- Salud de Magallanes - https://www.magellanhealth.com -

Declaración de cumplimiento de la HIPAA

Magellan Health (Magellan) cumple totalmente con los Estándares de HIPAA para Privacidad, Transacciones Electrónicas y Seguridad.

El Departamento de Cumplimiento Corporativo de Magellan trabaja en conjunto con cada una de las unidades de negocio, departamentos y oficinas regionales de Magellan para monitorear los esfuerzos de cumplimiento en curso y mantener varios mecanismos de informes que son requeridos por la ley o solicitados por los clientes del plan de salud de Magellan. Magellan reconoce que es un socio comercial clave con sus clientes y continuará brindando todos sus diversos servicios de atención administrada y EAP de acuerdo con los requisitos pertinentes de todas las leyes y regulaciones estatales y federales, incluida, según corresponda, HIPAA.

Privacidad

Magellan siempre ha considerado la privacidad de la información de los pacientes como un principio fundamental de nuestras operaciones y procesos. Magellan siempre ha implementado políticas y procedimientos de confidencialidad que cumplen o superan las regulaciones estatales y federales vigentes. Nuestras numerosas políticas existentes que detallan el cumplimiento de la HIPAA y todas sus regulaciones de implementación (incluidas la Ley HITECH y la Regla Ómnibus de 2013, así como otros requisitos relacionados con la privacidad) incluyen:

  • Autorización para usar y divulgar PHI (Información de salud protegida)
  • Reglas generales para el uso y la divulgación de la PHI
  • Usos y divulgaciones de la PHI para el tratamiento, el pago y las operaciones de atención médica
  • Transmisión oral y escrita de la PHI
  • Derecho de los miembros a solicitar la protección de la privacidad de la PHI
  • Derecho del miembro a solicitar acceso a la PHI
  • Derecho del miembro a solicitar la modificación de la PHI
  • Derecho del miembro a solicitar un informe de divulgación de PHI
  • Política de verificación
  • Representación de los miembros
  • Aviso de Prácticas de Privacidad
  • Usos y divulgaciones mínimos necesarios de la PHI
  • Usos y divulgaciones de la PHI que no requieren permiso del miembro
  • Usos y divulgaciones de la PHI para marketing, recaudación de fondos y suscripción
  • Usos y divulgaciones para funciones gubernamentales especializadas
  • Usos y divulgaciones de la PHI que requieren aprobación interna previa
  • Usos y divulgaciones de la PHI para procedimientos judiciales y administrativos
  • Conjunto de datos limitado y desidentificación de la PHI
  • Usos y divulgaciones no autorizados de la PHI

Por ejemplo, estas políticas tocan algunas de las siguientes áreas:

Comunicaciones confidenciales

Magellan ha desarrollado políticas, procedimientos y flujos de trabajo para abordar las comunicaciones confidenciales. También trabajamos con nuestros clientes para implementar procedimientos para coordinar las solicitudes de los miembros de direcciones alternativas o métodos de comunicación de PHI.

Contabilidad de las divulgaciones

A través de HIPAA, los miembros tienen derecho a recibir un informe de ciertas divulgaciones de su PHI realizadas por entidades cubiertas en los seis años anteriores a la fecha en que se solicitó el informe. Magellan ha desarrollado e implementado una base de datos para gestionar el seguimiento de todas las divulgaciones sobre las que los miembros tienen derecho a una rendición de cuentas. También realizaremos auditorías rutinarias realizadas por nuestro Departamento de Cumplimiento Corporativo.

Derecho de acceso y modificación

Los miembros tienen derecho a inspeccionar y copiar la información médica protegida sobre sí mismos, lo que les permite comprender la naturaleza de su información médica y solicitar que enmendemos o corrijamos cualquier error percibido. Magellan cuenta con procedimientos para proteger estos derechos de los miembros.

En resumen, Magellan actualmente cumple con todas las leyes federales y estatales aplicables con respecto a la confidencialidad de la PHI. Magellan brinda capacitación en HIPAA a su personal con énfasis en la privacidad y confidencialidad del paciente. En los casos en los que el personal clínico cree que la ley estatal puede prevalecer sobre la HIPAA o cuando la HIPAA se adelanta a la ley estatal, remiten sus preguntas al Departamento Legal de la empresa. El Departamento Legal responde a las preguntas basándose en un análisis preventivo para garantizar que cumplimos con la más estricta de las dos leyes.

Transacciones y conjuntos de códigos

Magellan cumple plenamente con la regulación de Transacciones y Conjuntos de Códigos de HIPAA y ha asumido una posición de liderazgo dentro de la industria al trabajar para establecer los conjuntos de códigos aceptados para la atención de la salud conductual administrada con los grupos nacionales de establecimiento de estándares.

