- Salud de Magallanes - https://www.magellanhealth.com -

Declaración de cumplimiento de la HIPAA

Magellan Health (Magellan) cumple totalmente con los Estándares de HIPAA para Privacidad, Transacciones Electrónicas y Seguridad.

El Departamento de Cumplimiento Corporativo de Magellan trabaja en conjunto con cada una de las unidades de negocio, departamentos y oficinas regionales de Magellan para monitorear los esfuerzos de cumplimiento en curso y mantener varios mecanismos de informes que son requeridos por la ley o solicitados por los clientes del plan de salud de Magellan. Magellan reconoce que es un socio comercial clave con sus clientes y continuará brindando todos sus diversos servicios de atención administrada y EAP de acuerdo con los requisitos pertinentes de todas las leyes y regulaciones estatales y federales, incluida, según corresponda, HIPAA.

Privacidad

Magellan ha mantenido históricamente la privacidad de la información del paciente como un principio clave de nuestras operaciones y procesos. Magellan siempre ha implementado políticas y procedimientos de confidencialidad que han cumplido o superado las reglamentaciones estatales y federales vigentes. Nuestras numerosas políticas existentes que detallan el cumplimiento de la HIPAA y todas sus reglamentaciones de implementación (incluida la Ley HITECH y también la Regla Ómnibus de 2013) y otros requisitos relacionados con la privacidad incluyen:

  • Autorización para usar y divulgar PHI (Información de salud protegida)
  • Reglas generales para el uso y la divulgación de la PHI
  • Usos y divulgaciones de la PHI para el tratamiento, el pago y las operaciones de atención médica
  • Transmisión oral y escrita de la PHI
  • Derecho de los miembros a solicitar la protección de la privacidad de la PHI
  • Derecho del miembro a solicitar acceso a la PHI
  • Derecho del miembro a solicitar la modificación de la PHI
  • Derecho del miembro a solicitar un informe de divulgación de PHI
  • Política de verificación
  • Representación de los miembros
  • Aviso de Prácticas de Privacidad
  • Usos y divulgaciones mínimos necesarios de la PHI
  • Usos y divulgaciones de la PHI que no requieren permiso del miembro
  • Usos y divulgaciones de la PHI para marketing, recaudación de fondos y suscripción
  • Usos y divulgaciones para funciones gubernamentales especializadas
  • Usos y divulgaciones de la PHI que requieren aprobación interna previa
  • Usos y divulgaciones de la PHI para procedimientos judiciales y administrativos
  • Conjunto de datos limitado y desidentificación de la PHI
  • Usos y divulgaciones no autorizados de la PHI

Por ejemplo, estas políticas tocan algunas de las siguientes áreas:

Comunicaciones confidenciales

Magellan ha desarrollado políticas, procedimientos y flujos de trabajo para abordar las comunicaciones confidenciales. También trabajamos con nuestros clientes para implementar procedimientos para coordinar las solicitudes de los miembros de direcciones alternativas o métodos de comunicación de PHI.

Contabilidad de las divulgaciones

A través de HIPAA, los miembros tienen derecho a recibir un informe de ciertas divulgaciones de su PHI realizadas por entidades cubiertas en los seis años anteriores a la fecha en que se solicitó el informe. Magellan ha desarrollado e implementado una base de datos para gestionar el seguimiento de todas las divulgaciones sobre las que los miembros tienen derecho a una rendición de cuentas. También realizaremos auditorías rutinarias realizadas por nuestro Departamento de Cumplimiento Corporativo.

Derecho de acceso y modificación

Los miembros tienen derecho a inspeccionar y copiar la información médica protegida sobre sí mismos, lo que les permite comprender la naturaleza de su información médica y solicitar que enmendemos o corrijamos cualquier error percibido. Magellan cuenta con procedimientos para proteger estos derechos de los miembros.

En resumen, Magellan actualmente cumple con todas las leyes federales y estatales aplicables con respecto a la confidencialidad de la PHI. Magellan brinda capacitación en HIPAA a su personal con énfasis en la privacidad y confidencialidad del paciente. En los casos en los que el personal clínico cree que la ley estatal puede prevalecer sobre la HIPAA o cuando la HIPAA se adelanta a la ley estatal, remiten sus preguntas al Departamento Legal de la empresa. El Departamento Legal responde a las preguntas basándose en un análisis preventivo para garantizar que cumplimos con la más estricta de las dos leyes.

Transacciones y conjuntos de códigos

Magellan cumple plenamente con la regulación de Transacciones y Conjuntos de Códigos de HIPAA y ha asumido una posición de liderazgo dentro de la industria al trabajar para establecer los conjuntos de códigos aceptados para la atención de la salud conductual administrada con los grupos nacionales de establecimiento de estándares.

