יותר אפליקציות מאי פעם מטפלות בנתוני בריאות.
גם אם אינכם ספק שירותי בריאות, האפליקציה שלכם עשויה לאסוף מידע הנכנס בגדר תקנות HIPAA.
התראות push רגילות אינן מאובטחות לנתונים רגישים אלה. הן עוברות כטקסט גלוי דרך שרתים רבים, ומייצרות סיכוני אבטחה ותאימות.
Pushwoosh בונה טכנולוגיית התראות push מאז 2014. לאחרונה השגנו עמידה בתקן HIPAA ואנו יודעים מה נדרש כדי ליישם הצפנה נאותה למסרים רגישים.
במדריך זה אנו מפרטים את הצפנת התראות ה-push ומדגימים כיצד ליישמה כראוי הן לצרכי תאימות והן למעורבות משתמשים.
מדוע תאימות ל-HIPAA חשובה עבור התראות push
חוק ניידות ואחריות ביטוח הבריאות (HIPAA) מחייב ארגונים להגן על מידע מטופלים.
הדבר כולל כל נתון שנשלח דרך התראות push, שכן אלה מכילות לעיתים קרובות פרטים רגישים כגון תזכורות לתורים, תוצאות בדיקות ועדכוני טיפול.
באופן ספציפי, נדרשים:
- הצפנה לכל נתוני הבריאות בזמן העברה
- בקרות גישה המגבילות מי יכול לשלוח התראות
- מסלולי ביקורת המתעדים מתי ולמי נשלחות התראות
- טיפול נאות בכל הפרת נתונים
התראות push שאינן תואמות יוצרות סיכונים חמורים, כולל פרצות נתונים מהודעות שיורטו, הפרות HIPAA עם קנסות, פגיעה במוניטין ותביעות משפטיות פוטנציאליות.
כדי לצמצם סיכונים אלה, קו ההגנה הראשון הוא הצפנה חזקה של התראות push.
הצפנת התראות push - הסבר
הצפנת התראות push היא שיטת אבטחה הממירה את תוכן ההודעה לקוד מוגן שרק הנמען המיועד יכול לפענח.
היא מגינה על מידע רגיש, כגון נתוני בריאות, מפני גישה בלתי מורשית. בניגוד להודעות לא מוצפנות שניתן לעצור ולקרוא כטקסט גלוי.
קיימים שני סוגי הצפנה עיקריים להתראות push:
-
הצפנה בזמן העברה משתמשת בפרוטוקולי TLS/SSL להגן על נתונים בעת מעבר בין מערכות. זה מספק אבטחה בסיסית אך משאיר את התוכן קריא בכל שרת שדרכו הוא עובר.
-
הצפנה מקצה לקצה מגינה על הנתונים משולח לנמען. ההודעה נשארת מוצפנת בכל נקודה שביניהם, כולל שרתי Apple ו-Google.
עם זאת, עמידה ב-HIPAA חורגת מהצפנת הודעות בלבד.
עליכם גם להגן על מפתחות הצפנה, להגביל מי יכול לשלוח התראות בריאות, ולשמור תיעוד של כל פעילויות ההתראות.
Pushwoosh מבטיחה את כל דרישות האבטחה הללו דרך תשתיתנו התואמת HIPAA.
מקרי שימוש עיקריים להתראות מוצפנות
נסקור את הדוגמאות המרכזיות לאופן שבו התראות push מוצפנות הן חיוניות.
תזכורות לתורים
כל התראות push לתורים בתחום הבריאות חייבות להיות מוצפנות, אפילו כשהן מכילות מינימום מידע, כפי שמחייב HIPAA.
הסיבה לכך היא שהן יוצרות קשר מתועד בין מטופל לשירותי בריאות, ובדרך כלל כוללות קישורים עמוקים למסכים עם מידע בריאותי מוגן (PHI) מפורט, כגון פרטי ספק ורקע רפואי.
התראות על תוצאות בדיקות
התראות על תוצאות בדיקות דורשות גם הן הצפנה להגנה על זהות המטופל ועל העובדה שהתבצעה בדיקה רפואית (שניהם מסווגים כ-PHI על פי HIPAA).
