Conformité FedRAMP в здравеопазването: електронна подпис

Конвергенцията между американските облачни регулации и европейските стандарти за сигурност на здравните данни переопределя критериите за избор на цифрови инструменти в медицинския сектор. За организациите, работещи на пресечката на американския федерален пазар и европейския пазар — болници, фармацевтични лаборатории, трансnационални доставчици на здравни услуги — FedRAMP conformity в здравеопазването с електронна подпис е станала стратегическо задължение, а не просто формална клетка за отметка.

Тази статия разяснява основите на програмата FedRAMP, нейната връзка с френския сертификат HDS (Hébergeur de Données de Santé) и начина, по който защитената електронна подпис се интегрира в този двоен нормативен режим. Тя се обръща към DSI, DPO, директорите на медицински въпроси и отговорните за compliance, които трябва да правят технологични избори със значителни правни и оперативни последствия.

Разбиране на програмата FedRAMP и нейните изисквания за здравния сектор

Какво е FedRAMP?

Federal Risk and Authorization Management Program (FedRAMP) е американска държавна програма, създадена през 2011 г. под юрисдикцията на Office of Management and Budget (OMB). Тя стандартизира оценката на сигурност, разрешението и непрекъснатия надзор на облачните услуги за американските федерални агенции. През 2023 г. е подписан FedRAMP Authorization Act, окончателно кодифициран в федералния закон (44 U.S.C. § 3607).

За да получи разрешение FedRAMP, доставчик на облачни услуги (CSP) трябва да демонстрира съответствието с контролите на сигурност, дефинирани в NIST SP 800-53. Съществуват три нива на въздействие: Low, Moderate и High. В федералния здравен сектор — който включва особено Department of Veterans Affairs (VA), Department of Health and Human Services (HHS), Centers for Medicare & Medicaid Services (CMS) — нивото High се изисква често, поради чувствителността на PHI данните (Protected Health Information), покрити от HIPAA закон.

HIPAA, FedRAMP и веригата на документна conformity

Артикулирането между HIPAA (Health Insurance Portability and Accountability Act от 1996 г.) и FedRAMP създава двойно ограничение за SaaS решения с електронна подпис, развернати в федерален здравен контекст. HIPAA налага строги правила за конфиденциалност (Privacy Rule) и сигурност (Security Rule) на PHI, докато FedRAMP сертифицира, че облачната инфраструктура, на която разчита решението, отговаря на одитни и непрекъснати стандарти за сигурност.

На практика, доставчик, предлагащ решения с електронна подпис в здравеопазването на американски федерални субекти, трябва да:

• Получи или разчита на ATO (Authority to Operate) FedRAMP, издадена от спонсорираща агенция или чрез Joint Authorization Board (JAB) ;
• Подпише Business Associate Agreement (BAA) HIPAA с клиентски установи ;
• Осигури audit logging на всяко действие с подпис, в съответствие с изисквания за документна интегралност ;
• Гарантира резиденция на данни в одобрени географски региони.

Нивата на FedRAMP и тяхното въздействие върху електронната подпис

Изборът на ниво FedRAMP пряко определя техническата архитектура на решението за подпис. На ниво High, изисквания включват особено:

• AES-256 криптиране за данни в покой и TLS 1.2+ за данни по време на преглед ;
• Задължителна многофакторна аутентификация (MFA) за всички администраторски достъпи ;
• Неизменяеми журнали на одит и минимално задържане на 3 години ;
• Месечно сканиране на уязвимости и годишни тестове на пенетрация от акредитирани трети страни (3PAO — Third-Party Assessment Organization) ;
• Непрекъснато управление на инциденти с сигурност с известяване в рамките на 1 час до US-CERT.

Тези технически изисквания създават стандарт на документна сигурност, който често превишава това, което се изисква само в европейския контекст, което прави двойната conformity FedRAMP/HDS особено строга.

