그 어느 때보다 많은 앱이 건강 데이터를 처리하고 있습니다.
의료 서비스 제공자가 아니더라도, 앱에서 HIPAA 규정에 해당하는 정보를 수집할 수 있습니다.
일반 푸시 알림은 이러한 민감한 데이터에 안전하지 않습니다. 일반 텍스트로 여러 서버를 거쳐 전송되므로 보안 및 규정 준수 위험이 발생합니다.
Pushwoosh는 2014년부터 푸시 알림 기술을 개발해 왔습니다. 최근 HIPAA 준수를 달성했으며, 민감한 메시징을 위한 적절한 암호화를 구현하는 데 필요한 노하우를 알고 있습니다.
이 가이드에서는 푸시 알림 암호화를 분석하고, 규정 준수와 사용자 참여 모두를 위해 이를 올바르게 구현하는 방법을 보여드립니다.
푸시 알림에 HIPAA 준수가 중요한 이유
미국 건강 보험 양도 및 책임에 관한 법(HIPAA)은 조직이 환자 정보를 보호하도록 요구합니다.
여기에는 푸시 알림을 통해 전송되는 모든 데이터가 포함됩니다. 푸시 알림에는 예약 알림, 검사 결과, 치료 업데이트와 같은 민감한 정보가 포함되는 경우가 많기 때문입니다.
구체적으로 다음이 필요합니다:
- 전송 중인 모든 건강 데이터에 대한 암호화
- 알림을 보낼 수 있는 사람을 제한하는 접근 제어
- 알림이 언제 누구에게 전송되었는지 기록하는 감사 추적
- 데이터 유출 발생 시 적절한 처리
규정을 준수하지 않는 푸시 알림은 가로채기 메시지로 인한 데이터 유출, 벌금이 부과되는 HIPAA 위반, 평판 손상, 잠재적인 소송 등 심각한 위험을 초래합니다.
이러한 위험을 완화하기 위한 첫 번째 방어선은 강력한 푸시 알림 암호화입니다.
푸시 알림 암호화 설명
푸시 알림 암호화는 메시지 내용을 의도된 수신자만 해독할 수 있는 보호된 코드로 변환하는 보안 방법입니다.
이는 건강 데이터와 같은 민감한 정보를 무단 접근으로부터 보호합니다. 가로채서 일반 텍스트로 읽을 수 있는 암호화되지 않은 메시지와는 다릅니다.
푸시 알림에는 두 가지 주요 암호화 유형이 있습니다:
-
전송 중 암호화는 TLS/SSL 프로토콜을 사용하여 시스템 간에 데이터가 이동하는 동안 데이터를 보호합니다. 이는 기본적인 보안을 제공하지만, 데이터가 통과하는 각 서버에서는 내용을 읽을 수 있는 상태로 둡니다.
-
종단간 암호화는 발신자부터 수신자까지 데이터를 보호합니다. 메시지는 Apple 및 Google의 서버를 포함하여 그 사이의 모든 지점에서 암호화된 상태로 유지됩니다.
하지만 HIPAA 준수는 단순히 메시지를 암호화하는 것 이상을 요구합니다.
또한 암호화 키를 보호하고, 건강 관련 알림을 보낼 수 있는 사람을 제한하며, 모든 메시징 활동 기록을 보관해야 합니다.
Pushwoosh는 HIPAA 준수 인프라를 통해 이러한 모든 보안 요구 사항을 보장합니다.
암호화된 알림의 주요 사용 사례
암호화된 푸시 알림이 필수적인 주요 사례를 살펴보겠습니다.
예약 알림
HIPAA에서 의무화한 바와 같이, 의료 예약에 대한 모든 푸시 알림은 최소한의 정보만 포함하더라도 암호화되어야 합니다.
이는 환자와 의료 서비스 간의 문서화된 연결을 설정하고, 일반적으로 의료진 정보 및 병력과 같은 상세한 보호 대상 건강 정보(PHI)가 있는 화면으로 연결되는 딥 링크를 포함하기 때문입니다.