Magellan cumple con la norma ANSI X12N, versión 5010 con la adenda. Para hacer frente al reto de cumplir con los requisitos de transacciones y conjuntos de códigos, hemos completado el desarrollo de una nueva estrategia de intercambio electrónico de datos (EDI). Hemos implementado los productos de software de EDIFEC: XEngine (versión 9.3.3.15082), XEServer (versión 9.3.3.14514) y Transaction Management (versión 9.2.3.18) para el intercambio de mensajes entre aplicaciones de software, plataformas informáticas y protocolos de comunicación. Magellan utilizará XEngine para validar que los mensajes cumplen con el estándar X12 y, a continuación, analizará el X12 en elementos individuales para mapear la información a nuestros sistemas host para su procesamiento. Esta suite de productos incluye las plantillas para las transacciones estándar HIPAA.

Seguridad

El programa de ciberseguridad de Magellan protege la información médica protegida (PHI) a lo largo de todo su ciclo de vida, de conformidad con la norma de seguridad HIPAA (45 CFR §164.300–318). Magellan emplea una arquitectura de seguridad por capas respaldada por medidas de protección administrativas, físicas y técnicas, que incluyen la autenticación multifactorial (MFA), el control de acceso basado en roles, la segmentación segura de la red, el cifrado de los datos en tránsito y en reposo, la supervisión continua y la protección física de los centros de datos. Estas medidas de protección funcionan conjuntamente para proteger la confidencialidad, la integridad y la disponibilidad de la PHI en todos los sistemas y entornos de Magellan.

Magellan ha adoptado un enfoque de seguridad multicapa, que proporciona protección perimetral, operaciones segregadas y arquitecturas empresariales y administrativas, junto con medidas de protección adicionales asociadas a nuestra presencia externa, en la nube y en el sitio web. Magellan también supervisa estas interfaces para identificar tráfico, accesos, correos electrónicos y/o intentos de conexión a los sistemas de Magellan inapropiados o no autorizados.

Magellan lleva a cabo análisis de riesgos y actividades de gestión de riesgos de forma continua para evaluar los riesgos potenciales para la PHI e implementa medidas para reducir estos riesgos a niveles razonables y adecuados, de conformidad con la Norma de Seguridad de la HIPAA. El acceso a los sistemas que contienen PHI se concede en función de controles de acceso basados en roles y se revisa periódicamente. Los miembros de la plantilla reciben formación sobre seguridad HIPAA en el momento de su contratación y anualmente. Magellan también mantiene procedimientos de protección de dispositivos y soportes, incluyendo la eliminación segura y la desinfección de datos para garantizar la confidencialidad e integridad de la PHI.

Magellan ha redactado y ratificado políticas y procedimientos de seguridad para cumplir con las normas de cumplimiento, así como para consolidar las mejores prácticas empresariales. Se han implementado procedimientos para respaldar estas políticas de manera que complementen y sigan cada política para la estandarización. Las políticas que se han ratificado hasta la fecha son:

  • Uso aceptable
  • Control de acceso
  • Gobernanza de la inteligencia artificial
  • Gestión de activos
  • Registro y supervisión de auditorías
  • Gestión del cambio
  • Seguridad en la nube
  • Gestión de la configuración
  • Protección de datos
  • Calendario de conservación de datos
  • Tecnologías de la información: copias de seguridad, recuperación tras catástrofes y continuidad de las actividades
  • Seguridad del correo electrónico
  • Gestión del cifrado
  • Protección de endpoints
  • Programa de ciberseguridad empresarial
  • Gestión de identidades y contraseñas
  • Respuesta a incidentes
  • Gobernanza de datos
  • Gestión de riesgos de ciberseguridad
  • Sensibilidad de la información
  • Protección de los medios de comunicación
  • Dispositivo móvil
  • Seguridad de las redes
  • Gestión de parches y vulnerabilidades
  • Evaluación de la seguridad y autorización
  • Concienciación y formación en materia de seguridad
  • Ciclo de vida del desarrollo de software seguro
  • Gestión del ciberriesgo de los proveedores

Firewalls/Servicios de detección de intrusos (IDS)

Magellan emplea los últimos estándares tecnológicos y equipos en materia de protección de la infraestructura interna crítica. Todos los cortafuegos son implementados, supervisados y gestionados por personal cualificado y dedicado de Magellan. Todos los equipos de protección perimetral se instalan, actualizan y mantienen de acuerdo con los estándares del fabricante y las mejores prácticas de seguridad para garantizar la mejor protección posible.

Existe una estructura DMZ (zona desmilitarizada) tradicional para dar soporte a nuestras necesidades de comercio electrónico y está supervisada y gestionada por personal cualificado de Magellan mediante un sistema de detección y prevención de intrusiones (IDS/IPS) de última generación. El IDS/IPS se supervisa 24 horas al día, siete días a la semana, 365 días al año mediante un sistema automatizado de alertas de seguridad y correlación de registros. El Equipo de Respuesta a Incidentes de Magellan se encarga de revisar y responder a las alertas de detección en función de una rotación de personal programada.

Auditoría/Monitoreo de la Actividad de los Sistemas

Toda la actividad de los sistemas, incluida la de los usuarios, se supervisa de acuerdo con la política. Todas las desviaciones de
Se investigarán todas las desviaciones de las prácticas aceptadas descritas en la política y se mitigarán en consecuencia los riesgos asociados a estos sucesos.