HDS и FedRAMP: двойната conformity за трансnационални актьори

Сертификатът HDS: френския референтен стандарт

Във Франция, hébergement de données de santé е уредено с член L.1111-8 на Code de la santé publique, допълнено от декрет n°2018-137 от 26 февруари 2018 г. Всеки hébergeur, обработващ здравни данни с личен характер за сметка на професионалисти или здравни учреждения, трябва да получи сертификат HDS, издаден от организация, аккредитирана от COFRAC.

Сертификатът HDS се основава на шест дейности на hébergement (физическа инфраструктура, виртуална инфраструктура, платформа за hébergement, администрация и експлоатация, резервна копия, управление на информационни системи) и разчита на референциали ISO/IEC 27001 и ISO/IEC 27701. За решение с електронна подпис в съответствие с европейските регулации, да бъдеш hébergé от сертифициран HDS актьор не е избираемо, когда документите, които трябва да се подпишат, съдържат здравни данни.

Точки на конвергенция и дивергенция между FedRAMP и HDS

Сравнението между двата референциала разкрива значителни точки на конвергенция, но и забележими различия:

Общи точки:

• Изисквание за документирано управление на рискове за сигурност ;
• Строги контроли за достъп и принцип на най-малко привилегия ;
• План за континуитет на дейности (PCA/BCP) и план за възстановяване след катастрофа (PRA/DRP), тестирани периодично ;
• Проследимост на достъпите до чувствителни данни.

Основни различия:

• Резиденция на данни: HDS е неутрална географски, но имплицитно благоприятства ЕС; FedRAMP обикновено изисква hébergement на американска територия (FedRAMP High често налага GovCloud специализирани) ;
• Модел на одит: FedRAMP използва акредитирани 3PAO от самата програма; HDS разчита на организации за сертификация, аккредитирани от COFRAC ;
• Цикъл на обновяване: FedRAMP налага непрекъснат надзор (ConMon) с месечни отчети; HDS изисква одит на обновяване триен.

Тези различия задължават решенията, работещи на двата пазара, да поддържат отделни облачни архитектури или да прибегнат до hyperscaler доставчици, разполагащи както с AWS GovCloud FedRAMP High ATO, така и с инфраструктура, сертифицирана HDS в Европа.

Електронната подпис като инструмент на conformity в работните потоци на здравеопазването

Вероятностна стойност и интегралност на документи

В регулирана среда като здравеопазването, правната стойност на електронната подпис разчива на два стълба: интегралност на документа (неизменност след подпис) и надежна идентификация на подписващия (аутентификация). Тези два изисквания са в центъра както на регулация eIDAS, така и на NIST стандартите, използвани от FedRAMP.

Регулацията eIDAS № 910/2014 разграничава три нива на подпис: проста (SES), напреднала (AdES) и квалифицирана (QES). В европейския здравен сектор, напредналата електронна подпис (AdES), в съответствие със стандартите ETSI EN 319 132 за XAdES, CAdES и PAdES формати, е обикновено препоръчвана за чувствителни медицински документи (информирано съгласие, електронни рецепти, файлове на клинични изследвания).

В Съединените щати, применимата рамка е ESIGN Act (Electronic Signatures in Global and National Commerce Act от 2000 г.) и UETA (Uniform Electronic Transactions Act), които признават правната валидност на електронните подписи без налагане на конкретен технически формат. Однако, в контекст на FedRAMP, техническите изисквания за сигурност (криптиране, audit trail, MFA) налагат de facto ниво, еквивалентно на европейския AdES.

Аутентификация на професионалистите в здравеопазването и цифровата идентичност

Един от конкретните предизвикателства на здравния сектор е силната аутентификация на професионалистите. Във Франция, Carte de Professionnel de Santé (CPS) и нейният цифров еквивалент e-CPS, управлявани от ANS (Agence du Numérique en Santé), представляват основата на цифровата идентичност, признавана за достъп до здравни системи и подписване на медицински документи. Интегрирането на e-CPS в решение за електронна подпис позволява достигане на ниво квалифицирана подпис (QES) за случаи, изискващи най-висока вероятностна стойност.

