ปัจจุบันมีแอปที่จัดการข้อมูลสุขภาพมากกว่าที่เคยเป็นมา
แม้ว่าคุณจะไม่ใช่ผู้ให้บริการด้านการดูแลสุขภาพ แต่แอปของคุณอาจรวบรวมข้อมูลที่อยู่ภายใต้ข้อบังคับ HIPAA
การแจ้งเตือนแบบพุชทั่วไปไม่ปลอดภัยสำหรับข้อมูลที่ละเอียดอ่อนนี้ เนื่องจากข้อมูลจะถูกส่งเป็นข้อความธรรมดาผ่านเซิร์ฟเวอร์หลายแห่ง ทำให้เกิดความเสี่ยงด้านความปลอดภัยและการปฏิบัติตามข้อกำหนด
Pushwoosh ได้สร้างเทคโนโลยีการแจ้งเตือนแบบพุชมาตั้งแต่ปี 2014 เราเพิ่งได้รับการรับรอง การปฏิบัติตามข้อกำหนด HIPAA และทราบดีว่าต้องทำอย่างไรเพื่อใช้การเข้ารหัสที่เหมาะสมสำหรับการส่งข้อความที่ละเอียดอ่อน
ในคู่มือนี้ เราจะอธิบายเกี่ยวกับการเข้ารหัสการแจ้งเตือนแบบพุชและแสดงวิธีนำไปใช้อย่างถูกต้องเพื่อให้สอดคล้องกับข้อกำหนดและสร้างการมีส่วนร่วมของผู้ใช้
ทำไมการปฏิบัติตามข้อกำหนด HIPAA จึงสำคัญสำหรับการแจ้งเตือนแบบพุช
พระราชบัญญัติความรับผิดชอบและการเคลื่อนย้ายได้ของข้อมูลประกันสุขภาพ (HIPAA) กำหนดให้องค์กรต้องปกป้องข้อมูลของผู้ป่วย
ซึ่งรวมถึงข้อมูลใดๆ ที่ส่งผ่านการแจ้งเตือนแบบพุช เนื่องจากมักมีรายละเอียดที่ละเอียดอ่อน เช่น การแจ้งเตือนนัดหมาย ผลการตรวจ และการอัปเดตการรักษา
โดยเฉพาะอย่างยิ่ง คุณต้องมี:
- การเข้ารหัสสำหรับข้อมูลสุขภาพทั้งหมดที่กำลังส่ง
- การควบคุมการเข้าถึงที่จำกัดผู้ที่สามารถส่งการแจ้งเตือนได้
- บันทึกการตรวจสอบที่บันทึกว่าการแจ้งเตือนถูกส่งเมื่อใดและถึงใคร
- การจัดการการละเมิดข้อมูลอย่างเหมาะสม
การแจ้งเตือนแบบพุชที่ไม่สอดคล้องกับข้อกำหนดจะสร้างความเสี่ยงร้ายแรง รวมถึงการรั่วไหลของข้อมูลจากการดักจับข้อความ การละเมิด HIPAA ที่มีโทษปรับ ชื่อเสียงที่เสียหาย และการฟ้องร้องที่อาจเกิดขึ้น
เพื่อลดความเสี่ยงเหล่านี้ แนวป้องกันด่านแรกคือการเข้ารหัสการแจ้งเตือนแบบพุชที่แข็งแกร่ง
คำอธิบายการเข้ารหัสการแจ้งเตือนแบบพุช
การเข้ารหัสการแจ้งเตือนแบบพุชเป็นวิธีการรักษาความปลอดภัยที่แปลงเนื้อหาข้อความเป็นรหัสป้องกันซึ่งมีเพียงผู้รับที่ต้องการเท่านั้นที่สามารถถอดรหัสได้
มันช่วยปกป้องข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลสุขภาพ จากการเข้าถึงโดยไม่ได้รับอนุญาต ซึ่งแตกต่างจากข้อความที่ไม่ได้เข้ารหัสซึ่งสามารถถูกดักจับและอ่านเป็นข้อความธรรมดาได้
