Mais aplicativos do que nunca lidam com dados de saúde.
Mesmo que você não seja um provedor de saúde, seu aplicativo pode coletar informações que se enquadram nas regulamentações da HIPAA.
As notificações push comuns não são seguras para esses dados confidenciais. Elas viajam como texto simples por vários servidores, criando riscos de segurança e conformidade.
A Pushwoosh desenvolve tecnologia de notificação push desde 2014. Recentemente, alcançamos a conformidade com a HIPAA e sabemos o que é necessário para implementar a criptografia adequada para mensagens confidenciais.
Neste guia, detalhamos a criptografia de notificações push e mostramos como implementá-la corretamente para garantir tanto a conformidade quanto o engajamento do usuário.
Por que a conformidade com a HIPAA é importante para as notificações push
A Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) exige que as organizações protejam as informações dos pacientes.
Isso inclui quaisquer dados enviados por meio de notificações push, pois elas geralmente contêm detalhes confidenciais como lembretes de consultas, resultados de exames e atualizações de tratamento.
Especificamente, você precisa de:
- Criptografia para todos os dados de saúde em trânsito
- Controles de acesso que limitam quem pode enviar notificações
- Trilhas de auditoria documentando quando as notificações são enviadas e para quem
- Tratamento adequado de qualquer violação de dados
Notificações push não conformes criam riscos sérios, incluindo violações de dados por mensagens interceptadas, violações da HIPAA com multas, danos à reputação e possíveis processos judiciais.
Para mitigar esses riscos, a primeira linha de defesa é uma forte criptografia de notificações push.
Explicação da criptografia de notificações push
A criptografia de notificações push é um método de segurança que converte o conteúdo da mensagem em um código protegido que apenas o destinatário pretendido pode decodificar.
Ela protege informações confidenciais, como dados de saúde, contra acesso não autorizado. Diferente das mensagens não criptografadas, que podem ser interceptadas e lidas em texto simples.
Existem dois tipos principais de criptografia para notificações push:
-
Criptografia em trânsito usa protocolos TLS/SSL para proteger os dados enquanto eles se movem entre sistemas. Isso fornece segurança básica, mas deixa o conteúdo legível em cada servidor pelo qual passa.
-
Criptografia de ponta a ponta protege os dados do remetente ao destinatário. A mensagem permanece criptografada em todos os pontos intermediários, incluindo os servidores da Apple e do Google.
No entanto, a conformidade com a HIPAA vai além de apenas criptografar mensagens.
Você também precisa proteger as chaves de criptografia, restringir quem pode enviar notificações de saúde e manter registros de todas as atividades de mensagens.
A Pushwoosh garante todos esses requisitos de segurança por meio de nossa infraestrutura em conformidade com a HIPAA.
Principais casos de uso para notificações criptografadas
Vamos analisar os principais exemplos de quando as notificações push criptografadas são essenciais.
Lembretes de consulta
Todas as notificações push para consultas de saúde devem ser criptografadas, mesmo quando contêm informações mínimas, conforme exigido pela HIPAA.
Isso ocorre porque elas estabelecem uma conexão documentada entre um paciente e os serviços de saúde e, geralmente, incluem deep links para telas com informações de saúde protegidas (PHI) detalhadas, como detalhes do provedor e histórico médico.
Notificações de resultados de exames
As notificações sobre resultados de exames também exigem criptografia para proteger a identidade do paciente e o fato de que o teste médico ocorreu (ambos classificados como PHI pela HIPAA).
Os deep links nessas notificações conectam a telas contendo informações de saúde detalhadas.
Lembretes de medicação
Os alertas de medicação exigem criptografia porque documentam informações confidenciais dos pacientes, como o status do tratamento e o cronograma de medicação.
A própria notificação confirma que o paciente está em tratamento ativo, o que é uma informação de saúde protegida.
Alertas de sessão de telessaúde
Lembretes de consultas virtuais precisam de criptografia para proteger a identidade do paciente e a utilização de serviços de saúde (ambos elementos de PHI).
Essas notificações confirmam uma relação de tratamento contínua que se enquadra na proteção da HIPAA.
Atualizações do provedor
As notificações de comunicação protegem a relação paciente-provedor e garantem a continuidade das informações de cuidados. Elas também confirmam que o cuidado médico ativo está sendo fornecido.
Notificações de aplicativos de bem-estar (quando conectados à saúde)
Para aplicativos de bem-estar que fazem parceria com provedores de saúde ou seguradoras, as notificações push sobre métricas de saúde ou insights personalizados devem ser criptografadas de acordo com a HIPAA.
☝️ Aplicativos de consumo independentes não são legalmente obrigados a criptografar, mas fazê-lo é aconselhável para a privacidade e a confiança do usuário.
Check-ins de saúde mental
Lembretes de monitoramento de humor, avisos de exercícios terapêuticos e insights de saúde mental contêm informações confidenciais que merecem o mesmo nível de proteção que os dados de saúde física.
Atualizações de saúde no local de trabalho
Aplicativos de empresas que enviam alertas sobre exames de saúde, benefícios de seguro ou incidentes de saúde no local de trabalho precisam proteger qualquer informação de saúde pessoalmente identificável.