Със страна США, PIV (Personal Identity Verification, FIPS 201) е еквивалентния стандарт на федерална идентичност. Федералните здравни агенции често изискват PIV аутентификация за височувствителни транзакции, което налага на решенията за подпис да интегрират конектори, съвместими с тази инфраструктура.

За организациите, стремящи се да разберат пълния набор от налични опции, сравнението на решенията за електронна подпис позволява оценка на нивата на аутентификация, поддържани от всяка платформа.

Управление на цикъла на живот на здравните документи

Conformity FedRAMP/HDS не спира при акта на подписване. Тя покрива целия цикъл на живот на документи:

• Създаване и templating: модели на информирано съгласие, формуляри за прием или протоколи на клинични изследвания трябва да бъдат версионирани и одитни ;
• Подпис и маркиране на време: всяка подпис трябва да бъде придружена с квалифицирано маркиране на време (RFC 3161), гарантиращо датата на акта ;
• Архивиране с вероятностна стойност: съхранението на доказателства за подпис (одитен доклад, сертификати, хеш на документа) трябва да отговаря на законните периоди — минимум 10 години за медицински файлове във Франция (член R.1112-7 CSP), 6 години за HIPAA записи ;
• Отвикване и невалидиране: механизмите OCSP (Online Certificate Status Protocol) или CRL (Certificate Revocation List) трябва да позволят проверка на валидност на сертификатите в момента на подписване.

Този подход към пълния цикъл на живот е вписан в по-широка инициатива на електронна подпис за предприятия, желаещи да индустриализират своите документни процеси по съответен начин.

Оценка и избор на решение за подпис, съвместимо с FedRAMP и HDS

Технически критерии за избор

Пред сложността на двойния референциал FedRAMP/HDS, критериите за избор на решение за електронна подпис за здравния сектор трябва да покрияват няколко измерения:

Инфраструктура и hébergement:

• Активен сертификат HDS, проверяем в регистър PSCE на ANS ;
• Документирана ATO FedRAMP на официалния пазар marketplace.fedramp.gov ;
• Разделяне на средите ЕС/САЩ с политики на трансфер на данни, съответни на Data Privacy Framework (DPF) ;
• SLA на наличност ≥ 99,9 % с ангажимент за RTO < 4h и RPO < 1h.

Функции на conformity:

• Неродна поддръжка на нива AdES (XAdES, PAdES, CAdES) с маркиране на време RFC 3161 ;
• Конектори e-CPS и PIV за аутентификация на професионалисти ;
• REST API, документирана за интеграция в здравни SI системи (DMP, SIH, PACS) ;
• Таблица на conformity с експорт на одитни доклади в стандартен формат.

Договорни способности:

• BAA HIPAA налична в стандартен вид ;
• DPA (Data Processing Agreement) RGPD в съответствие с член 28 ;
• Клауза за одит, позволяваща независима проверка.

Интеграция в здравните информационни системи

Интегрирането на решение за подпис в комплексна здравна SI е често ограничаващия фактор на приемане. Интерфейсите HL7 FHIR (Fast Healthcare Interoperability Resources), сега стандартни в САЩ под натиска на 21st Century Cures Act, и интеграциите DMP/Mon Espace Santé във Франция налагат изисквания за интероперативност, които решението за подпис трябва да изпълни.

Организациите, вече оборудвани със съществуващи решения (DocuSign, Adobe Sign), могат да се възползват от миграция към решение, по-добре адаптирано към HDS изисквания, позволяващо съхранението на документни архиви с повишена conformity.

Калкулаторът ROI, наличен на Certyneo, позволява прецизна оценка на възвращаемостта на инвестиция от такава миграция, интегрирайки разходите на conformity, печалбите на производителност и намаляването на правни рискове.

