Все больше приложений обрабатывают данные о здоровье.
Даже если вы не являетесь поставщиком медицинских услуг, ваше приложение может собирать информацию, подпадающую под действие правил HIPAA.
Обычные push-уведомления небезопасны для таких конфиденциальных данных. Они передаются в виде обычного текста через несколько серверов, что создает риски для безопасности и соответствия требованиям.
Pushwoosh разрабатывает технологию push-уведомлений с 2014 года. Недавно мы добились соответствия требованиям HIPAA и знаем, что нужно для внедрения надлежащего шифрования для конфиденциальных сообщений.
В этом руководстве мы подробно разберем шифрование push-уведомлений и покажем, как правильно его внедрить для обеспечения соответствия требованиям и вовлечения пользователей.
Почему соответствие требованиям HIPAA важно для push-уведомлений
Закон о преемственности и подотчетности медицинского страхования (HIPAA) требует от организаций защищать информацию о пациентах.
Это касается любых данных, отправляемых через push-уведомления, поскольку они часто содержат конфиденциальную информацию, такую как напоминания о приеме, результаты анализов и обновления о лечении.
В частности, вам необходимо:
- Шифрование всех данных о здоровье при передаче
- Контроль доступа, ограничивающий круг лиц, которые могут отправлять уведомления
- Журналы аудита, документирующие, когда и кому отправляются уведомления
- Надлежащее реагирование на любые утечки данных
Push-уведомления, не соответствующие требованиям, создают серьезные риски, включая утечки данных из-за перехвата сообщений, нарушения HIPAA со штрафами, ущерб репутации и возможные судебные иски.
Чтобы снизить эти риски, первой линией защиты является надежное шифрование push-уведомлений.
Что такое шифрование push-уведомлений
Шифрование push-уведомлений — это метод безопасности, который преобразует содержимое сообщения в защищенный код, который может расшифровать только предполагаемый получатель.
Он защищает конфиденциальную информацию, такую как данные о здоровье, от несанкционированного доступа. В отличие от незашифрованных сообщений, которые могут быть перехвачены и прочитаны в виде обычного текста.
Существует два основных типа шифрования для push-уведомлений:
-
Шифрование при передаче использует протоколы TLS/SSL для защиты данных во время их перемещения между системами. Это обеспечивает базовую безопасность, но оставляет содержимое читаемым на каждом сервере, через который оно проходит.
-
Сквозное шифрование защищает данные на всем пути от отправителя до получателя. Сообщение остается зашифрованным в каждой промежуточной точке, включая серверы Apple и Google.
Однако соответствие требованиям HIPAA — это не только шифрование сообщений.
Вам также необходимо защищать ключи шифрования, ограничивать круг лиц, которые могут отправлять уведомления о здоровье, и вести учет всех действий, связанных с обменом сообщениями.
Pushwoosh обеспечивает выполнение всех этих требований безопасности благодаря нашей инфраструктуре, соответствующей требованиям HIPAA.
Основные сценарии использования зашифрованных уведомлений
Рассмотрим ключевые примеры, когда зашифрованные push-уведомления необходимы.
Напоминания о приеме
Все push-уведомления о медицинских приемах должны быть зашифрованы, даже если они содержат минимум информации, согласно требованиям HIPAA.
Это связано с тем, что они устанавливают документированную связь между пациентом и медицинскими услугами и обычно содержат глубокие ссылки на экраны с подробной защищенной медицинской информацией (PHI), такой как данные о враче и история болезни.
Уведомления о результатах анализов
Уведомления о результатах анализов также требуют шифрования для защиты личности пациента и факта проведения медицинского обследования (и то, и другое классифицируется как PHI в соответствии с HIPAA).
Глубокие ссылки в этих уведомлениях ведут на экраны, содержащие подробную медицинскую информацию.
Напоминания о приеме лекарств
Оповещения о приеме лекарств требуют шифрования, поскольку они документируют конфиденциальную информацию о пациентах, такую как статус лечения и график приема препаратов.
Само уведомление подтверждает, что пациент проходит активное лечение, что является защищенной медицинской информацией.
Оповещения о сеансах телемедицины
Напоминания о виртуальных приемах требуют шифрования для защиты личности пациента и факта использования медицинских услуг (оба элемента являются PHI).
Эти уведомления подтверждают наличие продолжающихся лечебных отношений, которые подпадают под защиту HIPAA.
Обновления от поставщика услуг
Уведомления для общения защищают отношения между пациентом и поставщиком услуг и обеспечивают непрерывность информации о лечении. Они также подтверждают, что в настоящее время оказывается активная медицинская помощь.
Уведомления от wellness-приложений (при связи с медицинскими учреждениями)
Для wellness-приложений, которые сотрудничают с поставщиками медицинских услуг или страховыми компаниями, push-уведомления о показателях здоровья или персонализированных рекомендациях должны быть зашифрованы в соответствии с HIPAA.
☝️ Независимые потребительские приложения по закону не обязаны использовать шифрование, но это рекомендуется для обеспечения конфиденциальности и доверия пользователей.
Уведомления о ментальном здоровье
Напоминания об отслеживании настроения, подсказки для терапевтических упражнений и инсайты о ментальном здоровье содержат конфиденциальную информацию, которая заслуживает такого же уровня защиты, как и данные о физическом здоровье.
Обновления о здоровье на рабочем месте
Корпоративные приложения, отправляющие оповещения о медицинских осмотрах, страховых льготах или инцидентах, связанных со здоровьем на рабочем месте, должны защищать любую персонально идентифицируемую медицинскую информацию.
