S’assurer que vous trouvez un fournisseur WordPress conforme à la loi HIPAA est essentiel si vous accédez ou interagissez avec les informations de santé électroniques protégées (ePHI) de quelqu’un.
Protéger les données des personnes et trouver un hébergeur WordPress conforme à la loi HIPAA peut sembler être un défi, cependant, nous avons recommandé un hébergeur spécifique conforme à la loi HIPAA qui coche toutes les bonnes cases.
La loi de 1996 sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA) définit des exigences strictes auxquelles les entreprises doivent satisfaire pour être en conformité. Vous trouverez ci-dessous nos recommandations.
Table des matières
Comment un hébergeur de sites Web devient-il conforme à la loi HIPAA ?
Notre guide détaillé sur la conformité HIPAA aborde en profondeur les règles HIPAA et détaille la liste de contrôle de la conformité HIPAA.
La règle de sécurité de l’HIPAA décrit et établit les normes qui doivent être respectées pour protéger les données personnelles électroniques. WordPress lui-même n’est pas conforme à la loi HIPAA et ne propose pas de service d’hébergement conforme à la loi HIPAA. Par conséquent, votre société d’hébergement doit fournir les mesures de sécurité rigoureuses nécessaires pour garantir qu’elle est conforme à la loi HIPAA.
Gestion des ePHI
La seule façon de s’assurer que votre site Web WordPress ne souffre pas d’un piratage et ne risque pas d’exposer les données personnelles électroniques des patients est de le supprimer entièrement de WordPress. Un environnement tiers sécurisé est essentiel pour héberger les données, que vous choisissiez d’utiliser un service d’hébergement géré conforme à la loi HIPAA, un environnement de cloud computing ou autre. En plus de vous assurer que vous protégez les données personnelles électroniques des patients en termes d’hébergement web, vous pouvez également vous assurer que cela se reflète dans la manière dont vous exercez votre activité, par exemple en utilisant un logiciel de télémédecine conforme à la loi HIPAA.
Les installations de stockage de données offrent des protocoles et des fonctionnalités rigoureuses que WordPress et de nombreux hébergeurs ne peuvent offrir. En stockant les données personnelles électroniques en dehors de WordPress, vous pouvez réduire les mesures supplémentaires nécessaires pour rendre un site Web WordPress compatible avec la loi HIPAA.
Plugins
Bien que les fonctionnalités de base de WordPress ne permettent pas de fournir une plateforme conforme à la loi HIPAA, la disponibilité de plugins de sécurité permet de reproduire ce qui est nécessaire pour assurer la sécurité et la protection des données.
WordFence est un plugin populaire qui utilise un flux de défense contre les menaces pour mettre à jour votre site web et éviter qu’il ne soit piraté. Il est également doté d’un puissant pare-feu qui permet de bloquer des pays dans leur ensemble et de lutter contre les attaques par force brute.
Malheureusement, l’achat et l’installation d’un tel plugin ne suffisent pas. Il doit être configuré correctement pour les besoins de votre site web afin de s’assurer qu’il est toujours mis à jour. Le simple fait de rater une mise à jour peut vous faire souffrir, vous et les données de vos patients.
Hébergement WordPress conforme à l’HIPAA par Atlantic.Net
L’hébergeur que nous recommandons pour l’hébergement conforme à la loi HIPAA est Atlantic.Net. Atlantic.Net propose une gamme de services d’hébergement qui répondent aux directives de conformité HIPAA, notamment :
- Hébergement en nuage
- Serveurs dédiés gérés
- Solutions dédiées au cloud
- Services de colocation
- Services professionnels gérés
Les services d’Atlantic.Net ont fait l’objet d’un audit selon les normes certifiées HIPAA et HITECH. Ce n’est qu’une des raisons pour lesquelles ils sont en tête de notre liste.