검사 결과 알림
검사 결과에 대한 알림 역시 환자의 신원과 의료 검사를 받았다는 사실(두 가지 모두 HIPAA에 따라 PHI로 분류됨)을 보호하기 위해 암호화가 필요합니다.
이러한 알림의 딥 링크는 상세한 건강 정보가 포함된 화면으로 연결됩니다.
복약 알림
복약 알림은 치료 상태 및 복약 일정과 같은 환자의 민감한 정보를 기록하기 때문에 암호화가 필요합니다.
알림 자체는 환자가 적극적인 치료를 받고 있음을 확인하며, 이는 보호 대상 건강 정보입니다.
원격 의료 세션 알림
가상 예약 알림은 환자 신원과 의료 서비스 이용(모두 PHI 요소)을 보호하기 위해 암호화가 필요합니다.
이러한 알림은 HIPAA 보호 대상인 지속적인 치료 관계를 확인합니다.
의료진 업데이트
커뮤니케이션 알림은 환자와 의료진 간의 관계를 보호하고 치료 정보의 연속성을 보장합니다. 또한 적극적인 의료 서비스가 제공되고 있음을 확인합니다.
웰니스 앱 알림 (의료 서비스와 연결된 경우)
의료 서비스 제공자나 보험사와 제휴하는 웰니스 앱의 경우, 건강 지표나 개인화된 인사이트에 대한 푸시 알림은 HIPAA에 따라 암호화되어야 합니다.
☝️ 독립적인 소비자 앱은 법적으로 암호화할 의무는 없지만, 사용자 개인 정보 보호와 신뢰를 위해 암호화하는 것이 바람직합니다.
정신 건강 체크인
기분 추적 알림, 치료 운동 프롬프트, 정신 건강 인사이트에는 신체 건강 데이터와 동일한 수준의 보호를 받아야 할 민감한 정보가 포함되어 있습니다.
직장 건강 업데이트
건강 검진, 보험 혜택 또는 직장 내 건강 관련 사건에 대한 알림을 보내는 회사 앱은 개인 식별이 가능한 모든 건강 정보를 보호해야 합니다.
피트니스 성과 업데이트 (의료 프로그램의 일부인 경우)
피트니스 앱이 의료 서비스 제공자나 보험사와 제휴하는 경우, 걸음 수, 운동 또는 건강 목표에 대한 동기 부여 알림조차도 HIPAA 준수 전달이 필요할 수 있습니다.
푸시 알림에 대한 주요 HIPAA 요구 사항
암호화된 푸시 알림은 HIPAA 준수 퍼즐의 한 조각에 불과합니다.
모바일 커뮤니케이션에서 환자 데이터를 올바르게 보호하려면 다음 다섯 가지 영역을 해결해야 합니다:
| 요구 사항 범주 | 푸시 알림에 대한 의미 |
|---|---|
| CIA 3요소: 기밀성, 무결성, 가용성 | 푸시 알림 유지: 비공개: 의도된 수신자만 볼 수 있음 정확성: 전송 중 내용이 변경되지 않음 가용성: 메시지가 안정적으로 전달됨 |
| 기술적 보호 조치 | 처음부터 끝까지 메시지 암호화 민감한 알림을 보내고 받을 수 있는 사람 제어 모든 알림 활동 기록 보관 |
| 관리적 보호 조치 | 환자 데이터 처리에 대한 서면 규칙 보유 해당 규칙에 대해 팀 교육 정기적으로 보안 취약점 점검 |
| 물리적 보호 조치 | 물리적 서버 및 컴퓨터 보호 알림 데이터가 저장되는 위치 보안 알림 전송에 사용되는 장치 보호 |
| 업무 협약서(BAA)—중요 요구 사항 | 알림 서비스에 업무 협약서 서명 요구 공급업체가 환자 데이터를 보호할 법적 책임을 지도록 함 공급업체가 정보를 잘못 처리할 경우 책임으로부터 자신을 보호 |
Pushwoosh: 기대를 뛰어넘는 HIPAA 준수 파트너
대부분의 메시징 플랫폼은 데이터 암호화를 우선순위로 두고 구축되지 않았습니다.
