Hoy más que nunca, existen más aplicaciones que manejan datos de salud.
Incluso si no es un proveedor de atención médica, es posible que su aplicación recopile información que se rige por las regulaciones de la HIPAA.
Las notificaciones push regulares no son seguras para estos datos confidenciales. Viajan como texto sin formato a través de múltiples servidores, lo que crea riesgos de seguridad y cumplimiento.
Pushwoosh ha estado desarrollando tecnología de notificaciones push desde 2014. Recientemente hemos logrado el cumplimiento de la HIPAA y sabemos lo que se necesita para implementar un cifrado adecuado para la mensajería confidencial.
En esta guía, desglosamos el cifrado de las notificaciones push y le mostramos cómo implementarlo correctamente tanto para el cumplimiento como para la interacción del usuario.
¿Por qué es importante el cumplimiento de la HIPAA para las notificaciones push?
La Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA, por sus siglas en inglés) exige que las organizaciones protejan la información de los pacientes.
Esto incluye cualquier dato enviado a través de notificaciones push, ya que a menudo contienen detalles confidenciales como recordatorios de citas, resultados de pruebas y actualizaciones de tratamientos.
Específicamente, necesita:
- Cifrado para todos los datos de salud en tránsito
- Controles de acceso que limiten quién puede enviar notificaciones
- Registros de auditoría que documenten cuándo se envían las notificaciones y a quién
- Manejo adecuado de cualquier violación de datos
Las notificaciones push que no cumplen con la normativa crean riesgos graves, que incluyen violaciones de datos por mensajes interceptados, infracciones de la HIPAA con multas, daño a la reputación y posibles demandas.
Para mitigar estos riesgos, la primera línea de defensa es un cifrado de notificaciones push sólido.
Explicación del cifrado de notificaciones push
El cifrado de notificaciones push es un método de seguridad que convierte el contenido del mensaje en un código protegido que solo el destinatario previsto puede decodificar.
Protege la información confidencial, como los datos de salud, del acceso no autorizado. A diferencia de los mensajes no cifrados, que pueden ser interceptados y leídos en texto sin formato.
Existen dos tipos clave de cifrado para las notificaciones push:
-
Cifrado en tránsito: utiliza protocolos TLS/SSL para proteger los datos mientras se mueven entre sistemas. Esto proporciona seguridad básica, pero deja el contenido legible en cada servidor por el que pasa.
-
Cifrado de extremo a extremo: protege los datos desde el remitente hasta el destinatario. El mensaje permanece cifrado en cada punto intermedio, incluidos los servidores de Apple y Google.
Sin embargo, el cumplimiento de la HIPAA va más allá de simplemente cifrar los mensajes.
También necesita proteger las claves de cifrado, restringir quién puede enviar notificaciones de salud y mantener registros de todas las actividades de mensajería.
Pushwoosh garantiza todos estos requisitos de seguridad a través de nuestra infraestructura que cumple con la HIPAA.
Principales casos de uso para notificaciones cifradas
Repasemos los ejemplos clave de cuándo son esenciales las notificaciones push cifradas.
Recordatorios de citas
Todas las notificaciones push para citas médicas deben estar cifradas, incluso cuando contienen información mínima, según lo exige la HIPAA.
Esto se debe a que establecen una conexión documentada entre un paciente y los servicios de atención médica, y generalmente incluyen enlaces profundos a pantallas con información de salud protegida (PHI, por sus siglas en inglés) detallada, como los detalles del proveedor y el historial médico.
Notificaciones de resultados de laboratorio
Las notificaciones sobre los resultados de las pruebas también requieren cifrado para proteger la identidad del paciente y el hecho de que se realizaron pruebas médicas (ambos clasificados como PHI según la HIPAA).
Los enlaces profundos en estas notificaciones conectan a pantallas que contienen información de salud detallada.
Recordatorios de medicación
Las alertas de medicación requieren cifrado porque documentan información confidencial de los pacientes, como el estado del tratamiento y el horario de la medicación.
La notificación en sí misma confirma que el paciente está bajo tratamiento activo, lo cual es información de salud protegida.
Alertas de sesiones de telesalud
Los recordatorios de citas virtuales necesitan cifrado para proteger la identidad del paciente y la utilización de los servicios de atención médica (ambos elementos de PHI).
Estas notificaciones confirman una relación de tratamiento en curso que está bajo la protección de la HIPAA.
Actualizaciones del proveedor
Las notificaciones de comunicación salvaguardan la relación paciente-proveedor y garantizan la continuidad de la información de atención. También confirman que se está proporcionando atención médica activa.
Notificaciones de aplicaciones de bienestar (cuando están conectadas a la atención médica)
Para las aplicaciones de bienestar que se asocian con proveedores de atención médica o aseguradoras, las notificaciones push sobre métricas de salud o información personalizada deben cifrarse de acuerdo con la HIPAA.
☝️ Las aplicaciones de consumo independientes no están legalmente obligadas a cifrar, pero es aconsejable hacerlo por la privacidad y la confianza del usuario.
Registros de salud mental
Los recordatorios de seguimiento del estado de ánimo, las indicaciones de ejercicios de terapia y la información sobre salud mental contienen información confidencial que merece el mismo nivel de protección que los datos de salud física.
Actualizaciones de salud en el lugar de trabajo
Las aplicaciones de la empresa que envían alertas sobre exámenes de salud, beneficios de seguros o incidentes de salud en el lugar de trabajo deben proteger cualquier información de salud personalmente identificable.
