Come rispettare HIPAA nei test del software?
Pubblicato: 2022-12-19Dichiarazione di non responsabilità: l'articolo copre solo le principali aree di test del software di conformità HIPAA e non elementi come le protezioni fisiche come la mancata distribuzione del software su workstation con schermi aperti. Inoltre, tieni presente che la strategia dipenderà dai requisiti dell'app, il che significa che non sarà applicabile a tutte le applicazioni.
Le organizzazioni sanitarie sono vittime di casi di violazione dei dati su larga scala a un ritmo allarmante. Un esempio notevole di ciò può essere visto nell'istanza di attacco ransomware dello Yuma Regional Medical Center che ha esposto i dati di oltre 700.000 persone nell'aprile 2022. Il numero crescente di casi di violazione dei dati è evidente anche dal grafico sottostante.
Con i numeri che diventano sempre più preoccupanti di anno in anno, le organizzazioni mediche si stanno orientando verso un software costruito con misure di protezione dei dati inviolabili per l'archiviazione e la trasmissione dei propri dati medici. Le organizzazioni aderiscono a tutti i requisiti di conformità HIPAA e dedicano molto tempo a garantire la solidità e la sicurezza del software sanitario creato .
Ciò pone molta attenzione sui test del software conformi a HIPAA. Cosa accadrebbe se non testassi il software sanitario con la conformità HIPAA in primo piano? Una non conformità con il test del software HIPAA aprirà l'applicazione a perdite di dati e al suo utilizzo illegale. Oltre a ciò, porterà a severe punizioni da parte del Dipartimento della salute e dei servizi umani degli Stati Uniti.
Questo è il motivo per cui è necessario che il team di sviluppo del software sanitario dedichi del tempo alla creazione di un'applicazione conforme a HIPAA con maggiore attenzione ai test del software.
In Appinventiv, nel nostro ruolo di società di sviluppo di software per la sanità , abbiamo sviluppato, testato e distribuito con successo app per la sanità che toccano più parti interessate, senza una singola istanza di violazione.
In questo articolo, discuteremo i vari modi per verificare la conformità HIPAA nella tua applicazione attraverso i test. Ma prima diamo un'occhiata al motivo per cui la creazione di un software conforme a HIPAA sta diventando sempre più difficile.
Perché creare un software conforme a HIPAA è difficile?
Sebbene ogni fornitore di servizi sanitari mantenga la sicurezza al centro dell'attenzione per garantire la conformità HIPAA, la complessità del settore è tale che a volte alcuni elementi rimangono irrisolti. Ecco cosa accade in genere in assenza di una lista di controllo del software di conformità HIPAA.
Molti dati da proteggere
Prima di creare una struttura sulla protezione dei dati, gli sviluppatori devono avere una comprensione completa di ciò che costituisce un'informazione sensibile. Nel sistema sanitario, valutarlo può essere difficile perché i dati sono archiviati in diversi formati in più posizioni come posizioni di archiviazione fisiche, sistemi EHR, data center, dispositivi mobili, uffici dei fornitori, ecc.
Mancanza di risorse per la conformità HIPAA
La creazione di un software veramente conforme a HIPAA richiede l'aggiunta di avvocati, architetti di sistema, esperti di sicurezza informatica ed esperti medici nel team. Tutti contribuiscono con ampie conoscenze e tempo al progetto, cosa che non è sempre possibile a causa dei costi e delle tempistiche di sviluppo dell'app sanitaria fissi .
Più piattaforme di accesso ai dati
Tutte le piattaforme del sistema sanitario devono essere protette con una misura di sicurezza unificata. Tuttavia, un'infrastruttura ospedaliera è costituita da endpoint utente reali e digitali, data center, server, risorse cloud, ecc. Per creare un'infrastruttura di sicurezza unificata, è necessario esaminare lo sviluppo MDM per proteggere i dati sensibili.
Flessibilità ridotta
Il software creato tenendo conto di molteplici requisiti di sicurezza può diventare rigido, tuttavia, le organizzazioni sanitarie hanno bisogno di flessibilità per poter gestire le esperienze di pazienti e medici. Ciò porta a una situazione in cui gli sviluppatori devono gestire la flessibilità e la conformità HIPAA senza compromettere l'esperienza sanitaria.