הקישורים העמוקים בהתראות אלה מובילים למסכים המכילים מידע בריאות מפורט.
תזכורות לנטילת תרופות
התראות תרופות דורשות הצפנה מכיוון שהן מתעדות מידע רגיש של מטופלים כגון מצב טיפול ולוח זמנים לתרופות.
ההתראה עצמה מאשרת שהמטופל נמצא בטיפול פעיל, שהוא מידע בריאות מוגן.
התראות לפגישות טלבריאות
תזכורות לפגישות וירטואליות דורשות הצפנה להגנה על זהות המטופל ועל שימוש בשירותי בריאות (שני אלמנטי PHI).
התראות אלה מאשרות קשר טיפולי מתמשך הנופל תחת הגנת HIPAA.
עדכוני ספקים
התראות תקשורת מגנות על הקשר בין מטופל לספק ומבטיחות רציפות מידע הטיפול. הן גם מאשרות שניתנת טיפול רפואי פעיל.
התראות אפליקציות בריאות (כשמחוברות לשירותי בריאות)
עבור אפליקציות בריאות המשתפות פעולה עם ספקי שירותי בריאות או חברות ביטוח, התראות push על מדדי בריאות או תובנות מותאמות אישית חייבות להיות מוצפנות בהתאם ל-HIPAA.
אפליקציות צרכניות עצמאיות אינן מחויבות חוקית להצפין, אך מומלץ לעשות זאת לטובת פרטיות המשתמש ואמינותו.
בדיקות מצב נפשי
תזכורות למעקב אחר מצב רוח, הנחיות לתרגילי טיפול ותובנות בריאות נפשית מכילות מידע רגיש הראוי לאותה רמת הגנה כמו נתוני בריאות גופנית.
עדכוני בריאות בסביבת עבודה
אפליקציות חברה השולחות התראות על בדיקות בריאות, הטבות ביטוח או אירועי בריאות במקום העבודה צריכות לאבטח כל מידע בריאות המזהה אישית.
עדכוני הישגי כושר (כחלק מתכניות בריאות)
כשאפליקציות כושר משתפות פעולה עם ספקי שירותי בריאות או חברות ביטוח, אפילו התראות מעודדות על צעדים, אימונים או יעדי בריאות עשויות לדרוש משלוח תואם HIPAA.
דרישות HIPAA מרכזיות להתראות push
התראות push מוצפנות הן רק חלק אחד מפאזל עמידת HIPAA.
כדי להגן כראוי על נתוני מטופלים בתקשורת הסלולרית שלכם, עליכם לטפל בחמישה תחומים אלה:
| קטגוריית דרישה | משמעותה עבור התראות push |
|---|---|
| שלישיית CIA: סודיות, שלמות, זמינות | שמרו על התראות ה-push שלכם: פרטיות: רק הנמענים המיועדים יכולים לראותן מדויקות: התוכן נשאר ללא שינוי במהלך המסירה זמינות: ההודעות נמסרות באמינות |
| אמצעי הגנה טכניים | הצפינו הודעות מתחילתן ועד סופן שלטו במי יכול לשלוח ולקבל התראות רגישות שמרו תיעוד של כל פעילות ההתראות |
| אמצעי הגנה מינהליים | קבעו כללים כתובים לטיפול בנתוני מטופלים הדריכו את הצוות שלכם על כללים אלה בדקו באופן קבוע אחר חולשות אבטחה |
| אמצעי הגנה פיזיים | הגנו על השרתים והמחשבים הפיזיים אבטחו את המיקומים שבהם מאוחסנים נתוני ההתראות הגנו על המכשירים המשמשים לשליחת התראות |
| הסכמי שותף עסקי (BAA) - דרישה קריטית | דרשו משירותי ההתראות לחתום על הסכם שותף עסקי החזיקו ספקים אחראים חוקית להגנה על נתוני מטופלים הגנו על עצמכם מאחריות אם ספקים מטפלים במידע בצורה בלתי ראויה |
Pushwoosh: שותף תואם HIPAA שהולך מעבר ומעבר
רוב פלטפורמות ההודעות לא נבנו עם הצפנת נתונים כעדיפות.