Capacidades de encriptación

Correo electrónico

La seguridad de las comunicaciones por correo electrónico de Magellan requiere una combinación de varias (tres) tecnologías para proporcionar un método de entrega diverso y flexible. El método implicará el uso de redes privadas virtuales (VPN) o enlaces dedicados, una pasarela de correo electrónico cifrada y un portal de correo electrónico seguro basado en la web.

Red de área amplia (WAN)

Todas las conexiones WAN están encriptadas según las normas del sector. Todas las conexiones WAN son gestionadas por personal cualificado y dedicado de Magellan.

World Wide Web (Internet)

Los sitios web de Magellan que están conectados a Internet incorporan el uso del protocolo Transport Layer Security (TLS) versión 1.3 para proteger la información confidencial.

Publicación de información específica de la red/sistema propiedad de Magellan

Es política de Magellan no revelar detalles específicos sobre los diagramas de flujo detallados y las especificaciones técnicas del software, hardware y redes que Magellan utiliza para construir su infraestructura técnica. Se pueden proporcionar detalles específicos si se ejecutan acuerdos de confidencialidad apropiados entre Magellan y la parte solicitante.

Evaluaciones de vulnerabilidad

Magellan realiza evaluaciones de seguridad y pruebas de vulnerabilidad de forma rutinaria y mitiga cualquier problema o riesgo detectado de manera oportuna. Nuestra política es no revelar detalles específicos sobre los resultados de las pruebas debido a la naturaleza confidencial y sensible de los datos. Magellan utiliza herramientas de prueba estándar del sector y contrata a agencias independientes externas para verificar la seguridad de la infraestructura.

Instalaciones del centro de datos

Los sistemas de Magellan se encuentran alojados en un centro de datos seguro ubicado en St. Louis, Misuri. El acceso al centro de datos se controla mediante diversos procesos de seguridad física. El acceso físico se controla mediante puertas, horarios y días de la semana, incluidos festivos y fines de semana. Los operadores del sistema trabajan en el centro de datos las 24 horas del día, los siete días de la semana, los 365 días del año.

Magellan aprovecha la replicación de datos en tiempo real para las copias de seguridad de los sistemas. Las copias de seguridad se replican en nuestro centro externo de recuperación de desastres. Las copias de seguridad se mantienen fuera del sitio hasta un mes. Enviamos las copias de seguridad mensuales a AWS para que se archiven indefinidamente.

El sistema de tecnología de la información proporciona energía de respaldo a corto plazo a través de un sistema de alimentación ininterrumpida (UPS). Un generador diésel de respaldo proporciona energía de respaldo a largo plazo. Se realizan pruebas periódicas para garantizar la eficacia y evaluar la eficiencia de estos sistemas.

Los centros de datos están protegidos contra incendios mediante un sistema de protección y alarma contra incendios. Los sistemas de detección están conectados a un panel de alarma del edificio y al departamento de bomberos local para una notificación inmediata. Los centros de datos utilizan un sistema de extinción de incendios por gas, un sistema de rociadores de tubería seca y están construidos con paredes altamente resistentes al fuego.

Recuperación ante desastres

Magellan ha contratado a un proveedor de coubicación para alojar nuestro centro de datos secundario. El sitio es un sitio activo preconfigurado con datos replicados en tiempo real en su ubicación en Filadelfia, Pensilvania. Se utiliza para facilitar la continuidad de los servicios de procesamiento de datos que se realizan en los sistemas informáticos en caso de un desastre catastrófico. Nuestro enfoque aborda los siguientes aspectos:

  • Posibles tipos de desastres, riesgos y probabilidades de ocurrencia que resultarían en una interrupción significativa del éxito de las operaciones
  • Planes de contingencia para garantizar la continuidad de las operaciones y minimizar el impacto
  • Una estrategia y un proceso de recuperación que defina las funciones y responsabilidades durante el período.
  • Funciones críticas del negocio y el período de interrupción máximo tolerable
  • Recursos necesarios para implementar una recuperación exitosa

Cumplimiento continuo

Magellan cuenta con un director de cumplimiento normativo (CCO) designado, cuya responsabilidad es implementar y supervisar el Plan de Cumplimiento Corporativo y el Departamento de Cumplimiento Corporativo. El Departamento de Cumplimiento Corporativo de Magellan también se encarga de supervisar el cumplimiento continuo de las regulaciones de la HIPAA. Este departamento trabaja en conjunto para monitorear cualquier novedad y coordinar cualquier implementación necesaria de los requisitos de cumplimiento actualizados. Nuestro programa de formación sobre la HIPAA consiste en una formación inicial para todos los nuevos empleados, cursos de actualización anuales para todos los empleados, formación en profundidad para áreas específicas y formación correctiva «según sea necesario». Un departamento de auditoría interna audita los departamentos corporativos y las oficinas regionales para garantizar que se aplican las medidas y procedimientos de cumplimiento adecuados.