Уведомления о фитнес-достижениях (в рамках программ здравоохранения)
Когда фитнес-приложения сотрудничают с поставщиками медицинских услуг или страховыми компаниями, даже мотивационные уведомления о шагах, тренировках или целях в области здоровья могут требовать доставки, соответствующей требованиям HIPAA.
Ключевые требования HIPAA для push-уведомлений
Зашифрованные push-уведомления — это лишь одна часть головоломки соответствия требованиям HIPAA.
Чтобы должным образом защитить данные пациентов в ваших мобильных коммуникациях, необходимо уделить внимание этим пяти областям:
| Категория требования | Что это значит для push-уведомлений |
|---|---|
| Триада ЦРУ: Конфиденциальность, целостность, доступность | Ваши push-уведомления должны быть: Конфиденциальными: их видят только предполагаемые получатели. Целостными: содержимое не изменяется во время доставки. Доступными: сообщения доставляются надежно. |
| Технические меры защиты | Шифруйте сообщения от начала до конца. Контролируйте, кто может отправлять и получать конфиденциальные уведомления. Ведите учет всех действий с уведомлениями. |
| Административные меры защиты | Имейте письменные правила обработки данных пациентов. Обучайте свою команду этим правилам. Регулярно проверяйте наличие уязвимостей в системе безопасности. |
| Физические меры защиты | Защищайте физические серверы и компьютеры. Обеспечьте безопасность мест хранения данных уведомлений. Защищайте устройства, используемые для отправки уведомлений. |
| Соглашения о деловом партнерстве (BAA) — критически важное требование | Требуйте от сервисов уведомлений подписания Соглашения о деловом партнерстве. Возлагайте на поставщиков юридическую ответственность за защиту данных пациентов. Защитите себя от ответственности в случае ненадлежащего обращения поставщиков с информацией. |
Pushwoosh: партнер, соответствующий требованиям HIPAA, который предлагает больше
Большинство платформ для обмена сообщениями не создавались с приоритетом на шифрование данных.
Pushwoosh использует другой подход, предлагая:
-
Безопасность, сертифицированная по HIPAA: Наша платформа недавно прошла комплексную оценку от Riskpro India, подтверждающую нашу защиту данных пациентов
-
Сквозное шифрование: Конфиденциальная информация остается защищенной от создания до доставки с использованием надежного шифрования RSA
-
Омниканальное покрытие: Безопасный обмен сообщениями через push, in-app, email, SMS, WhatsApp и Line
-
Простое внедрение: Удобные для разработчиков API и бесшовная интеграция с существующими системами здравоохранения
В отличие от обычных уведомлений, безопасный обмен сообщениями Pushwoosh использует систему с открытым и закрытым ключами, где закрытый ключ никогда не покидает устройство пользователя.
Это гарантирует, что только предполагаемый получатель может расшифровать и прочитать конфиденциальную информацию. Даже Apple и Google не могут получить доступ к содержимому.
Все это помогает вам достичь более высокой операционной эффективности, улучшить приверженность пациентов лечению, снизить общие затраты и гарантировать доставку сообщений даже при больших объемах.
За дополнительной информацией, пожалуйста, свяжитесь с командой Pushwoosh.
Часто задаваемые вопросы
Являются ли push-уведомления по умолчанию соответствующими требованиям HIPAA?
Нет. Стандартные push-уведомления отправляются в виде обычного текста, который может прочитать любой, у кого есть доступ к пути передачи, включая серверы Apple и Google. Для соответствия требованиям HIPAA вам необходимы зашифрованные push-уведомления, которые защищают конфиденциальную медицинскую информацию на протяжении всего процесса доставки. Узнайте больше о защите данных.
Предлагает ли Pushwoosh шифрование данных в состоянии покоя?
Да. Pushwoosh предлагает как шифрование при передаче, так и в состоянии покоя. Наша функция Encrypted Tags (Зашифрованные теги) позволяет хранить конфиденциальные атрибуты пользователей в зашифрованном формате на платформе Pushwoosh. Это предотвращает несанкционированный доступ к потенциально конфиденциальной информации, используемой для таргетинга или аналитики.
Могу ли я отправлять PHI в push-сообщениях?
Да, но только при наличии надлежащего шифрования. Безопасный обмен push-сообщениями в Pushwoosh использует сквозное шифрование с системой открытого и закрытого ключей.
Какие данные собирает Pushwoosh?
Pushwoosh собирает три типа данных:
- Данные устройства: информация, такая как модель устройства, версия ОС и приблизительное местоположение
- Данные пользователя: информация, которой вы решаете поделиться с Pushwoosh (демография, предпочтения)
- Данные о событиях: действия, которые пользователи совершают в вашем приложении и которые вы решаете отслеживать
Как Pushwoosh защищает данные пользователей?
Pushwoosh защищает данные пользователей с помощью нескольких мер безопасности:
- Сквозное шифрование с использованием RSA-шифрования для безопасного обмена сообщениями
- Центры обработки данных, сертифицированные по ISO 27001, расположенные в Германии
- Соответствие GDPR для защиты конфиденциальности данных
- Соблюдение принципов безопасности OWASP
- Соответствие требованиям HIPAA, подтвержденное независимой оценкой
- Контроль доступа, ограничивающий круг лиц, которые могут просматривать и управлять конфиденциальными данными
- Подробные журналы активности для мониторинга безопасности и проверки соответствия требованиям
