תאימות FedRAMP בבריאות: חתימה אלקטרונית

ההתכנסות בין תקנות ענן אמריקאיות לבין תקנים אירופאיים לאבטחת נתוני בריאות משנה מחדש את קריטריוני הבחירה של כלים דיגיטליים בענף הרפואי. עבור ארגונים הפועלים בצומת של שווקים联邦יים אמריקאיים ואירופאיים — בתי חולים, מעבדות תרופות, ספקי שירותי בריאות רב-לאומיים — תאימות FedRAMP בתחום הבריאות עם חתימה אלקטרונית הפכה לעילת חובה אסטרטגית, ולא עוד סמן תיבה בלבד.

מאמר זה פוענח את יסודות תוכנית FedRAMP, הביטוי שלה עם ההסמכה HDS (Hébergeur de Données de Santé) הצרפתית, והדרך שבה חתימה אלקטרונית מאובטחת משתלבת בשתי מסגרות רגולטוריות אלה. הוא מכוון ל-DSI, DPO, מנהלי עניינים רפואיים ואחראים לתאימות שחייבים להכריע בבחירות טכנולוגיות עם השלכות משפטיות והפעלתיות משמעותיות.

הבנת תוכנית FedRAMP ודרישותיה לתחום הבריאות

מהו FedRAMP?

Federal Risk and Authorization Management Program (FedRAMP) היא תוכנית ממשלתית אמריקאית שנוצרה בשנת 2011 בסמכותה של Office of Management and Budget (OMB). היא מתקנת הערכה של אבטחה, הרשאה וכיול מתמשך של שירותי ענן המיועדים לסוכנויות联邦יות אמריקאיות. בשנת 2023, חוק FedRAMP Authorization חתום, המקודד סופית את התוכנית בחוק联邦י (44 U.S.C. § 3607).

כדי להשיג הרשאת FedRAMP, ספק שירותי ענן (CSP) חייב להדגים את עמידתו בקביעי האבטחה המוגדרים ב-NIST SP 800-53. שלוש רמות השפעה קיימות: Low, Moderate ו-High. בתחום הבריאות联邦י — הכולל בעיקר את Department of Veterans Affairs (VA), Department of Health and Human Services (HHS), Centers for Medicare & Medicaid Services (CMS) — הרמה High נדרשת לעתים קרובות, בגלל הרגישות של נתוני PHI (Protected Health Information) המכוסים בחוק HIPAA.

HIPAA, FedRAMP ושרשרת הציות התיעודי

הביטוי בין HIPAA (Health Insurance Portability and Accountability Act משנת 1996) ו-FedRAMP יוצר מגבלה כפולה לפתרונות SaaS של חתימה אלקטרונית המפותחים בהקשר联邦י של בריאות. HIPAA מטילה כללים קפדניים על סודיות (Privacy Rule) ואבטחה (Security Rule) של PHI, בעוד FedRAMP מאשרת כי התשתית הענן שעליה מבוססת הפתרון מכבדת תקנים לביטחון שניתנים לביקורת ומתמשכים.

במילים ברורות, ספק המציע פתרונות חתימה אלקטרונית בבריאות לגופים联邦יים אמריקאיים חייב:

• להשיג או להישען על ATO (Authority to Operate) של FedRAMP שהוצאה על ידי סוכנות ספונסרית או דרך Joint Authorization Board (JAB);
• לחתום על Business Associate Agreement (BAA) של HIPAA עם מתקני הלקוחות;
• להבטיח audit logging של כל פעולת חתימה, בהתאם לדרישות שלמות המסמכים;
• להגיע לביטחון residency של נתונים באזורים גיאוגרפיים מאושרים.

רמות FedRAMP והשפעתן על חתימה אלקטרונית

הבחירה של רמת FedRAMP קובעת ישירות את הארכיטקטורה הטכנית של פתרון החתימה. ברמה High, הדרישות כוללות בעיקר:

• הצפנת AES-256 לנתונים במנוחה ו-TLS 1.2+ לנתונים בתנועה;
• Authentication multifactor (MFA) חובה לכל הגישות של מנהלים;
• יומנים לביקורת בלתי ניתנים להשינוי והחזקה מינימלית של 3 שנים;
• סריקת פגיעויות חודשית ובדיקות penetration שנתיות על ידי צד שלישי מורשה (3PAO — Third-Party Assessment Organization);
• ניהול מתמשך של תקלות אבטחה עם הודעה תוך שעה ל-US-CERT.

דרישות טכניות אלה יוצרות תקן לאבטחת מסמכים החורג לעתים קרובות מזה המתבקש בקדר האירופי בלבד, מה שהופך את הציות הכפול FedRAMP/HDS למיוחד קשה.

HDS ו-FedRAMP: הציות הכפול לגורמים רב-לאומיים

ההסמכה HDS: התקן הצרפתי של ההתייחסות

בצרפת, אחסון נתוני בריאות מוסדר לפי סעיף L.1111-8 של Code de la santé publique, משלים עם decree n°2018-137 מ-26 בפברואר 2018. כל מאחסן המטפל בנתוני בריאות באופי אישי עבור מקצוע או תקן בריאות חייב לקבל הסמכה HDS שהוצאה על ידי ארגון מוסמך על ידי COFRAC.