Necessità di rivalutare l'implementazione dell'HIPAA
I test di conformità HIPAA non terminano con la distribuzione dell'applicazione. Diversi elementi come le minacce alla sicurezza informatica, i requisiti HIPAA e le esigenze IT dell'organizzazione sanitaria sono in continua evoluzione e per garantire che il software rimanga conforme sarà necessario che tu conduca controlli regolari e aggiornamenti dei documenti.
Ora che abbiamo esaminato gli elementi che rendono difficile la creazione di un'app conforme a HIPAA, è tempo di esaminare anche le soluzioni esaminando le aree dei test del software di conformità HIPAA e quindi i modi in cui rispondono, qual è il processo di Test di conformità HIPAA?
Strategie e aree per il test del software HIPAA
Per una facile comprensione, in genere dividiamo i test del software di conformità HIPAA in 5 aree chiave. Sapere quali sono queste aree è importante per rispondere Come ci si assicura che il software sia conforme a HIPAA?
Autenticazione utente
In genere, l'autenticazione dell'utente può essere una di queste: basata sulla proprietà come le carte d'identità, basata sulla conoscenza come ID utente/password e basata sulla biometria come l'impronta digitale o la scansione del volto. Il test del software su questo fronte va oltre la garanzia di un percorso di accesso riuscito per ogni ruolo e esamina:
- Accesso non riuscito a causa di:
- ID utente e password vuoti
- ID utente e password non validi
- Account scaduto o bloccato
- Conto bloccato
- Accesso riuscito dopo la modifica della password
- Timeout inattività accesso
- Dati di accesso non archiviati nella memoria dell'applicazione
Inoltre, aiuta a creare una struttura standard dei dati del test, ad esempio <PatientFirstName><PatientLastName><TestName><Date><Time>. Questo aiuterà a identificare gli utenti senza problemi.
Rivelazione di un 'informazione
La divulgazione delle informazioni di solito funziona con due categorie: accesso basato sul ruolo e assegnazione del paziente. Nella prima gli utenti sono raggruppati in classi logiche con specifici livelli di accesso e nella seconda il supervisore assegna i pazienti ad un operatore sanitario per un determinato tempo.
Sarà utile progettare casi di test che specifichino chi può visualizzare/modificare/aggiungere/eliminare informazioni a cui non è stato possibile accedere. Inoltre, dovresti creare una pratica in cui, una volta disinstallata l'app, tutte le informazioni EPHI devono essere rimosse ed eliminate dal sistema. La corretta divulgazione delle informazioni dovrebbe essere una parte fondamentale dell'elenco di controllo del software di conformità HIPAA.
Audit trail
Quando si esaminano gli audit trail parte del test del software HIPAA, ecco i fattori che dovrebbero essere esaminati.
- Ogni voce di audit trail deve contenere le seguenti informazioni:
- Data e ora dell'azione
- ID o nome dell'utente che esegue l'azione
- Livello di accesso utente
- L'ID del record del paziente in cui si è verificata l'azione
- L'azione eseguita o tentata
- L'evento specifico da cui è stato eseguito (ad esempio, pagamento o cartella clinica del paziente)
- La posizione o l'ID di sistema attraverso cui è avvenuta l'azione
- Le voci devono essere conformi ai requisiti di sicurezza del software e l'audit trail deve essere facilmente rintracciabile per future indagini.
- Le voci non devono essere rimosse dall'audit trail.
- L'audit trail deve essere progettato per essere visualizzato da account utente specifici.
- Tutti i tentativi di violare la sicurezza dovrebbero essere monitorati nell'audit trail.
- L'audit trail deve essere crittografato.
Trasferimenti di dati
Il trasferimento dei dati è un'altra area chiave dei test di conformità HIPAA in cui la sicurezza deve essere garantita durante:
- Accesso ai dati tra dispositivi fisici e mobili in cui è installata l'app
- Trasferimento dati su dispositivo esterno e posizione
- Spostamento dei dati nella posizione di archiviazione offline.
Durante i trasferimenti di dati è anche importante notare che in genere i dati verranno crittografati (che verrebbero decrittografati solo dagli utenti autorizzati). Ecco le migliori pratiche di crittografia dei dati che dovrebbero essere incluse nei requisiti di conformità HIPAA.
- Proteggi le chiavi di crittografia per impedire agli utenti non autorizzati di utilizzare i dati di sistema.
- Crittografa i dati sensibili, indipendentemente da dove sono stati archiviati all'interno del sistema.
- Analizza regolarmente le prestazioni dell'algoritmo durante la crittografia dei dati.
