarrollada por el Departamento de Salud y Servicios Humanos de los Estados Unidos que garantiza la protección de la seguridad, integridad y confidencialidad de la Información Sanitaria Protegida (Protected Health Information -PHI-) de una persona.

Apegarse a este tipo de legislaciones es una labor que permite a Atlassian satisfacer los requisitos de cumplimiento y seguridad de los distintos tipos de clientes en todos los sectores, en esta oportunidad, el sanitario. Sin este cumplimiento, las empresas que gestionan la Información Sanitaria Protegida (PHI) no podrían proporcionar o almacenar esos datos en las herramientas alojadas en Atlassian Cloud.
A diferencia de otras normativas específicas del sector sanitario en los Estados Unidos, el cumplimiento de con la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) no depende del ámbito en el que se trabaje, sino del tipo de datos que gestione la organización.

¿Qué es la Ley de Portabilidad y Responsabilidad del Seguro Médico?

La HIPAA es una normativa estadounidense diseñada para proteger la privacidad y la seguridad de la PHI de las personas. Esta normativa se aplica a los proveedores de atención sanitaria que transmiten este tipo de datos en relación con determinadas transacciones.

Términos clave que debes entender sobre esta legislación:

•    Entidad cubierta: un proveedor de servicios sanitarios que transmite información sanitaria de forma electrónica en relación con determinadas transacciones, un plan de salud o un centro de compensación sanitaria.
  
  
•    La Información Sanitaria Protegida (PHI): es el tipo de información que es transmitida o mantenida por una entidad cubierta o su socio comercial. Esta información puede estar en cualquier formato o medio y debe tratar sobre el estado de salud física o mental del pasado, presente o futuro de una persona, la prestación de atención sanitaria a un individuo o el pago pasado, presente o futuro de atención sanitaria.
  
  
•    El socio comercial: es la persona o entidad que realiza funciones o actividades que implican el uso o la divulgación de la PHI en nombre de una entidad cubierta. A su vez, el socio comercial también puede incluir a un subcontratista que crea, recibe, mantiene o transmite PHI en nombre de otro socio comercial.
  
  
•    Acuerdo de Asociación Comercial (BAA): es una garantía que emite el socio comercial a la entidad cubierta o a otro socio comercial que establece el seguimiento de los requisitos que establece la HIPAA. Especifica las responsabilidades de cada parte en lo que respecta a la salvaguarda y el uso de PHI. Este acuerdo debe estar en vigor antes de la transferencia de cualquier PHI al socio comercial.

De forma resumida, esta ley federal otorga los derechos sobre la información médica a cada persona y establece normas y límites con respecto a quién puede ver y recibir este tipo de información, y se aplica en todos los formatos, ya sea electrónico, escrito u oral. De forma más específica, este reglamento establece lo siguiente para hacer cumplir su normativa:

•    Establece medidas de privacidad y seguridad para proteger la información médica de cada persona.
  
  
•    Remedia o mitiga de forma razonable los requisitos de la regla de seguridad de la HIPAA a través de evaluaciones.
  
  
•    Requiere una declaración de seguridad de la HIPAA, una evaluación de las deficiencias y un análisis de riesgos de seguridad, con periodicidad anual.
  
  
•    Exige la revisión y retención periódica de las políticas y procedimientos de privacidad y seguridad de la HIPAA.
  
  
•    Ordena la exposición de contenido que genera la concienciación sobre la privacidad y la seguridad en relación con la protección de la PHI.
  
  
•    Solicita la designación y definición de funciones de un responsable de privacidad y seguridad de la HIPAA.

Para establecer el cumplimiento de este reglamento, una organización que gestiona la PHI debe firmar un BAA con Atlassian antes de dar acceso o revelar cualquier PHI a Atlassian. El BAA requiere que Atlassian describa los casos de uso permitidos por la PHI, se comprometa a no utilizar ni divulgar la información médica protegida más allá de lo permitido por el contrato o de lo exigido por la ley y a utilizar las salvaguardias adecuadas para evitar el uso o la divulgación inapropiados de PHI.

El cumplimiento de esta norma convierte a Atlassian Cloud en una opción viable para los clientes que desean utilizar herramientas como Jira y Confluence para almacenar y procesar información médica. Sabemos, que algunas organizaciones han restringido el uso de estas herramientas, ya que han sido un obstáculo en el cumplimiento con esta legislación. Un obstáculo que ya no existe y está disponible en el plan en la nube para empresas desde febrero de este año. 

¿Qué tipo de empresas trabajan con la Información Sanitaria Protegida o PHI?
De forma muy básica y como hemos esbozado al inicio, cualquier organización que ofrezca servicios o productos que se emplean para proporcionar tratamiento médico o que recopila información sanitaria sobre personas o grupos de personas, y aquellas que creen, reciban, mantengan o transmitan PHI en nombre de sus clientes, es decir:

1. Aseguradoras.
2. Empresas de planes de salud.
3. Cámaras de compensación sanitaria (sistemas de terceros que interpretan los datos de las reclamaciones entre los sistemas de los proveedores y los pagadores de seguros).
4. Proveedores de servicios sanitarios.
5. Proveedores de servicios en la nube que albergue PHI (un "socio comercial" como Atlassian).
   1. Subcontratistas del socio comercial (por ejemplo, AWS para Atlassian).

¿Cómo usar los productos Atlassian Cloud para que cumplan con la HIPAA?

Es responsabilidad de cada quién asegurarse de que se están utilizando los productos de Atlassian de una forma correcta, ya que Atlassian no se encarga de supervisar ni analizar los datos que se introducen en el sistema, por esas mismas razones, se recomienda disponer de los procesos y procedimientos necesarios para garantizar que todos los usuarios se adhieran al cumplimiento de principio a fin.

También es necesario asegurarse de que todas las apps que estén integradas con Jira y Confluence sean compatibles con la HIPAA, y todas las partes involucradas firmen un BAA o cualquier otra protección de privacidad y seguridad de los datos antes de compartir cualquier PHI con un tercero.

Pasos para configurar una cuenta de Atlassian para cumplir los requisitos de la HIPAA

1. Para utilizar los servicios de Atlassian para PHI, es necesario contar con un Plan Cloud Enterprise, independientemente del tamaño de la empresa.
2. Es necesario firmar un BAA con Atlassian (Contáctanos si necesitas más información al respecto).
3. Antes de introducir cualquier dato en tu producto Atlassian, debes componer tus datos de acuerdo con los requisitos de la HIPAA. Esto incluye no introducir ninguna PHI.
4. Una vez que hayas configurado el plan Enterprise Cloud, tendrás que desactivar todas las notificaciones por correo electrónico y push en la configuración del producto.

Si estás sujeto al cumplimiento de la HIPAA y te interesa trabajar con algún producto Atlassian Cloud ya es una posibilidad. Además, Atlassian, en su documentación, ha creado una Guía de implantación de la HIPAA que que debe ser considerada antes de introducir cualquier dato. Si necesitas ayuda en este tipo de implementaciones, nuestro equipo de profesionales certificados por Atlassian podrán ayudarte. Contáctanos a continuación.