Правна рамка, применима към електронната подпис в здравеопазването: FedRAMP, HDS и eIDAS

Основни европейски текстове

В французко и европейско право, правната стойност на електронната подпис разчива на член 1366 на Code civil, който постановява, че „електронното писане има същата вероятностна сила като писането на хартиен носител, с условието, че лицето, от което произлиза, може да бъде надлежно идентифицирано и че то е установено и съхранено в условия, които гарантират неговата интегралност". Член 1367 на Code civil уточнява, че електронната подпис „се състои в използването на надежден процес на идентификация, гарантиращ връзката му с акта, към който тя е прикачена".

На европейско ниво, Регулация (ЕС) № 910/2014 eIDAS (Electronic Identification, Authentication and Trust Services) представлява основата на взаимното признаване на електронни подписи между държави членки. Тя определя трите нива на подпис (SES, AdES, QES) и установява принципа, според който электронен подпис квалифициран „има правен ефект, еквивалентен на този на ръчния подпис" (чл. 25, §2). Регулацията eIDAS 2.0 (Регулация (ЕС) 2024/1183), влязла в сила през май 2024 г., разширява тази рамка с въвеждането на European Digital Identity Wallet (EUDI Wallet), преки приложимо към здравния сектор за идентификация на пациенти и професионалисти.

Техническите референтни норми са публикувани от ETSI: ETSI EN 319 101 (обща политика), ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) и ETSI EN 319 142 (PAdES). Тези норми определят формати на подписа за дълга дата (LTA — Long Term Archive), съществено за гарантиране на проверяемост на подписите през периоди на съхранение от 10 до 30 години.

Защита на здравните данни: RGPD и сектарно право

Регулация (ЕС) 2016/679 (RGPD) класифицира здравни данни като „лични данни, свързани със здравето" на специални категории (чл. 9), чиято обработка е в принцип забранена с изключение на експресни изключения (съгласие, необходимост за лечение, обществен интерес в здравната сфера). Всяко решение за подпис, обработващо здравни данни, трябва да отговаря на принципите на минимизация, ограничение на целите и сигурност (чл. 5 и 32 RGPD), и трябва да назначи подизпълнител чрез DPA, съответен на член 28.

По франско право, член L.1111-8 на Code de la santé publique налага използване на hébergeur, сертифициран HDS, за всяко съхранение на здравни данни с личен характер. Нарушението на това задължение е наказуемо с наказания (член L.1115-1 CSP).

Американска рамка: HIPAA, FedRAMP и ESIGN Act

В Съединените щати, HIPAA Security Rule (45 CFR Part 164) налага администрирани, физични и технически гаранции за защита на ePHI (electronic Protected Health Information). Доставчиците на облачни решения трябва да подпишат задължително Business Associate Agreement (BAA).

FedRAMP Authorization Act (кодифициран през 2022 г., 44 U.S.C. § 3607) прави задължително conformity FedRAMP за всяка облачна услуга, използвана от федерална агенция. Нарушенията на conformity могат да доведат до отмяна на ATO и изключване от федералния пазар. ESIGN Act (15 U.S.C. § 7001 и последвалите) гарантира правната валидност на электронни подписи в търговски и федерални транзакции, без налагане на технически формат, но при условие на спазване на аутентификационни изисквания.

Накрая, директива NIS2 (Директива (ЕС) 2022/2555), транспонирана във френско право с закон № 2023-703 от 1 август 2023 г., укрепва задължения за кибербезопасност за съществени субекти, категория, в която фигурират повечето здравни учреждения със значителен размер. Тя налага известяване на инцидент в рамките на 24h на компетентни органи (ANSSI във Франция) и ангажира отговорност на ръководствата в случай на манкомент.

Сценарии на използване: FedRAMP, HDS и електронна подпис в здравеопазването

Сценарий 1: Университетско болничното групиране, управляващо протоколи на клинични изследвания трансатлантически

Университетско болничното групиране от около 1 200 легла, партньор на американска федерална медицинска изследователска агенция (тип NIH-affiliated institution), проведе клинични пробни фази III, включващи изследователски центрове във Франция и Съединените щати. Всяко включване на пациент изисква електронно подписано информирано съгласие, архивирано 15 години в съответствие с изисквания ICH E6(R2) на Good Clinical Practice.