การเข้ารหัสสำหรับการแจ้งเตือนแบบพุชมีสองประเภทหลัก:
-
การเข้ารหัสระหว่างการส่ง (Encryption in transit) ใช้โปรโตคอล TLS/SSL เพื่อปกป้องข้อมูลขณะที่เคลื่อนย้ายระหว่างระบบ ซึ่งให้ความปลอดภัยขั้นพื้นฐาน แต่เนื้อหายังคงสามารถอ่านได้ที่เซิร์ฟเวอร์แต่ละแห่งที่ข้อมูลผ่าน
-
การเข้ารหัสจากต้นทางถึงปลายทาง (End-to-end encryption) ปกป้องข้อมูลตั้งแต่ผู้ส่งจนถึงผู้รับ ข้อความจะยังคงถูกเข้ารหัสในทุกจุดระหว่างทาง รวมถึงเซิร์ฟเวอร์ของ Apple และ Google
อย่างไรก็ตาม การปฏิบัติตามข้อกำหนด HIPAA นั้นเป็นมากกว่าแค่การเข้ารหัสข้อความ
คุณยังต้องปกป้องคีย์เข้ารหัส จำกัดผู้ที่สามารถส่งการแจ้งเตือนเกี่ยวกับสุขภาพ และเก็บบันทึกกิจกรรมการส่งข้อความทั้งหมด
Pushwoosh รับประกันข้อกำหนดด้านความปลอดภัยทั้งหมดนี้ผ่าน โครงสร้างพื้นฐานที่สอดคล้องกับ HIPAA ของเรา
กรณีการใช้งานชั้นนำสำหรับการแจ้งเตือนที่เข้ารหัส
มาดูตัวอย่างสำคัญของกรณีที่จำเป็นต้องใช้การแจ้งเตือนแบบพุชที่เข้ารหัสกัน
การแจ้งเตือนนัดหมาย
การแจ้งเตือนแบบพุชทั้งหมดสำหรับการนัดหมายด้านการดูแลสุขภาพจะต้องถูกเข้ารหัส แม้ว่าจะมีข้อมูลเพียงเล็กน้อยก็ตาม ตามที่ HIPAA กำหนด
เนื่องจากเป็นการสร้างการเชื่อมต่อที่เป็นเอกสารระหว่างผู้ป่วยและบริการด้านการดูแลสุขภาพ และโดยทั่วไปจะรวมถึง deep links ไปยังหน้าจอที่มีข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) โดยละเอียด เช่น รายละเอียดผู้ให้บริการและประวัติทางการแพทย์
การแจ้งเตือนผลตรวจทางห้องปฏิบัติการ
การแจ้งเตือนเกี่ยวกับผลการตรวจจำเป็นต้องมีการเข้ารหัสเพื่อปกป้องตัวตนของผู้ป่วยและความจริงที่ว่ามีการทดสอบทางการแพทย์เกิดขึ้น (ซึ่งทั้งสองอย่างจัดเป็น PHI ภายใต้ HIPAA)
Deep links ในการแจ้งเตือนเหล่านี้จะเชื่อมต่อไปยังหน้าจอที่มีข้อมูลสุขภาพโดยละเอียด
การแจ้งเตือนการใช้ยา
การแจ้งเตือนการใช้ยาจำเป็นต้องมีการเข้ารหัส เนื่องจากเป็นการบันทึกข้อมูลที่ละเอียดอ่อนของผู้ป่วย เช่น สถานะการรักษาและตารางการใช้ยา
ตัวการแจ้งเตือนเองเป็นการยืนยันว่าผู้ป่วยอยู่ระหว่างการรักษา ซึ่งเป็นข้อมูลสุขภาพที่ได้รับการคุ้มครอง
การแจ้งเตือนเซสชันการแพทย์ทางไกล
การแจ้งเตือนนัดหมายเสมือนจริงจำเป็นต้องมีการเข้ารหัสเพื่อปกป้องตัวตนของผู้ป่วยและการใช้บริการด้านการดูแลสุขภาพ (ซึ่งทั้งสองอย่างเป็นองค์ประกอบของ PHI)
