Déclaration de conformité HIPAA

Téléchargez une copie de la déclaration de conformité HIPAA

 

Qu'est-ce que Face2Gene?

Face2Gene est une suite d'applications de phénotypage qui facilite des évaluations génétiques complètes et précises. FDNA utilise l'analyse faciale, l'apprentissage en profondeur et l'intelligence artificielle pour transformer les mégadonnées en informations génomiques exploitables afin d'améliorer et d'accélérer les diagnostics et les thérapies.

 

Contexte

Avec l'avance rapide des technologies de la santé telles que les applications médicales mobiles et le cloud computing et leur intégration croissante avec les médias sociaux tels que Facebook, la protection des données personnelles est devenue d'une importance capitale.

 

Les Centers for Medicare & Medicaid Services (CMS) fournissent des conseils sur les normes de sécurité pour la protection des EPHI (Electronic Protected Health Information). Ces conseils sont décrits dans les 45 parties CFR 160 et les 164 sous-parties A et C et sont communément appelées règle de sécurité. La règle de sécurité met en œuvre les dispositions relatives à la protection des données dans la loi HIPAA (Health Insurance Portability and Accountability Act).

 

Analyse de risque

La première sauvegarde requise dans la règle de sécurité est une analyse des risques - «Dans le cadre du processus de gestion des risques, la société effectue une analyse annuelle des risques pour ses produits en analysant la sécurité des logiciels et des données». La règle de sécurité détaille les exigences spécifiques pour les mesures de sécurité. Articles marqués (R) sont obligatoires et les éléments marqués (UNE) doivent être traités en fonction des résultats de l'analyse des risques.

 

Pour réduire les risques pour EPHI, les entités couvertes et leurs partenaires commerciaux tels que FDNA doivent mettre en œuvre les garanties techniques appropriées à leur situation commerciale - c'est la raison d'être de l'analyse des risques. La sauvegarde la plus efficace est de stocker le moins d'EPHI possible. Dans cette mesure:


Nous collectons l'EPHI minimum nécessaire pour garantir la bonne utilisation de Face2Gene. Cet EPHI peut inclure: des images faciales du patient ou d'autres fichiers de patient téléchargés, le nom du cas, la date de naissance, la date de la visite et les notes relatives au cas. Ces types de données sont stockés dans un volume de fichier crypté et ne sont pas accessibles par défaut aux autres utilisateurs de Face2Gene, sauf indication contraire explicite et active de l'utilisateur final. Tous les liens de communication numérique entre les utilisateurs et le cloud privé Face2Gene s'effectuent via des protocoles de communication sécurisés et cryptés. Un algorithme d'apprentissage automatique est appliqué de manière anonyme sur EPHI stocké dans son volume de fichiers FDNA afin de former et d'améliorer les technologies de phénotypage de nouvelle génération de FDNA. Il est de la responsabilité des utilisateurs d'obtenir le consentement approprié des patients pour télécharger EPHI dans Face2Gene.


FDNA a effectué une analyse des menaces de l'application mobile et des services Face2Gene. L'analyse des menaces a pris en compte des scénarios d'attaque impliquant la disponibilité du système, la confidentialité EPHI, l'intégrité et la disponibilité, ainsi que les attaques sur les configurations de code et de service. Les résultats de l'analyse des menaces guident la FDNA dans sa mise en œuvre des règles de sécurité.

 

Authentification de personne ou d'entité (R)

Cette sauvegarde exige qu'une entité couverte et ses fournisseurs «Mettre en œuvre des procédures pour vérifier qu'une personne ou une entité cherchant à accéder à des informations de santé électroniques protégées est bien celle revendiquée.»

L'authentification dans FDNA garantit qu'une personne est bien celle qu'elle prétend être avant d'être autorisée à accéder à certaines fonctionnalités de Face2Gene. Ceci est accompli en fournissant une preuve d'identité satisfaisante, pour attester qu'un nouvel utilisateur est un professionnel de la santé. Après avoir terminé l'enregistrement dans l'application, un nouvel utilisateur est approuvé par FDNA pour l'utilisation de l'application. L'authentification de l'utilisateur est basée sur un nom d'utilisateur de messagerie et des mots de passe forts d'au moins 7 caractères, dont au moins 1 lettre et 1 chiffres. Les nouveaux utilisateurs prétendant être des professionnels de la santé qui ne réussissent pas la vérification d'identité de FDNA se voient attribuer un compte Face2Gene limité, dans lequel toutes les fonctionnalités de partage d'informations sont désactivées, jusqu'à ce que l'état non vérifié soit modifié.

 

Contrôle d'accès

La règle de sécurité définit l'accès comme «La capacité ou les moyens nécessaires pour lire, écrire, modifier ou communiquer des données / informations ou utiliser d'une autre manière toute ressource système».