Afin de sécuriser vos données de santé, Atlantic.Net propose ce qui suit :
- Assistance sur site 24/7/365
- Présence dans plusieurs centres de données
- Centres de données stratégiques situés dans plusieurs régions des États-Unis
- Armoires de serveurs fermées à clé dans une enceinte sécurisée faisant l’objet d’un audit rigoureux
- Serveurs en nuage entièrement gérés
- Centres de données de niveau 3 disponibles
- Infrastructure à haute disponibilité
- Pare-feu matériel et système de protection contre les intrusions
- Cryptage des données des couches de stockage et de réseau
- Accord d’association commerciale (BAA)
- Sauvegardes hors site hautement redondantes et capacité de reprise après sinistre (DR)
Plans d’hébergement HIPAA d’Atlantic.Net
- Hébergement HIPAA sur un seul serveur avec cryptage des données At-Rest
- Hébergement HIPAA en nuage
- Hébergement dédié HIPAA
Les centres de données d’Atlantic.Net disposent de systèmes de sécurité physique pour garantir la protection de vos données. Il s’agit notamment des solutions étendues suivantes :
- Réduire les risques de perte et de vol
- Réduire les risques de dommages
- Prévention avancée des incendies
- Zones de sécurité
- Sécurité de l’entrée et patrouilles de sécurité 24 heures sur 24
- Alimentations sans interruption
En outre, l’infrastructure d’hébergement d’Atlantic.Net est certifiée SOC (anciennement SAS70) et conforme à l’HIPAA. Choisissez Atlantic.Net pour vos besoins d’hébergement WordPress conformes à l’HIPAA.
Hébergement WordPress conforme à la loi HIPAA
L’hôte web que nous recommandons pour l’hébergement conforme à la loi HIPAA est LiquidWeb. LiquidWeb offre une gamme de services d’hébergement qui répondent aux directives de conformité HIPAA, notamment :
- Serveurs dédiés gérés
- Hébergement VPS
- Solutions dédiées au cloud
Afin de sécuriser vos données de santé, LiquidWeb offre ce qui suit :
- Assistance sur site 24/7/365
- Centres de données principaux appartenant à LiquidWeb
- Serveurs entièrement gérés
- Armoires de serveurs verrouillées
- Infrastructure à haute disponibilité
- Pare-feu matériel
- Cryptage des données
- Accord d’association commerciale (BAA)
- Sauvegardes hors site
- Des garanties administratives, physiques et de sécurité étendues
Plans d'hébergement HIPAA de LiquidWeb
Hébergement HIPAA sur un seul serveur |
Hébergement HIPAA sur un seul serveur avec cryptage des données At-Rest |
Hébergement HIPAA sur plusieurs serveurs |
|
|
|
Linux – A partir de 343 Fenêtres – À partir de 383 |
Linux – A partir de 573 Fenêtres – À partir de 613 |
À partir de 687 $. |
Les centres de données de LiquidWeb ont des systèmes de sécurité physique en place pour assurer la protection de vos données. Il s’agit notamment des solutions étendues suivantes.
Réduire les risques de perte et de vol
- Installations surveillées 24/7/365
- CCTV
- Surveillance 24/7/365 par une société de sécurité tierce.
- Entrée contrôlée du site avec EPACS
Réduire les risques de dommages
- Installations de haute sécurité
- Centres de données détenus et exploités par des particuliers
- Murs extérieurs durables en béton coulé
- Sites géographiques neutres en cas de catastrophe
Prévention avancée des incendies
- Préaction par tuyau sec, système de double verrouillage
- Conforme à la norme NFPA 13
Zones de sécurité
- Espace de bureau séparé du centre de données
- Identifiants de proximité avancés requis pour l’accès
- Tous les employés font l’objet d’une vérification complète de leurs antécédents
- Enceintes de serveurs physiques verrouillées par clé
- Redondance au niveau des composants pour les disques durs
- Serveurs de rechange chauds et froids sur site
Sécurité d'entrée
- Entrées extérieures sécurisées par des mantras avec des portes à verrouillage.
- L’accès à l’espace du centre de données nécessite des identifiants sécurisés
Alimentations sans interruption
- Générateurs multiples N+1
- Contrats de carburant multiples pour garantir la disponibilité du carburant
- Plusieurs systèmes UPS N+1 avec une durée de fonctionnement minimale de 30 minutes
- Les châssis de serveur sont équipés d’alimentations redondantes
- Le châssis du serveur a des configurations d’alimentation A/B
- Commutateurs de transfert d’isolement redondants ASCO à transition fermée et bypass.
- Capacité à fournir une puissance de niveau 4
- Quatre alimentations de 10 mégawatts
- Diverses voies à partir de la sous-station
- Puissance 2N