การแจ้งเตือนเหล่านี้ยืนยันความสัมพันธ์ในการรักษาอย่างต่อเนื่องซึ่งอยู่ภายใต้การคุ้มครองของ HIPAA
การอัปเดตจากผู้ให้บริการ
การแจ้งเตือนการสื่อสารช่วยปกป้องความสัมพันธ์ระหว่างผู้ป่วยและผู้ให้บริการ และรับประกันความต่อเนื่องของข้อมูลการดูแลรักษา นอกจากนี้ยังยืนยันว่ามีการให้การดูแลทางการแพทย์อย่างต่อเนื่อง
การแจ้งเตือนของแอปสุขภาพ (เมื่อเชื่อมต่อกับการดูแลสุขภาพ)
สำหรับแอปสุขภาพที่เป็นพันธมิตรกับผู้ให้บริการด้านการดูแลสุขภาพหรือบริษัทประกัน การแจ้งเตือนแบบพุชเกี่ยวกับตัวชี้วัดสุขภาพหรือข้อมูลเชิงลึกส่วนบุคคลจะต้องถูกเข้ารหัสตามข้อกำหนดของ HIPAA
☝️ แอปสำหรับผู้บริโภคทั่วไปไม่จำเป็นต้องเข้ารหัสตามกฎหมาย แต่แนะนำให้ทำเพื่อความเป็นส่วนตัวและความไว้วางใจของผู้ใช้
การเช็คอินสุขภาพจิต
การแจ้งเตือนการติดตามอารมณ์ การแจ้งเตือนแบบฝึกหัดบำบัด และข้อมูลเชิงลึกด้านสุขภาพจิตมีข้อมูลที่ละเอียดอ่อนซึ่งสมควรได้รับการปกป้องในระดับเดียวกับข้อมูลสุขภาพกาย
การอัปเดตสุขภาพในที่ทำงาน
แอปของบริษัทที่ส่งการแจ้งเตือนเกี่ยวกับการตรวจสุขภาพ สิทธิประโยชน์ประกัน หรือเหตุการณ์ด้านสุขภาพในที่ทำงานจำเป็นต้องรักษาความปลอดภัยของข้อมูลสุขภาพที่สามารถระบุตัวตนได้
การอัปเดตความสำเร็จด้านฟิตเนส (เมื่อเป็นส่วนหนึ่งของโปรแกรมการดูแลสุขภาพ)
เมื่อแอปฟิตเนสเป็นพันธมิตรกับผู้ให้บริการด้านการดูแลสุขภาพหรือบริษัทประกัน แม้แต่การแจ้งเตือนเพื่อสร้างแรงจูงใจเกี่ยวกับจำนวนก้าว การออกกำลังกาย หรือเป้าหมายด้านสุขภาพก็อาจต้องมีการส่งที่สอดคล้องกับ HIPAA
ข้อกำหนด HIPAA ที่สำคัญสำหรับการแจ้งเตือนแบบพุช
การแจ้งเตือนแบบพุชที่เข้ารหัสเป็นเพียงส่วนหนึ่งของจิ๊กซอว์การปฏิบัติตามข้อกำหนด HIPAA
เพื่อปกป้องข้อมูลผู้ป่วยในการสื่อสารผ่านมือถือของคุณอย่างเหมาะสม คุณต้องจัดการกับห้าด้านเหล่านี้:
| หมวดหมู่ข้อกำหนด | ความหมายสำหรับการแจ้งเตือนแบบพุช |
|---|---|
| CIA triad: การรักษาความลับ (Confidentiality), ความสมบูรณ์ (Integrity), ความพร้อมใช้งาน (Availability) | ทำให้การแจ้งเตือนแบบพุชของคุณ: เป็นส่วนตัว: เฉพาะผู้รับที่ต้องการเท่านั้นที่สามารถเห็นได้ ถูกต้อง: เนื้อหาไม่เปลี่ยนแปลงระหว่างการส่ง พร้อมใช้งาน: ข้อความถูกส่งอย่างน่าเชื่อถือ |
