La diferencia de HIPAA: cómo Braze respalda el compromiso reflexivo mientras protege la información de salud protegida

Los consumidores de hoy exigen experiencias de marca relevantes. Para construir relaciones sólidas, las marcas deben asegurarse de que se comunican de manera que hablen a cada cliente como individuo, y eso es cierto ya sea que la marca sea un minorista o en el espacio de atención médica. Pero hay una trampa: si bien los datos son una parte esencial de estas experiencias personalizadas, también es un tema que puede ser muy delicado tanto para los consumidores como para los reguladores. No puede evitar la necesidad de datos como comercializador hoy en día, pero tampoco puede darse el lujo de tratarlos a la ligera o dejar de proteger y salvaguardar la información que se le ha confiado a su marca.

Todo eso es especialmente cierto cuando se trata de datos relacionados con la salud. A medida que los servicios digitales ofrecidos por las marcas de salud y fitness continúan expandiéndose, la necesidad de encontrar formas de aprovechar y proteger los datos confidenciales relacionados con la salud se vuelve cada vez más clara. Si bien la capacidad de brindar valor y conveniencia rápidamente a través de experiencias de marca puede mejorar de manera concreta la vida de las personas, especialmente en un espacio conocido por sus largos tiempos de espera, es importante proteger los datos que informan esas experiencias sin compromiso.

Para hacerlo posible para las marcas relacionadas con la salud, Braze priorizó lograr y mantener el cumplimiento de HIPAA para nuestra plataforma. Echemos un vistazo a por qué eso es importante, cómo lo logramos y qué significa para los especialistas en marketing.

¿Qué es HIPAA?

El gobierno de EE. UU. aprobó la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) en 1996 para implementar reglas que garanticen que las organizaciones con acceso digital a la información de salud de los clientes protejan esa información altamente confidencial. Estos datos, conocidos como información de salud protegida (PHI, por sus siglas en inglés), incluyen datos médicos tradicionales, como registros de salud y resultados de pruebas, así como puntos de datos de identificación individual relacionados con los registros de salud de alguien, como el nombre del paciente, número de cuenta, imágenes, datos demográficos. información, y más.

HIPAA es obligatorio solo para "Entidades cubiertas", que incluyen:

• Compañías de seguros de salud (HMO, planes de salud de la compañía, Medicare, Medicaid)
• Proveedores de atención médica (médicos, clínicas, especialistas, farmacias)
• empresas de datos de salud

Sin embargo, estas organizaciones no operan en el vacío. HIPAA permite que las Entidades cubiertas divulguen PHI a otras organizaciones (conocidas como "Asociados comerciales") si hacerlo es necesario para cumplir con las necesidades o actividades relacionadas con la atención médica. Sin embargo, estos socios comerciales deben asegurarse de proteger la PHI en cuestión, usándola solo para los fines para los que se compartió, entre otros requisitos, para cumplir con HIPAA.

¿Cómo se ve el cumplimiento de HIPAA?

En general, todas las marcas que envían información de salud digital protegida deben instituir y seguir ciertas medidas de seguridad físicas, de red y de procesos para cumplir con HIPAA. Además, para que una empresa cumpla con HIPAA, sus subprocesadores (cualquier tercero que pueda manejar la PHI en nombre de la Entidad cubierta) generalmente también deben cumplir con HIPAA. Esto significa que el subprocesador debe cumplir con requisitos estrictos que incluyen, entre otros, los siguientes:

• Firmar un Acuerdo de socio comercial (BAA) que establezca que se adhieren a las reglas de seguridad y privacidad requeridas por HIPAA
• Realizar un análisis de riesgos
• Auditar y realizar un seguimiento de la actividad en el hardware y el software que procesa la PHI
• Implementar un plan de respaldo de datos
• Instalar protecciones físicas para proteger los sistemas de información electrónicos
• Implementar políticas y procedimientos para garantizar el cumplimiento.

Cumplir con la HIPAA no es fácil, y no es un trato de una sola vez. Requiere apoyo, mantenimiento y enfoque continuos, especialmente a medida que la ley se actualiza con el tiempo.