Informazioni sul corretto utilizzo dei dati
Infine, l'applicazione dovrebbe fornire dettagli sull'utilizzo dei dati prima di accedervi. In base all'applicazione, potrebbe essere sotto forma di una pagina di aiuto per ogni operazione che include EPHI o creare una versione di formazione dell'app che consenta agli utenti di vedere come funziona il software prima di dare accesso all'accredito EPHI.
Quindi ecco le 5 aree critiche del test del software di conformità HIPAA, ma come possiamo assicurarci che venga applicato nel processo di sviluppo delle applicazioni sanitarie?
Quali sono i passaggi per raggiungere e mantenere la conformità HIPAA nei test del software?
Scopriamolo nella nostra prossima sezione.
Passi per raggiungere e mantenere la conformità HIPAA nei test del software
In Appinventiv, quando creiamo un'app sanitaria, rendiamo i requisiti software HIPAA una parte del ciclo di sviluppo end-to-end, in particolare i test. Ecco alcuni modi in cui garantiamo lo stesso.
1. Controllo degli accessi
In linea con i requisiti di conformità HIPAA, a qualsiasi utente dovrebbe essere consentito solo l'accesso alle informazioni di cui ha bisogno per completare un'attività specifica. Il raggiungimento di questo rigoroso livello di controllo degli accessi può essere raggiunto attraverso le seguenti sette modalità:
- Un elenco di controllo degli accessi che consente all'utente di accedere a specifici moduli/applicazioni/aree.
- Un nome e un numero distintivi per identificare e tracciare l'identità di ciascun utente all'interno del sistema.
- Accesso guidato dall'utente che richiede l'autenticazione a due fattori per accedere al sistema.
- Accesso guidato dal ruolo che dipende dal ruolo degli utenti per trovare e decidere i diritti di accesso.
- Accesso guidato dal contesto che limita l'accesso a orari o date specifici in una rete o sistema informativo specifico.
- Processo dedicato per una situazione di emergenza per raccogliere ePHI critici.
- Processi elettronici che imporranno la disconnessione automatica dalla sessione elettronica dopo un tempo di inattività predefinito.
- Crittografare e decrittografare l'ePHI.
2. Test di sanità mentale
La prima parte del protocollo di test del software HIPAA che seguiamo è l'esecuzione di un test di integrità in cui cerchiamo difetti negli standard di conformità HIPAA dell'app. Implica l'esame di aree come:
- Per ogni ruolo o relazione ad alto rischio, verifichiamo se l'utente di un ruolo specifico è in grado di autenticarsi facilmente, se gli viene concesso l'accesso alla visualizzazione, alla modifica e all'eliminazione o se non ha accesso a specifiche operazioni del componente dell'applicazione. Una volta eseguite tutte le azioni, vengono registrate nell'audit trail.
- Le crittografie vengono verificate per aree come voci di audit trail ed EPHI nel database.
3. Matrice dei ruoli
Supponendo che l'app utilizzi l'accesso basato sui ruoli, diventa importante identificare i ruoli nel sistema e il livello di accesso che possono avere nell'applicazione. Questo passaggio viene in genere eseguito parlando con i clienti che ci comunicano il livello di rischio in base alla divulgazione delle informazioni, alla frequenza di utilizzo, alla possibilità di errore e all'impatto dell'errore.
Quando eseguiamo test di sanità mentale, un grafico come questo aiuta a identificare i livelli di rischio associati a ogni relazione e garantisce che i problemi vengano individuati e risolti in modo proattivo.
4. Casi di prova
Il terzo passo che seguiamo nel test del software di conformità HIPAA è la creazione di casi di test dettagliati in cui i movimenti dell'utente sono suddivisi a livello di azione e risultati. Cerchiamo di dettagliarlo con un esempio di un'app per appuntamenti dal medico.