Magellan cumple con ANSI X12N, Versión 5010 con los Addenda. Para hacer frente al reto de cumplir los requisitos de los conjuntos de códigos y transacciones, hemos completado el desarrollo de una nueva estrategia de intercambio electrónico de datos (EDI). Hemos implantado los productos de software de EDIFEC: XEngine (versión 9.2.2.10000), XEServer (versión 9.2.2.10000) y Transaction Management (versión 9.2.06) para el intercambio de mensajes entre aplicaciones de software, plataformas informáticas y protocolos de comunicación. Magellan utilizará XEngine para validar que los mensajes son compatibles con X12 y, a continuación, analiza el X12 en elementos individuales para asignar la información a nuestros sistemas host para su procesamiento. Este paquete de productos incluye
las plantillas para las transacciones estándar de la HIPAA.

Seguridad

La Seguridad Cibernética, la Seguridad del Personal y la Seguridad Física de Magellan tienen la tarea de garantizar que la información de salud de los miembros esté protegida mientras reposa en nuestros sistemas y cuando se intercambia por medios electrónicos. Para abordar esto, hemos implementado salvaguardas técnicas, físicas y administrativas para mejorar:

  • Seguridad Física
  • Seguridad del personal
  • Ciberseguridad

Magellan ha adoptado un enfoque de seguridad de múltiples capas, proporcionando protección perimetral, operaciones segregadas, negocios y arquitecturas administrativas junto con medidas de protección adicionales asociadas con nuestra presencia externa, en la nube y en el sitio web. Magellan también supervisa todas estas interfaces para identificar tráfico inapropiado o no autorizado, acceso, correo electrónico y/o intentos de conexión a los sistemas de Magellan.

Magellan ha redactado y ratificado políticas y procedimientos de seguridad para cumplir las normas de conformidad, así como para consolidar las mejores prácticas empresariales de seguridad. Se han implementado procedimientos para apoyar estas políticas de manera que complementen y sigan cada política para su estandarización. Las políticas que se han ratificado hasta la fecha son:

  • Uso aceptable
  • Control de acceso
  • Gestión de activos
  • Registro y supervisión de auditorías
  • Gestión del cambio
  • Seguridad en la nube
  • Gestión de la configuración
  • Protección de datos
  • Calendario de conservación de datos
  • Recuperación en caso de catástrofe y continuidad de la actividad
  • Seguridad del correo electrónico
  • Gestión del cifrado
  • Protección de endpoints
  • Programa de ciberseguridad empresarial
  • Gestión de identidades y contraseñas
  • Respuesta a incidentes
  • Gobernanza de la información
  • Gestión de riesgos informáticos
  • Sensibilidad de la información
  • Protección de los medios de comunicación
  • Dispositivo móvil
  • Seguridad de las redes
  • Gestión de parches y vulnerabilidades
  • Evaluación de la seguridad y autorización
  • Concienciación y formación en materia de seguridad
  • Ciclo de vida del desarrollo de software seguro
  • Gestión de riesgos de proveedores

Firewalls/Servicios de detección de intrusos (IDS)

Magellan emplea los últimos estándares tecnológicos y equipos en relación con la protección de la infraestructura interna crítica. Todos los cortafuegos son desplegados, supervisados y gestionados por personal cualificado y dedicado de Magellan. Todos los equipos de protección perimetral se instalan, parchean y mantienen de acuerdo con las normas del fabricante y las mejores prácticas de seguridad para garantizar la mejor protección posible.

Existe una estructura DMZ (zona desmilitarizada) tradicional para dar soporte a nuestras necesidades de comercio electrónico y está supervisada y gestionada por personal cualificado de Magellan mediante un sistema de detección y prevención de intrusiones (IDS/IPS) de última generación. El IDS/IPS se supervisa 24 horas al día, siete días a la semana, 365 días al año mediante un sistema automatizado de alertas de seguridad y correlación de registros. El Equipo de Respuesta a Incidentes de Magellan se encarga de revisar y responder a las alertas de detección en función de una rotación de personal programada.

Auditoría/Monitoreo de la Actividad de los Sistemas

Toda la actividad de los sistemas, incluida la actividad de los usuarios, se supervisa de acuerdo con la política. Se investigarán todas las desviaciones de las prácticas aceptadas descritas en la política y se mitigarán los riesgos asociados con estos eventos en consecuencia.