Pushwoosh נוקטת גישה שונה ומציעה:
-
אבטחה מוסמכת HIPAA: הפלטפורמה שלנו עברה לאחרונה הערכה מקיפה על ידי Riskpro India, המאמתת את הגנתנו על נתוני מטופלים
-
הצפנה מקצה לקצה: מידע רגיש נשאר מוגן מיצירה ועד מסירה באמצעות הצפנת RSA בלתי ניתנת לפריצה
-
כיסוי רב-ערוצי: מסרים מאובטחים דרך push, in-app, דוא”ל, SMS, WhatsApp ו-Line
-
יישום קל: ממשקי API ידידותיים למפתחים ואינטגרציה חלקה עם מערכות בריאות קיימות
בניגוד להתראות רגילות, מסרים מאובטחים של Pushwoosh משתמשים במערכת מפתח ציבורי-פרטי שבה המפתח הפרטי אינו יוצא לעולם ממכשיר המשתמש.
הדבר מבטיח שרק הנמען המיועד יכול לפענח ולקרוא מידע רגיש. אפילו Apple ו-Google לא יכולים לגשת לתוכן.
כל זה עוזר לכם להשיג יעילות תפעולית גבוהה יותר, שיפור שמירת מטופלים על הטיפול, עלות כוללת נמוכה יותר ומסירת הודעות מובטחת אפילו בנפחים גבוהים.
למידע נוסף, אנא צרו קשר עם צוות Pushwoosh.
שאלות נפוצות
האם התראות push תואמות HIPAA כברירת מחדל?
לא. התראות push סטנדרטיות נשלחות כטקסט גלוי שכל מי שיש לו גישה לנתיב השידור יכול לקרוא, כולל שרתי Apple ו-Google. עבור עמידה ב-HIPAA, אתם זקוקים להתראות push מוצפנות המגינות על מידע בריאות רגיש לאורך כל תהליך המסירה. למדו עוד על הגנת נתונים.
האם Pushwoosh מציעה הצפנה במנוחה?
כן. Pushwoosh מציעה הצפנה הן בזמן העברה והן במנוחה. תכונת ה-Encrypted Tags שלנו מאפשרת במיוחד לאחסן תכונות משתמש רגישות בפורמט מוצפן בתוך פלטפורמת Pushwoosh. הדבר מונע גישה בלתי מורשית למידע שעלול להיות רגיש המשמש למיקוד או לניתוח.
האם ניתן לשלוח PHI בהודעות push?
כן, אך רק עם הצפנה נאותה. הודעות ה-push המאובטחות של Pushwoosh משתמשות בהצפנה מקצה לקצה עם מערכת מפתח ציבורי-פרטי.
איזה סוג נתונים Pushwoosh אוספת?
Pushwoosh אוספת שלושה סוגי נתונים:
- נתוני מכשיר: מידע כגון דגם המכשיר, גרסת מערכת ההפעלה ומיקום משוער
- נתוני משתמש: מידע שתבחרו לשתף עם Pushwoosh (דמוגרפיה, העדפות)
- נתוני אירועים: פעולות שמשתמשים מבצעים באפליקציה שתבחרו לעקוב אחריהן
כיצד Pushwoosh מגינה על נתוני משתמשים?
Pushwoosh מגינה על נתוני משתמשים דרך אמצעי אבטחה מרובים:
- הצפנה מקצה לקצה באמצעות הצפנת RSA למסרים מאובטחים
- מרכזי נתונים מוסמכי ISO 27001 הממוקמים בגרמניה
- עמידה ב-GDPR להגנה על פרטיות הנתונים
- עמידה בעקרונות OWASP לאבטחה
- עמידה ב-HIPAA שאומתה על ידי הערכה עצמאית
- בקרות גישה המגבילות מי יכול לצפות ולנהל נתונים רגישים
- יומני פעילות מפורטים לניטור אבטחה ואימות תאימות