Actualizaciones de logros de fitness (cuando forman parte de programas de atención médica)
Cuando las aplicaciones de fitness se asocian con proveedores de atención médica o aseguradoras, incluso las notificaciones motivacionales sobre pasos, entrenamientos u objetivos de salud pueden requerir una entrega que cumpla con la HIPAA.
Requisitos clave de la HIPAA para las notificaciones push
Las notificaciones push cifradas son solo una pieza del rompecabezas del cumplimiento de la HIPAA.
Para proteger adecuadamente los datos de los pacientes en sus comunicaciones móviles, debe abordar estas cinco áreas:
| Categoría del requisito | Qué significa para las notificaciones push |
|---|---|
| Triada CIA: Confidencialidad, integridad, disponibilidad | Mantenga sus notificaciones push: Privadas: solo los destinatarios previstos pueden verlas. Exactas: el contenido no se modifica durante la entrega. Disponibles: los mensajes se entregan de forma fiable. |
| Salvaguardas técnicas | Cifre los mensajes de principio a fin. Controle quién puede enviar y recibir notificaciones confidenciales. Mantenga registros de toda la actividad de notificaciones. |
| Salvaguardas administrativas | Tenga reglas escritas para el manejo de datos de pacientes. Capacite a su equipo sobre esas reglas. Verifique regularmente si hay debilidades de seguridad. |
| Salvaguardas físicas | Proteja los servidores y ordenadores físicos. Asegure las ubicaciones donde se almacenan los datos de las notificaciones. Proteja los dispositivos utilizados para enviar notificaciones. |
| Acuerdos de Socio Comercial (BAA, por sus siglas en inglés): requisito fundamental | Exija a los servicios de notificación que firmen un Acuerdo de Socio Comercial. Haga a los proveedores legalmente responsables de proteger los datos de los pacientes. Protéjase de la responsabilidad si los proveedores manejan mal la información. |
Pushwoosh: un socio que cumple con la HIPAA y va más allá
La mayoría de las plataformas de mensajería no se crearon con el cifrado de datos como prioridad.
Pushwoosh adopta un enfoque diferente y ofrece:
-
Seguridad con certificación HIPAA: nuestra plataforma ha superado recientemente una evaluación exhaustiva de Riskpro India, que valida nuestra protección de los datos de los pacientes.
-
Cifrado de extremo a extremo: la información confidencial permanece protegida desde la creación hasta la entrega mediante un cifrado RSA inviolable.
-
Cobertura omnicanal: mensajería segura a través de notificaciones push, en la aplicación, correo electrónico, SMS, WhatsApp y Line.
-
Implementación sencilla: API amigables para desarrolladores e integración perfecta con los sistemas de atención médica existentes.
A diferencia de las notificaciones regulares, la mensajería segura de Pushwoosh utiliza un sistema de clave pública-privada donde la clave privada nunca abandona el dispositivo del usuario.
Esto garantiza que solo el destinatario previsto pueda descifrar y leer la información confidencial. Ni siquiera Apple y Google pueden acceder al contenido.
Todo esto le ayuda a lograr una mayor eficiencia operativa, una mejor adherencia del paciente, un menor coste total y una entrega de mensajes garantizada incluso con grandes volúmenes.
Para obtener más información, póngase en contacto con el equipo de Pushwoosh.
Preguntas frecuentes
¿Las notificaciones push cumplen con la HIPAA por defecto?
No. Las notificaciones push estándar se envían como texto sin formato que puede ser leído por cualquiera que tenga acceso a la ruta de transmisión, incluidos los servidores de Apple y Google. Para cumplir con la HIPAA, necesita notificaciones push cifradas que protejan la información de salud confidencial durante todo el proceso de entrega. Obtenga más información sobre la protección de datos.
¿Pushwoosh ofrece cifrado en reposo?
Sí. Pushwoosh ofrece cifrado tanto en tránsito como en reposo. Nuestra función de Etiquetas Cifradas le permite específicamente almacenar atributos de usuario confidenciales en un formato cifrado dentro de la plataforma Pushwoosh. Esto evita el acceso no autorizado a información potencialmente confidencial utilizada para fines de segmentación o análisis.
¿Puedo enviar PHI en mensajes push?
Sí, pero solo con el cifrado adecuado. La mensajería push segura de Pushwoosh utiliza un cifrado de extremo a extremo con un sistema de clave pública-privada.
¿Qué tipo de datos recopila Pushwoosh?
Pushwoosh recopila tres tipos de datos:
- Datos del dispositivo: información como el modelo del dispositivo, la versión del sistema operativo y la ubicación aproximada.
- Datos del usuario: información que usted elige compartir con Pushwoosh (datos demográficos, preferencias).
- Datos de eventos: acciones que los usuarios realizan en su aplicación y que usted elige rastrear.
¿Cómo protege Pushwoosh los datos de los usuarios?
Pushwoosh protege los datos de los usuarios a través de múltiples medidas de seguridad:
- Cifrado de extremo a extremo que utiliza el cifrado RSA para una mensajería segura.
- Centros de datos con certificación ISO 27001 ubicados en Alemania.
- Cumplimiento del GDPR para la protección de la privacidad de los datos.
- Adhesión a los principios de seguridad de OWASP.
- Cumplimiento de la HIPAA verificado por una evaluación independiente.
- Controles de acceso que limitan quién puede ver y gestionar datos confidenciales.
- Registros de actividad detallados para el seguimiento de la seguridad y la verificación del cumplimiento.