Caso di prova | Evento |
---|---|
Registrazione | La schermata di accesso include più opzioni di autenticazione. |
Schermo di casa | I medici ottengono una visualizzazione dashboard dei loro appuntamenti. |
Gestisci gli slot di disponibilità | Il medico ottiene una visualizzazione del calendario modificabile per aggiungere uno slot di disponibilità. |
Visualizza l'appuntamento programmato | Viene visualizzata una schermata con un elenco di appuntamenti programmati. |
Accetta/rifiuta/modifica appuntamento | Accanto all'appuntamento programmato, il medico ha la possibilità di accettare, rifiutare o riprogrammare l'appuntamento. |
Partecipa alla sessione di consulenza virtuale | Il medico può partecipare a una sessione di consulenza virtuale tramite chat/chiamata/video. |
Carica prescrizione | Il medico può caricare lo screenshot facendo clic su una foto del ricettario. |
Gestisci profilo | Si apre la schermata in cui i medici possono vedere gli appuntamenti, il riepilogo dei pagamenti e modificare i propri dettagli. |
Chiudi app | Quando il medico chiude l'app, la sessione termina. |
5. Bilanciamento del carico
I piani di failover o bilanciamento del carico sono una parte fondamentale di qualsiasi organizzazione sanitaria perché la perdita dei dati di un paziente può sospenderne la vita.
Sono necessari per verificare la capacità del software di continuare le operazioni quotidiane eseguendo contemporaneamente i backup per un flusso di lavoro regolare. Aiutano anche a determinare se il software sarà in grado di allocare le risorse quando richiesto e se sarà in grado di identificare una situazione di necessità/urgenza. Un solido piano di failover, se implementato correttamente e testato a livello interno, deve offrire una protezione dei dati quasi completa, una perdita di dati minima o nulla e un ripristino istantaneo in caso di errore.
Processo che seguiamo per i test di conformità HIPAA
Il processo di test di un'app di integrità per la conformità HIPAA è diverso dai normali approcci di test delle app. Ecco l'approccio che seguiamo per garantire che la tua applicazione sia ben testata.
1. Analisi della documentazione
I nostri specialisti QA esaminano la documentazione del software contenente i suoi requisiti funzionali e non funzionali, per creare un elenco di controllo delle protezioni tecniche che saranno necessarie nel tuo software e lo seguiamo con un piano di test di conformità HIPAA.
2. Creazione della matrice dei ruoli
Costruiamo un grafico a matrice di ruoli che aiuta a identificare i ruoli dell'utente corrente e il livello di rischio legato all'esecuzione di più operazioni come visualizzare, aggiungere, eliminare e modificare ePHI.
3. Pianificazione e progettazione dei test
- Il processo inizia con la definizione degli eventi di test necessari per verificare la conformità del software con le garanzie tecniche HIPAA come valutazione della vulnerabilità, test funzionali e test di penetrazione.
- Successivamente, definiamo la composizione del team del gruppo di test: il numero di ingegneri di test, esperti di automazione, tester di sicurezza, ecc.
- Successivamente, vengono costruiti scenari di test e casi di test pertinenti.
- Successivamente, decidiamo sulla quota di automazione dei test.
- Quindi scriviamo script sull'automazione dei test, selezioniamo e configuriamo gli strumenti di automazione dei test pertinenti.
- Infine, prepariamo l'ambiente di test obbligatorio e i dati di test.
4. Esecuzione e refertazione del test
- Eseguiamo test manuali e automatizzati in linea con gli scenari di test predefiniti.
- Segnalare le lacune di conformità HIPAA identificate.
- Si suggeriscono, infine, le necessarie misure di bonifica.
Con questo, abbiamo esaminato molteplici aspetti del test di un'app che soddisfa tutti i requisiti HIPAA oltre al processo che seguiamo per testare l'applicazione. Mentre chiudiamo l'articolo, vediamo come tutto questo si traduce in costi.
Il costo dei test di conformità HIPAA
Il costo dei test HIPAA se prelevati a livello individuale dipende da quanto segue:
- Il tipo e la complessità del software sanitario
- Il numero di diversi ruoli utente.
- Le salvaguardie applicabili ai test tecnici HIPAA.
- I tipi di test necessari.
- La quantità di lavoro richiesta per l'automazione dei test.
- La complessità e il numero dei casi di test.
- Il modello di sourcing del test del software scelto (in-house o outsourcing).
- I costi degli strumenti di test di sicurezza
Con queste cinque pratiche di test del software HIPAA e il processo che seguiamo per i test di conformità HIPAA, ci assicuriamo di creare un'applicazione pronta per la conformità che sia pronta per cambiare il mondo digitale pur rimanendo a prova di violazione in ogni momento. Il modo in cui lo facciamo è mantenere l' elenco di controllo del software di conformità HIPAA come base degli sforzi di progettazione, sviluppo e manutenzione.
Se stai cercando supporto per creare o testare un'applicazione pronta per HIPAA già sviluppata, contattaci oggi stesso.