| มาตรการป้องกันทางเทคนิค | เข้ารหัสข้อความตั้งแต่ต้นทางถึงปลายทาง ควบคุมผู้ที่สามารถส่งและรับการแจ้งเตือนที่ละเอียดอ่อนได้ เก็บบันทึกกิจกรรมการแจ้งเตือนทั้งหมด |
| มาตรการป้องกันด้านการบริหาร | มีกฎเกณฑ์ที่เป็นลายลักษณ์อักษรสำหรับการจัดการข้อมูลผู้ป่วย ฝึกอบรมทีมของคุณเกี่ยวกับกฎเหล่านั้น ตรวจสอบจุดอ่อนด้านความปลอดภัยอย่างสม่ำเสมอ |
| มาตรการป้องกันทางกายภาพ | ปกป้องเซิร์ฟเวอร์และคอมพิวเตอร์ทางกายภาพ รักษาความปลอดภัยของสถานที่ที่จัดเก็บข้อมูลการแจ้งเตือน ปกป้องอุปกรณ์ที่ใช้ในการส่งการแจ้งเตือน |
| ข้อตกลงความร่วมมือทางธุรกิจ (BAAs)—ข้อกำหนดที่สำคัญอย่างยิ่ง | กำหนดให้ผู้ให้บริการการแจ้งเตือนลงนามในข้อตกลงความร่วมมือทางธุรกิจ (Business Associate Agreement) ทำให้ผู้ขายต้องรับผิดชอบตามกฎหมายในการปกป้องข้อมูลผู้ป่วย ปกป้องตัวเองจากความรับผิดหากผู้ขายจัดการข้อมูลอย่างไม่เหมาะสม |
Pushwoosh: พันธมิตรที่สอดคล้องกับ HIPAA ที่ทำได้มากกว่า
แพลตฟอร์มการส่งข้อความส่วนใหญ่ไม่ได้ถูกสร้างขึ้นโดยให้ความสำคัญกับการเข้ารหัสข้อมูลเป็นอันดับแรก
Pushwoosh ใช้แนวทางที่แตกต่าง โดยนำเสนอ:
-
ความปลอดภัยที่ได้รับการรับรอง HIPAA: แพลตฟอร์มของเรา เพิ่งผ่าน การประเมินที่ครอบคลุมโดย Riskpro India ซึ่งเป็นการยืนยันการปกป้องข้อมูลผู้ป่วยของเรา
-
การเข้ารหัสจากต้นทางถึงปลายทาง: ข้อมูลที่ละเอียดอ่อนยังคงได้รับการปกป้องตั้งแต่การสร้างจนถึงการส่งโดยใช้การเข้ารหัส RSA ที่ไม่สามารถถอดรหัสได้
-
ครอบคลุมทุกช่องทาง (Omnichannel): การส่งข้อความที่ปลอดภัยผ่านพุช, ในแอป, อีเมล, SMS, WhatsApp และ Line
-
การนำไปใช้งานที่ง่ายดาย: API ที่เป็นมิตรกับนักพัฒนาและการผสานรวมกับระบบการดูแลสุขภาพที่มีอยู่ได้อย่างราบรื่น
แตกต่างจากการแจ้งเตือนทั่วไป การส่งข้อความที่ปลอดภัยของ Pushwoosh ใช้ระบบกุญแจสาธารณะ-ส่วนตัว โดยที่กุญแจส่วนตัวจะไม่เคยออกจากอุปกรณ์ของผู้ใช้
สิ่งนี้ทำให้มั่นใจได้ว่ามีเพียงผู้รับที่ต้องการเท่านั้นที่สามารถถอดรหัสและอ่านข้อมูลที่ละเอียดอ่อนได้ แม้แต่ Apple และ Google ก็ไม่สามารถเข้าถึงเนื้อหาได้
ทั้งหมดนี้ช่วยให้คุณบรรลุประสิทธิภาพการดำเนินงานที่สูงขึ้น การปฏิบัติตามการรักษาของผู้ป่วยที่ดีขึ้น ต้นทุนรวมที่ต่ำลง และรับประกันการส่งข้อความแม้ในปริมาณมาก