Pushwoosh는 다른 접근 방식을 취하며 다음을 제공합니다:
-
HIPAA 인증 보안: 저희 플랫폼은 최근 Riskpro India의 종합적인 평가를 통과하여 환자 데이터 보호를 검증받았습니다.
-
종단간 암호화: 깨지지 않는 RSA 암호화를 사용하여 생성부터 전달까지 민감한 정보가 보호됩니다.
-
옴니채널 커버리지: 푸시, 인앱, 이메일, SMS, WhatsApp, Line 전반에 걸친 보안 메시징
-
손쉬운 구현: 개발자 친화적인 API와 기존 의료 시스템과의 원활한 통합
일반 알림과 달리, Pushwoosh의 보안 메시징은 개인 키가 사용자의 기기를 절대 떠나지 않는 공개-개인 키 시스템을 사용합니다.
이를 통해 의도된 수신자만이 민감한 정보를 해독하고 읽을 수 있습니다. Apple과 Google조차도 콘텐츠에 접근할 수 없습니다.
이 모든 것이 더 높은 운영 효율성, 향상된 환자 순응도, 더 낮은 총비용, 그리고 대량 메시지 전송 시에도 보장된 메시지 전달을 달성하는 데 도움이 됩니다.
자세한 내용은 Pushwoosh 팀에 문의해 주십시오.
자주 묻는 질문
푸시 알림은 기본적으로 HIPAA를 준수하나요?
아니요. 표준 푸시 알림은 Apple 및 Google의 서버를 포함하여 전송 경로에 접근할 수 있는 모든 사람이 읽을 수 있는 일반 텍스트로 전송됩니다. HIPAA를 준수하려면 전체 전달 과정에서 민감한 건강 정보를 보호하는 암호화된 푸시 알림이 필요합니다. 데이터 보호에 대해 자세히 알아보기.
Pushwoosh는 저장 데이터 암호화를 제공하나요?
네. Pushwoosh는 전송 중 암호화와 저장 데이터 암호화를 모두 제공합니다. 특히 암호화된 태그 기능을 사용하면 민감한 사용자 속성을 Pushwoosh 플랫폼 내에서 암호화된 형식으로 저장할 수 있습니다. 이를 통해 타겟팅이나 분석 목적으로 사용되는 잠재적으로 민감한 정보에 대한 무단 접근을 방지할 수 있습니다.
푸시 메시지로 PHI를 보낼 수 있나요?
네, 하지만 적절한 암호화가 있어야만 가능합니다. Pushwoosh의 보안 푸시 메시징은 공개-개인 키 시스템을 사용한 종단간 암호화를 사용합니다.
Pushwoosh는 어떤 종류의 데이터를 수집하나요?
Pushwoosh는 세 가지 유형의 데이터를 수집합니다:
- 기기 데이터: 기기 모델, OS 버전, 대략적인 위치와 같은 정보
- 사용자 데이터: Pushwoosh와 공유하기로 선택한 정보(인구 통계, 선호도)
- 이벤트 데이터: 앱에서 사용자가 수행하는 행동 중 추적하기로 선택한 것
Pushwoosh는 사용자 데이터를 어떻게 보호하나요?
Pushwoosh는 여러 보안 조치를 통해 사용자 데이터를 보호합니다:
- 보안 메시징을 위한 RSA 암호화를 사용한 종단간 암호화
- 독일에 위치한 ISO 27001 인증 데이터 센터
- 데이터 개인 정보 보호를 위한 GDPR 준수
- OWASP 보안 원칙 준수
- 독립적인 평가를 통해 검증된 HIPAA 준수
- 민감한 데이터를 보고 관리할 수 있는 사람을 제한하는 접근 제어
- 보안 모니터링 및 규정 준수 확인을 위한 상세 활동 로그
