Início / dba / Perguntas / 8897
Accepted
Leigh Riffel
Asked: 2011-12-08 08:46:42 +0800 CST

O Oracle Configuration Manager é compatível com HIPAA?

  • 772

O Gerenciador de Configuração da Oracle, que de acordo com a Oracle fornece uma "resolução de problemas 40% mais rápida" , viola a HIPAA ou requer configuração específica para estar em conformidade?

Esta questão diz respeito a bancos de dados que contêm Informações de Saúde Protegidas (PHI). O escopo das perguntas abrange apenas o OCM e não o escopo mais amplo do suporte Oracle acessando o banco de dados.

O seguinte da Oracle descreve o que o OCM coleta:

O Oracle Configuration Manager pode reunir automaticamente as informações de configuração das instalações de produtos Oracle e fazer upload dessas informações nos sistemas de suporte da Oracle. As informações de configuração coletadas pelo Oracle Configuration Manager incluem:
• Patches instalados
• Plataformas, datas, versões e tipo
de implantação • Componentes e aplicativos implantados
• Conteúdo dos arquivos de configuração
• Informações sobre configurações de rede

Observe que as informações coletadas pelo Oracle Configuration Manager são limitadas às informações de configuração. O utilitário não coleta dados confidenciais, como dados reais do cliente (ou seja, quaisquer dados que não sejam informações de configuração, incluindo aplicativos reais ou transações de banco de dados), valores de hash de senha, eventos de logon, etc. A nota 728985.1 do My Oracle Support fornece uma lista de todos os dados coletados pelo Oracle Configuration Manager.

De acordo com hss.gov, as seguintes informações são protegidas pela HIPAA:

A Regra de Privacidade protege todas as "informações de saúde individualmente identificáveis" mantidas ou transmitidas por uma entidade coberta ou seu parceiro de negócios, em qualquer forma ou mídia, seja eletrônica, em papel ou oral. A Regra de Privacidade chama essas informações de "informações de saúde protegidas (PHI)".12

“Informações de saúde individualmente identificáveis” são informações, incluindo dados demográficos, relacionadas a:

• a saúde ou condição física ou mental passada, presente ou futura do indivíduo,
• a prestação de cuidados de saúde ao indivíduo, ou
• o pagamento passado, presente ou futuro pela prestação de cuidados de saúde ao indivíduo,

e que identifica o indivíduo ou para o qual há uma base razoável para acreditar que pode ser usado para identificar o indivíduo.13 As informações de saúde identificáveis ​​individualmente incluem muitos identificadores comuns (por exemplo, nome, endereço, data de nascimento, CPF).

oracle vendor-support

1 respostas

  1. Best Answer

    Sim, desde que os dados transmitidos sejam monitorados de forma "razoável".

    Se o banco de dados hospedar PHI e o oracle estiver auxiliando no gerenciamento do banco de dados, você deverá ter um contrato por escrito com o fornecedor.

    Padrão: Contratos de parceiros de negócios e outros acordos. Uma entidade coberta, de acordo com §164.306, pode permitir que um parceiro de negócios crie, receba, mantenha ou transmita informações eletrônicas de saúde protegidas em nome da entidade coberta somente se a entidade coberta obtiver garantias satisfatórias, de acordo com §164.314(a) que o parceiro de negócios protegerá adequadamente as informações.

    Documente as garantias satisfatórias exigidas pelo parágrafo (b)(1) desta seção por meio de um contrato por escrito ou outro acordo com o parceiro de negócios que atenda aos requisitos aplicáveis ​​de §164.314(a).

    Você deve registrar o acesso dos fornecedores no banco de dados e garantir que eles não possam acessar o PHI.

    (A) Autorização e/ou supervisão (Endereçável). Implementar procedimentos para autorização e/ou supervisão de trabalhadores que trabalhem com informações de saúde protegidas eletronicamente ou em locais onde possam ser acessadas.

    (C) Monitoramento de login (Endereçável). Procedimentos para monitorar tentativas de login e relatar discrepâncias.

    (B) Autorização de acesso (Endereçável). Implementar políticas e procedimentos para conceder acesso a informações de saúde protegidas eletronicamente, por exemplo, por meio de acesso a uma estação de trabalho, transação, programa, processo ou outro mecanismo.

    (a)(1) Padrão: Controle de acesso. Implementar políticas e procedimentos técnicos para sistemas eletrônicos de informação que mantêm informações eletrônicas protegidas de saúde para permitir o acesso apenas às pessoas ou programas de software que receberam direitos de acesso conforme especificado em §164.308(a)(4).

    (b) Padrão: Controles de auditoria. Implemente hardware, software e/ou mecanismos de procedimentos que registrem e examinem atividades em sistemas de informação que contenham ou usem informações de saúde protegidas eletronicamente.

    Se eles acessarem o PHI, você terá que registrar o incidente e denunciá-lo.

    Consulte http://www.hhs.gov/ocr/privacy/hipaa/administrative/privacyrule/adminsimpregtext.pdf página 38 para obter mais informações sobre as políticas de TI da HIPAA.

    A coisa sobre HIPPA é que a maioria dos requisitos são vagos e pede que você tome medidas "razoáveis" para evitar uma violação de informações de PHI (ele marca esses itens como endereçáveis). Eu mesmo passei por algumas auditorias da HIPAA.

    • 3

relate perguntas