Cumplimiento de HIPAA y Braze

Hoy en día, la privacidad y la seguridad de los datos son parte integral tanto de las marcas como de los consumidores. Para garantizar que los clientes de Braze (y sus clientes) puedan manejar la PHI de manera segura para respaldar experiencias significativas y relevantes, hemos hecho del cumplimiento de HIPAA, y de la privacidad y seguridad de los datos en general, una prioridad importante para nuestra empresa y nuestro producto. .

En Braze, el trabajo que hicimos para cumplir con HIPAA formó la base de nuestro enfoque actual de seguridad de datos.

“El primer gran análisis de riesgo formal que hicimos fue para HIPAA”, señala Jon Hyman, cofundador y director de tecnología de Braze. “Contratamos a un abogado que estudia HIPAA y trabajamos con él para asegurarnos de que estábamos haciendo las cosas de acuerdo con lo requerido... [y] literalmente construimos un análisis de riesgos donde teníamos un registro de riesgos de amenazas y vulnerabilidades potenciales, los controles que tenemos en lugar, la probabilidad de problemas, el impacto potencial, cómo se ve la remediación y cómo nuestro equipo de respuesta a incidentes abordará las cosas”.

Braze también completó un importante trabajo relacionado con la infraestructura. Por un lado, creamos un grupo separado centrado en HIPAA de la plataforma Braze para marcas que trabajan con PHI. Con el clúster HIPAA de Braze, “usted inicia sesión en una URL diferente y, si no se encuentra en un entorno que no sea HIPAA, sus SDK acceden a una URL totalmente diferente y a un conjunto diferente de servidores”, dice Hyman. “Sus bases de datos están separadas. Todo está completamente separado. Tiene diferentes reglas de firewall. Tiene su propia red virtual. Está completamente separado de los otros entornos dentro de Braze, lo cual es bueno desde el punto de vista del aislamiento”.

Braze se enorgullece de cumplir con HIPAA, pero no nos hemos detenido ahí. Continuamos iterando en estas medidas, yendo más allá de lo que exige la ley. Por ejemplo, hemos agregado protecciones adicionales de autorización de dos factores, lista blanca de IP para el tablero y nuestras API, políticas de caducidad de contraseñas y reglas de complejidad de contraseñas.

El cumplimiento de HIPAA significa seguridad de información estricta para todos los clientes de Braze

Pero si bien el cumplimiento de HIPAA fue una tarea importante para Braze, terminó allanando el camino para todo lo que vino después; de hecho, en 2018, también completamos con éxito nuestra auditoría SOC 2 Tipo 2 y la certificación ISO 27001 y luego completamos una segunda auditoría y certificación. en el año pasado.

El estándar SOC 2, supervisado por el Instituto Estadounidense de Contadores Públicos Certificados (AICPA), establece los requisitos de cumplimiento para los controles de seguridad de una empresa determinada. Esta auditoría aseguró que Braze ya había establecido estrictas políticas y procedimientos de seguridad de la información. Además, nuestra certificación ISO 27001 afirma que Braze ha realizado una evaluación integral de los riesgos de seguridad y tiene un Sistema de gestión de seguridad de la información (ISMS) que cumple con el estándar de gestión de seguridad de la información global de la Organización Internacional de Normalización (ISO).

“La forma en que HIPAA requiere que Braze opere para las marcas que usan PHI es la forma en que ahora operamos en todos los ámbitos”, explica Hyman. “Por ejemplo, las salvaguardas administrativas en HIPAA requerían que hiciéramos un análisis de riesgo, lo cual hicimos. Pero ese también es un requisito para ISO 27001, donde debe asegurarse de que su sistema de gestión de seguridad de la información cumpla con altos estándares. Y todo se sigue de eso; asegurándonos de tener controles adecuados, procesos efectivos para cosas como cancelar el acceso a los empleados que se van y un proceso para manejar datos confidenciales en todos los ámbitos”.

Próximos pasos

La privacidad y la seguridad de los datos son importantes, ahora más que nunca. Con una plataforma comprometida con el cumplimiento de HIPAA, las marcas de salud y fitness pueden ofrecer experiencias memorables y relevantes a los clientes sin dejar de respetar su privacidad.

Para descubrir cómo una estrategia de comunicación personalizada y compatible con HIPAA aumenta el valor de su marca, vea cómo HelpAround aumenta la retención de usuarios de la aplicación con Braze.