Assicurarsi di trovare un provider WordPress conforme alla normativa HIPAA è essenziale se si accede o si interagisce con le informazioni sanitarie elettroniche protette (ePHI) di qualcuno.
Proteggere i dati delle persone e trovare un host WordPress conforme all’HIPAA può sembrare una sfida, tuttavia, abbiamo un host web specifico consigliato conforme all’HIPAA che spunta tutte le caselle giuste.
L’Health Insurance Portability and Accountability Act del 1996 (HIPAA) stabilisce requisiti rigorosi che devono essere rispettati dalle aziende per essere conformi. Ecco le nostre raccomandazioni qui di seguito.
Indice dei contenuti
Come fa un host web a diventare conforme alla normativa HIPAA?
La nostra guida dettagliata sulla conformità HIPAA illustra in modo approfondito le norme HIPAA e illustra la lista di controllo della conformità HIPAA.
La regola di sicurezza HIPAA delinea e stabilisce gli standard che devono essere rispettati per proteggere le informazioni elettroniche degli individui. WordPress stesso non è conforme all’HIPAA e non offre un servizio di hosting conforme all’HIPAA. Pertanto, l’azienda di hosting deve fornire le misure di sicurezza più rigorose per garantire la conformità all’HIPAA.
Gestione delle ePHI
L’unico modo per garantire che il vostro sito web WordPress non subisca hacking e rischi potenzialmente di esporre le informazioni elettroniche dei pazienti è quello di rimuoverlo completamente da WordPress. Un ambiente sicuro di terze parti è essenziale per ospitare i dati, sia che si scelga di utilizzare un servizio di hosting gestito conforme alle norme HIPAA, un ambiente di cloud computing o altro. Oltre a garantire la protezione delle informazioni elettroniche dei pazienti in termini di web hosting, potete assicurarvi che ciò avvenga anche nel modo in cui esercitate la vostra attività, ad esempio utilizzando un software di telemedicina conforme allo standard HIPAA.
Le strutture di archiviazione dei dati offrono protocolli e funzionalità rigorose che WordPress e molti host web non possono offrire. Conservare le ePHI al di fuori di WordPress significa ridurre le misure aggiuntive necessarie per rendere un sito web WordPress compatibile con l’HIPAA.
Plugin
Sebbene le caratteristiche di base di WordPress possano essere carenti in termini di piattaforma conforme alla normativa HIPAA, la disponibilità di plugin di sicurezza può emulare ciò che è necessario per mantenere i dati sicuri e protetti.
Un plugin molto diffuso è WordFence, che utilizza un Threat Defense Feed per aggiornare il vostro sito web ed evitare che venga violato. È inoltre dotato di un potente firewall che consente di bloccare i Paesi nel loro complesso e di combattere gli attacchi brute force.
Purtroppo l’acquisto e l’installazione di questo plugin non sono sufficienti. Deve essere configurato correttamente per le esigenze del vostro sito web, per assicurarsi che sia sempre aggiornato. Il semplice fatto di aver saltato un aggiornamento può causare un mondo di dolore per voi e per i dati dei vostri pazienti.
Hosting WordPress conforme alla HIPAA
Il nostro host web consigliato per l’hosting conforme alle norme HIPAA è LiquidWeb. LiquidWeb offre una gamma di servizi di hosting che soddisfano le linee guida sulla conformità HIPAA, tra cui:
- Server dedicati gestiti
- Hosting VPS
- Soluzioni dedicate al cloud
Per proteggere i vostri dati sanitari, LiquidWeb offre quanto segue:
- Assistenza in loco 24/7/365
- Centri dati principali di proprietà di LiquidWeb
- Server completamente gestiti
- Armadi server chiusi a chiave
- Infrastruttura ad alta disponibilità
- Firewall hardware
- Crittografia dei dati
- Accordo di associazione d’impresa (BAA)
- Backup fuori sede
- Ampie salvaguardie amministrative, fisiche e di gestione
Piani di hosting LiquidWeb HIPAA
I centri dati di LiquidWeb dispongono di sistemi di sicurezza fisica per garantire la protezione dei vostri dati. Queste includono le seguenti soluzioni estese.
Ridurre al minimo il rischio di perdita e furto
- Strutture presidiate 24/7/365
- TVCC
- Monitoraggio 24/7/365 da parte di una società di sicurezza terza
- Ingresso controllato al sito con EPACS
Ridurre al minimo il rischio di danni
- Strutture ad alta sicurezza
- Centri dati di proprietà e gestione privata
- Pareti esterne in cemento armato resistente
- Luoghi geografici neutrali rispetto ai disastri
Prevenzione incendi avanzata
- Preazione del tubo a secco, sistema a doppio blocco
- Conforme a NFPA 13
Zone di sicurezza
- Spazio ufficio separato dal centro dati
- Per l’accesso sono necessarie credenziali di prossimità avanzate
- Tutti i dipendenti vengono sottoposti a un controllo completo dei precedenti
- Armadi rack per server fisici con chiusura a chiave
- Ridondanza a livello di componente per i dischi rigidi
- Server di riserva caldi e freddi in loco
Sicurezza all'ingresso
- Ingressi esterni assicurati da mantra con porte a incastro
- L’accesso allo spazio del data center richiede credenziali sicure
Gruppi di continuità
- Generatori multipli N+1
- Contratti di carburante multipli per garantire la disponibilità di carburante
- Sistemi UPS multipli N+1 con autonomia minima di 30 minuti
- Gli chassis dei server sono dotati di alimentatori ridondanti
- Lo chassis del server dispone di configurazioni di alimentazione A/B
- Interruttori di trasferimento ridondanti ASCO a transizione chiusa con bypass di isolamento
- Capacità di fornire energia di livello 4
- Quattro alimentazioni da 10 megawatt
- Percorsi diversi dalla sottostazione
- Potenza 2N