Atualizações de conquistas de fitness (quando parte de programas de saúde)
Quando aplicativos de fitness fazem parceria com provedores de saúde ou seguradoras, até mesmo notificações motivacionais sobre passos, treinos ou metas de saúde podem exigir entrega em conformidade com a HIPAA.
Principais requisitos da HIPAA para notificações push
As notificações push criptografadas são apenas uma peça do quebra-cabeça da conformidade com a HIPAA.
Para proteger adequadamente os dados dos pacientes em suas comunicações móveis, você precisa abordar estas cinco áreas:
| Categoria de requisito | O que significa para as notificações push |
|---|---|
| Tríade CIA: Confidencialidade, integridade, disponibilidade | Mantenha suas notificações push: Privadas: Apenas os destinatários pretendidos podem vê-las Precisas: O conteúdo permanece inalterado durante a entrega Disponíveis: As mensagens são entregues de forma confiável |
| Salvaguardas técnicas | Criptografe as mensagens do início ao fim Controle quem pode enviar e receber notificações confidenciais Mantenha registros de toda a atividade de notificação |
| Salvaguardas administrativas | Tenha regras escritas para o tratamento de dados de pacientes Treine sua equipe nessas regras Verifique regularmente as vulnerabilidades de segurança |
| Salvaguardas físicas | Proteja os servidores e computadores físicos Proteja os locais onde os dados de notificação são armazenados Proteja os dispositivos usados para enviar notificações |
| Acordos de Associado de Negócios (BAAs) — requisito crítico | Exija que os serviços de notificação assinem um Acordo de Associado de Negócios Responsabilize legalmente os fornecedores pela proteção dos dados dos pacientes Proteja-se de responsabilidade se os fornecedores manusearem mal as informações |
Pushwoosh: um parceiro em conformidade com a HIPAA que vai além
A maioria das plataformas de mensagens não foi construída com a criptografia de dados como prioridade.
A Pushwoosh adota uma abordagem diferente, oferecendo:
-
Segurança certificada pela HIPAA: Nossa plataforma passou recentemente por uma avaliação abrangente da Riskpro India, validando nossa proteção de dados de pacientes
-
Criptografia de ponta a ponta: As informações confidenciais permanecem protegidas desde a criação até a entrega, usando a inquebrável criptografia RSA
-
Cobertura omnichannel: Mensagens seguras em push, in-app, e-mail, SMS, WhatsApp e Line
-
Implementação fácil: APIs amigáveis para desenvolvedores e integração perfeita com os sistemas de saúde existentes
Diferente das notificações comuns, o serviço de mensagens seguras da Pushwoosh usa um sistema de chave pública-privada onde a chave privada nunca sai do dispositivo do usuário.
Isso garante que apenas o destinatário pretendido possa descriptografar e ler informações confidenciais. Nem mesmo a Apple e o Google podem acessar o conteúdo.
Tudo isso ajuda você a alcançar maior eficiência operacional, melhor adesão do paciente, menor custo total e entrega garantida de mensagens, mesmo em altos volumes.
Para mais informações, por favor, entre em contato com a equipe da Pushwoosh.
Perguntas Frequentes
As notificações push são conformes com a HIPAA por padrão?
Não. As notificações push padrão são enviadas como texto simples que pode ser lido por qualquer pessoa com acesso ao caminho de transmissão, incluindo os servidores da Apple e do Google. Para conformidade com a HIPAA, você precisa de notificações push criptografadas que protejam as informações de saúde confidenciais durante todo o processo de entrega. Saiba mais sobre proteção de dados.
A Pushwoosh oferece criptografia em repouso?
Sim. A Pushwoosh oferece criptografia tanto em trânsito quanto em repouso. Nosso recurso de Tags Criptografadas permite especificamente que você armazene atributos de usuário confidenciais em um formato criptografado dentro da plataforma Pushwoosh. Isso impede o acesso não autorizado a informações potencialmente confidenciais usadas para fins de segmentação ou análise.
Posso enviar PHI em mensagens push?
Sim, mas apenas com a criptografia adequada. O serviço de mensagens push seguras da Pushwoosh usa criptografia de ponta a ponta com um sistema de chave pública-privada.
Que tipo de dados a Pushwoosh coleta?
A Pushwoosh coleta três tipos de dados:
- Dados do dispositivo: Informações como modelo do dispositivo, versão do sistema operacional e localização aproximada
- Dados do usuário: Informações que você escolhe compartilhar com a Pushwoosh (dados demográficos, preferências)
- Dados de eventos: Ações que os usuários realizam em seu aplicativo e que você escolhe rastrear
Como a Pushwoosh protege os dados do usuário?
A Pushwoosh protege os dados do usuário por meio de várias medidas de segurança:
- Criptografia de ponta a ponta usando criptografia RSA para mensagens seguras
- Data centers com certificação ISO 27001 localizados na Alemanha
- Conformidade com o GDPR para proteção da privacidade dos dados
- Adesão aos princípios de segurança da OWASP
- Conformidade com a HIPAA verificada por avaliação independente
- Controles de acesso que limitam quem pode visualizar e gerenciar dados confidenciais
- Registros de atividades detalhados para monitoramento de segurança e verificação de conformidade