Преди наложението на решение, съответно FedRAMP/HDS, процесът разчиташе на хартиени подписи с цифрово сканиране, генериращо средни закъснения от 4 до 7 работни дни по дело за включване и тип ошибка 12 % (непълни формуляри, липсващи подписи). След развиване на напредна решение за електронна подпис, хостирана на инфраструктура, сертифицирана HDS в Европа и разполагаща с ATO FedRAMP Moderate за американски центрове:

• Намаляване на закъснението на включване от 4-7 дни на по-малко от 24 часа (печалба от 80 до 85 %) ;
• Процент документна ошибка намален на по-малко от 1 % благодарение на работни потоци на валидация, автоматизирани ;
• Conformity одит: 100% на съгласиения архивирани с маркиране на време RFC 3161 и доказателство за подпис, експортни в 1 клик за инспекции на FDA/ANSM.

Сценарий 2: Издател на медицински софтуер, сертифициращ решението си при американски федерални агенции

Френска МСП, специализирана в софтуер за управление на електронни медицински файлове, желае да маркетира решението си към болници от Veterans Affairs (VA) американски. Достъп до този федерален пазар изисква ATO FedRAMP High, знаейки, че решението интегрира модул за електронна подпис за рецепти и оперативни доклади.

Компанията прибегва към издател на SaaS за подпис, разполагащ вече с ATO FedRAMP High като технически подизпълнител, което му позволява да се възпользва от программа на наследяване на conformity (inherited controls), намаляваща с 40 % повърхност на контролите, които трябва да бъдат одитирани от неговия собствен 3PAO. Общата цена на демаршета на сертификация е намалена на 35 до 50 % в сравнение със самостойна сертификация, и периода на получаване на ATO е съкратен от 18 месеца на около 10 месеца.

Сценарий 3: Мрежа на медицински лаборатории за анализ, дематериализирана своите доклади на биология

Мрежа от 45 медицински лаборатории за анализ, разпръснати на няколко френски региона, трябва да приложат электронни подписи на отговорни медицински биолози върху всеки доклад на резултати, в съответствие с член L.6211-9 на Code de la santé publique. С около 8 000 доклада на резултати, произведени на ден, избраното решение трябва да поддържа подпис на маса с гарантиране на отделната аутентификация на всеки биолог чрез неговата e-CPS.

Интегрирането на решение за подпис, съвместимо e-CPS, хостирано при prestataire, сертифициран HDS, позволява:

• Подпис на 8 000 документа/ден с времена на лечение по-малко от 3 секунди на документ ;
• Пълен audit trail, експортен за инспекции на ANSM и Haute Autorité de Santé ;
• Намаляване на разходите за печат и пощенски изпращане от около 60 000 € на година в рамките на мрежата, според обикновено наблюдаваните обхвати в докладите на сектора за дематериализация (доклад ANAP 2024).

Заключение

Conformity FedRAMP в здравеопазването с електронна подпис представлява един от най-сложните нормативни предизвикателства за организациите, работещи на трансатлантическо ниво. Тя изисква едновременно овладяване на американските референциали (FedRAMP, HIPAA, ESIGN Act) и европейските (eIDAS, HDS, RGPD, NIS2), както и технична архитектура, способна да отговори на изисквания на двете среди без компромис на сигурност или правна стойност на подписаните актове.

Организациите, които предварително тази двойна conformity печат в активност, печалба в договорна гъвкавост, в вероятност пред институционални партньори и в устойчивост пред нормативни одити. Електронната подпис, далеч от това да бъде просто дематериализиран инструмент, става структуриращо влиятие на управление на документна в здравеопазването.

Certyneo придружава здравни актьори в наложението на работни потоци на подпис, съответни HDS, eIDAS и съвместим с FedRAMP изисквания. Контактувайте нашите експерти за анализ на вашата нормативна ситуация и персонална демонстрация.