Capacidades de encriptación

Correo electrónico

La seguridad de las comunicaciones por correo electrónico de Magellan requiere una combinación de varias (tres) tecnologías para proporcionar un método de entrega diverso y flexible. El método implicará el uso de redes privadas virtuales (VPN) o enlaces dedicados, una pasarela de correo electrónico cifrado y un portal de correo electrónico seguro basado en la web.

Red de área amplia (WAN)

Todas las conexiones WAN están encriptadas según las normas del sector. Todas las conexiones WAN son gestionadas por personal cualificado y dedicado de Magellan.

World Wide Web (Internet)

Todos los sitios web de Magellan orientados a Internet incorporan el uso del protocolo Transport Layer Security (TLS) versión 1.3 para proteger la información confidencial.

Publicación de información específica de la red/sistema propiedad de Magellan

Es política de Magellan no revelar detalles específicos sobre los diagramas de flujo detallados y las especificaciones técnicas del software, hardware y redes que Magellan utiliza para construir su infraestructura técnica. Se pueden proporcionar detalles específicos si se ejecutan acuerdos de confidencialidad apropiados entre Magellan y la parte solicitante.

Evaluaciones de vulnerabilidad

Magellan lleva a cabo de forma rutinaria evaluaciones de seguridad y pruebas de vulnerabilidad y mitiga cualquier problema o riesgo detectado de forma oportuna. Nuestra política es no revelar detalles concretos sobre los pormenores o resultados de las pruebas debido a la naturaleza confidencial y sensible de los datos. Magellan utiliza conjuntos de herramientas de prueba estándar del sector y contrata a agencias independientes de terceros para verificar la infraestructura de seguridad.

Instalaciones del centro de datos

Los sistemas de Magellan están alojados en un centro de datos seguro situado en Maryland Heights, Missouri. El acceso al centro de datos se controla mediante diversos procesos de seguridad física. El acceso físico se controla por puerta, hora del día y día de la semana, incluidos festivos y fines de semana. Los operadores del sistema atienden el Centro de Datos 24 horas al día, siete días a la semana, 365 días al año.

Magellan aprovecha la replicación de datos en tiempo real para las copias de seguridad de los sistemas. Las copias de seguridad se replican en nuestro centro externo de recuperación de desastres. Las copias de seguridad se mantienen fuera del sitio hasta un mes. Enviamos las copias de seguridad mensuales a AWS para que se archiven indefinidamente.

El sistema informático proporciona energía de reserva a corto plazo mediante un sistema de alimentación ininterrumpida (SAI). Un generador diesel de reserva proporciona suministro eléctrico de reserva a largo plazo. Periódicamente se realizan pruebas para comprobar la eficacia de estos sistemas.

Los centros de datos están protegidos contra incendios mediante un sistema de alarma y protección contra incendios. Los sistemas de detección están conectados a un panel de alarma del edificio y al departamento de bomberos local para su notificación inmediata. Los Centros de Datos utilizan un sistema de extinción de incendios por gas, un sistema de rociadores de tubería seca y están construidos con paredes de alta resistencia al fuego.

Recuperación ante desastres

Magellan ha contratado a SunGard Availability Services para que le proporcione un hot site preconfigurado con replicación de datos en tiempo real ubicado en Filadelfia, Pensilvania, para facilitar la continuación de los servicios de procesamiento de datos realizados en los sistemas informáticos en caso de desastre catastrófico. Nuestro enfoque aborda los siguientes puntos:

  • Posibles tipos de desastres, riesgos y probabilidades de ocurrencia que resultarían en una interrupción significativa del éxito de las operaciones
  • Planes de contingencia para garantizar la continuidad de las operaciones y minimizar el impacto
  • Una estrategia y un proceso de recuperación que defina las funciones y responsabilidades durante el período.
  • Funciones críticas del negocio y el período de interrupción máximo tolerable
  • Recursos necesarios para implementar una recuperación exitosa

Cumplimiento continuo

El Departamento de Cumplimiento Corporativo de Magellan se encarga de supervisar el cumplimiento continuo de las regulaciones de HIPAA. Este departamento cuenta con abogados, directores de cumplimiento y analistas de investigación que trabajan juntos para monitorear cualquier nuevo desarrollo y coordinar cualquier implementación necesaria de los requisitos de cumplimiento actualizados. Nuestro programa de capacitación HIPAA consiste en capacitación inicial para todos los nuevos empleados, actualizaciones anuales de capacitación para todos los empleados, capacitación en profundidad para áreas específicas y capacitación correctiva "según sea necesario". Un departamento de auditoría interna audita los departamentos corporativos y las oficinas regionales para garantizar que se implementen las medidas y procedimientos de cumplimiento adecuados.