สำหรับข้อมูลเพิ่มเติม กรุณา ติดต่อทีม Pushwoosh
คำถามที่พบบ่อย
การแจ้งเตือนแบบพุชสอดคล้องกับ HIPAA โดยค่าเริ่มต้นหรือไม่
ไม่ การแจ้งเตือนแบบพุชมาตรฐานจะถูกส่งเป็นข้อความธรรมดาที่ใครก็ตามที่สามารถเข้าถึงเส้นทางการส่งสามารถอ่านได้ รวมถึงเซิร์ฟเวอร์ของ Apple และ Google ด้วย สำหรับการปฏิบัติตามข้อกำหนด HIPAA คุณต้องใช้การแจ้งเตือนแบบพุชที่เข้ารหัสซึ่งปกป้องข้อมูลสุขภาพที่ละเอียดอ่อนตลอดกระบวนการส่งทั้งหมด เรียนรู้เพิ่มเติมเกี่ยวกับการปกป้องข้อมูล
Pushwoosh มีการเข้ารหัสข้อมูลที่จัดเก็บ (encryption at rest) หรือไม่
ใช่ Pushwoosh มีทั้งการเข้ารหัสระหว่างการส่งและขณะจัดเก็บ คุณสมบัติ Encrypted Tags ของเราช่วยให้คุณสามารถจัดเก็บแอตทริบิวต์ผู้ใช้ที่ละเอียดอ่อนในรูปแบบที่เข้ารหัสภายในแพลตฟอร์ม Pushwoosh ได้โดยเฉพาะ ซึ่งจะช่วยป้องกันการเข้าถึงข้อมูลที่อาจละเอียดอ่อนที่ใช้สำหรับการกำหนดเป้าหมายหรือการวิเคราะห์โดยไม่ได้รับอนุญาต
ฉันสามารถส่ง PHI ในข้อความพุชได้หรือไม่
ได้ แต่ต้องมีการเข้ารหัสที่เหมาะสมเท่านั้น การส่งข้อความพุชที่ปลอดภัยของ Pushwoosh ใช้การเข้ารหัสจากต้นทางถึงปลายทางด้วยระบบกุญแจสาธารณะ-ส่วนตัว
Pushwoosh รวบรวมข้อมูลประเภทใดบ้าง
Pushwoosh รวบรวมข้อมูลสามประเภท:
- ข้อมูลอุปกรณ์: ข้อมูลเช่น รุ่นอุปกรณ์, เวอร์ชัน OS และตำแหน่งโดยประมาณ
- ข้อมูลผู้ใช้: ข้อมูลที่คุณเลือกที่จะแบ่งปันกับ Pushwoosh (ข้อมูลประชากร, ความชอบ)
- ข้อมูลเหตุการณ์: การกระทำที่ผู้ใช้ทำในแอปของคุณที่คุณเลือกที่จะติดตาม
Pushwoosh ปกป้องข้อมูลผู้ใช้อย่างไร
Pushwoosh ปกป้องข้อมูลผู้ใช้ ผ่านมาตรการรักษาความปลอดภัยหลายอย่าง:
- การเข้ารหัสจากต้นทางถึงปลายทาง โดยใช้การเข้ารหัส RSA สำหรับการส่งข้อความที่ปลอดภัย
- ศูนย์ข้อมูลที่ได้รับการรับรอง ISO 27001 ซึ่งตั้งอยู่ในประเทศเยอรมนี
- การปฏิบัติตาม GDPR เพื่อการคุ้มครองความเป็นส่วนตัวของข้อมูล
- การปฏิบัติตามหลักการความปลอดภัยของ OWASP
- การปฏิบัติตามข้อกำหนด HIPAA ที่ตรวจสอบโดยการประเมินอิสระ
- การควบคุมการเข้าถึง ที่จำกัดผู้ที่สามารถดูและจัดการข้อมูลที่ละเอียดอ่อนได้
- บันทึกกิจกรรมโดยละเอียด สำหรับการตรวจสอบความปลอดภัยและการตรวจสอบการปฏิบัติตามข้อกำหนด