 

FDNA a implémenté le contrôle d'accès dans le système Face2Gene comme suit:

 

  1. Identification unique de l'utilisateur (R) - Une identification unique de l'utilisateur est fournie aux utilisateurs finaux dans l'application mobile Face2Gene et aux administrateurs système et développeurs de logiciels. L'authentification et l'octroi de l'accès aux services Web consommés par l'application du combiné sont effectués à l'aide d'un protocole d'échange de jetons.
  2. Procédure d'accès d'urgence (R) - Les utilisateurs finaux de l'application mobile Face2Gene disposent d'une procédure de récupération de mot de passe en ligne et peuvent accéder à leurs données via le mobile.
  3. Déconnexion automatique (A): l'application mobile se déconnecte automatiquement après 48 heures d'inactivité.
  4. Cryptage et décryptage (A) - EPHI (images photographiques faciales) est stocké sur un volume de fichier serveur crypté.


Politique relative aux appareils mobiles

Outre les exigences des règles de sécurité pour le contrôle d'accès, FDNA se rend compte que les applications mobiles innovantes telles que Face2Gene font partie d'un environnement informatique mobile diversifié qui introduit de nouvelles menaces et nécessite des contre-mesures de sécurité appropriées. Dans le cas où un utilisateur aurait un appareil mobile perdu ou volé, un utilisateur peut désauthentifier l'appareil à distance, via le support FDNA.

 

Les utilisateurs de Face2Gene sont encouragés à utiliser des fonctionnalités de sécurité au niveau de l'appareil, telles que la demande d'un mot de passe ou d'un code PIN lorsque l'écran est allumé pour fournir une couche de protection supplémentaire.

 

Dans un environnement de réseau d'entreprise, FDNA permet aux services informatiques des organisations de soins de santé, tels que les hôpitaux, de mettre en œuvre les contre-mesures de sécurité spécifiques suivantes en fonction de leur politique de périphérique mobile à l'aide du logiciel MDM (gestion des périphériques mobiles):

 

  1. Distribution et livraison contrôlées de l'application Face2Gene à l'aide d'un outil tel que Mobile Iron Enterprise App Storefront.
  2. Verrouillage et effacement à distance qui permet aux administrateurs informatiques de supprimer à distance les données sensibles de l'appareil.
  3. Permettez aux administrateurs informatiques d'ajouter / supprimer des utilisateurs et de réinitialiser les mots de passe.
  4. Désactivez la persistance des images sur le stockage local iOS (sous réserve de la politique de sécurité des appareils mobiles).
  5. Such features require installing an enterprise version of Face2Gene under a separate license. To learn more about an enterprise license of Face2Gene, please contact [email protected]

 

Contrôles d'audit

Les mesures de sauvegarde des contrôles d'audit exigent qu'une entité couverte «Mettre en œuvre du matériel, des logiciels et / ou des mécanismes procéduraux qui enregistrent et examinent l'activité des systèmes d'information qui contiennent ou utilisent des informations de santé protégées par voie électronique.» FDNA maintient des journaux d'audit complets sur ses serveurs cloud:

 

  1. Contenu des contrôles d'audit: accès et toutes les tentatives de connexion infructueuses. Messages au niveau du système tels que l'exécution de travaux planifiée et les messages liés au serveur de messagerie.
  2. Réduction des audits et génération de rapports: les journaux sont conservés et parcourus un cycle de conservation de 7 jours. Les rapports peuvent être produits sur demande.
  3. Conservation des enregistrements d'audit: les journaux parcourent une période de conservation de 7 jours.
  4. Connexions infructueuses: documentées dans auth.log.


Sécurité de la transmission

Les mesures de sécurité du transport exigent qu'une entité couverte: «Mettre en œuvre des mesures de sécurité techniques pour se prémunir contre tout accès non autorisé aux informations de santé électroniques protégées transmises sur un réseau de communications électroniques.» Ceux-ci inclus:

 

  1. Contrôles d'intégrité (A) - Mettre en œuvre des mesures de sécurité pour s'assurer que les informations de santé protégées électroniques transmises par voie électronique ne sont pas modifiées de manière inappropriée sans détection jusqu'à leur élimination.
  2. Cryptage (A) - Mettre en œuvre un mécanisme pour crypter les informations de santé électroniques protégées chaque fois que cela est jugé approprié.

 

Face2Gene crypte la connexion entre l'appareil mobile et les services cloud en utilisant SSL (Secure sockets layer). La connexion est chiffrée à l'aide de AES_256_CBC, avec SHA1 pour l'authentification des messages et DHE_RSA comme mécanisme d'échange de clés.

 

Résumé
Face2Gene est une application mobile de recherche et de référence génétique unique et innovante, alimentée par la technologie de phénotypage intelligent. FDNA a mis en œuvre les garanties de règles de sécurité appropriées dans le cadre d'un engagement d'entreprise à protéger les données personnelles grâce à un programme de gestion de la sécurité et de la conformité solide.

 

Mis à jour août 20, 2018

 

Téléchargez une copie de la déclaration de conformité HIPAA

La FDNA Telehealth peut vous rapprocher d'un diagnostic.
Planifiez une réunion de conseil ginitique en ligne dans les 72 heures!

EspañolDeutschPortuguêsFrançaisEnglish