ההסמכה HDS מבוססת על שש פעולות אחסון (תשתית פיזית, תשתית וירטואלית, פלטפורמת אחסון, ניהול וניצול, גיבוי, infogérance) ותומכת בתקנים ISO/IEC 27001 ו-ISO/IEC 27701. לפתרון של חתימה אלקטרונית תואמת תקנות אירופאיות, שימוש במאחסן מוסמך HDS אינו אופציונלי כאשר מסמכים חתומים מכילים נתוני בריאות.

נקודות התכנסות וויסות בין FedRAMP ל-HDS

ההשוואה בין שני התקנים חושפת נקודות התכנסות משמעותיות אך גם הבדלים בולטים:

נקודות משותפות:

• דרישה לניהול תועדות של סכנות אבטחה;
• בקרות גישה קפדניות ועיקרון של הפחות הרשאה;
• תוכנית רציפות עסקית (PCA/BCP) ותוכנית התאוששות לאחר אסון (PRA/DRP) שנבדקות מעת לעת;
• מיעדות של גישות לנתונים רגישים.

הבדלים עיקריים:

• Residency של נתונים: HDS נייטרלית גיאוגרפית אך מעדיפה באופן משתמע את האיחוד האירופי; FedRAMP דורשת בדרך כלל אחסון על קרקע אמריקאית (FedRAMP High כופה לעתים קרובות GovCloud ייעודיות);
• דגם ביקורת: FedRAMP משתמשת ב-3PAOs מורשים על ידי התוכנית עצמה; HDS מסתמכת על ארגוני הסמכה מורשים COFRAC;
• מחזור התחדשות: FedRAMP כופה ניטור מתמשך (ConMon) עם דוחות חודשיים; HDS דורשת ביקורת התחדשות תלת-שנתית.

הבדלים אלה מכריחים פתרונות הפועלות בשני השווקים לתחזוק ארכיטקטורות ענן נפרדות או להפעיל ספקי hyperscalers בעלי ה-AWS GovCloud FedRAMP High ATO וגם תשתית מוסמכת HDS באירופה.

חתימה אלקטרונית ככלי של ציות בזרימות עבודה של בריאות

ערך עדות ושלמות מסמכים

בסביבה מסדרת כמו בריאות, הערך המשפטי של חתימה אלקטרונית נשען על שני עמודים: השלמות של המסמך (אי-שינוי לאחר חתימה) ו-זיהוי אמין של החותם (authentication). שתי דרישות אלה הן בלב של הרגולציה eIDAS וגם של תקנים NIST המשמשים FedRAMP.

תקנון eIDAS מספר 910/2014 מבחין בין שלוש רמות חתימה: פשוטה (SES), מתקדמת (AdES) ומוסמכת (QES). בתחום הבריאות האירופיות, חתימה אלקטרונית מתקדמת (AdES), תואמת לתקנים ETSI EN 319 132 לפורמטים XAdES, CAdES ו-PAdES, בדרך כלל מומלצת למסמכים רפואיים רגישים (הסכמות מודעות, מרשמות אלקטרוניות, קבצי מחקר קליני).

בארצות הברית, המסגרת החלה היא ESIGN Act (Electronic Signatures in Global and National Commerce Act משנת 2000) ו-UETA (Uniform Electronic Transactions Act), המכירות בתוקף משפטי של חתימות אלקטרוניות מבלי להטיל פורמט טכני ספציפי. עם זאת, בהקשר FedRAMP, דרישות טכניות לאבטחה (הצפנה, audit trail, MFA) כופים de facto רמה המקבילה ל-AdES האירופיות.

Authentication של מקצועות הבריאות וזהות דיגיטלית

אחד האתגרים הספציפיים של תחום הבריאות הוא ה-authentication החזק של מקצועות. בצרפת, Carte de Professionnel de Santé (CPS) והשקולה הדיגיטלית שלה e-CPS, מנוהלות על ידי ANS (Agence du Numérique en Santé), מהווות בסיס של זהות דיגיטלית שמוכרה לגישה למערכות בריאות וחתימה של מסמכים רפואיים. האינטגרציה של ה-e-CPS בפתרון חתימה אלקטרונית מאפשרת להגיע לרמת חתימה מוסמכת (QES) למקרים הדורשים את הערך ההוכחי הגבוה ביותר.

בצד אמריקני, ה-PIV (Personal Identity Verification, FIPS 201) הוא תקן הזהות联邦י השקול. סוכנויות联邦יות של בריאות דורשות לעתים קרובות אימות PIV לעסקאות רגישות מאוד, מה שכופה על פתרונות חתימה לשלב מחברים תואמים עם תשתית זו.

עבור ארגונים המבקשים להבין את מכלול האפשרויות הזמינות, ה-השוואה של פתרונות חתימה אלקטרונית מאפשרת להעריך רמות authentication הנתמכות על ידי כל פלטפורמה.

ניהול מחזור החיים של מסמכי בריאות

הציות FedRAMP/HDS לא מסתיים בפעולת חתימה. היא מכסה את כל מחזור החיים התיעודי:

• יצירה וtemplating: דגמי הסכמה מודעת, טפסי כניסה או פרוטוקולי מחקר קליני חייבים להיות גרסות ואודיטיות;
• חתימה וhorodatage: כל חתימה חייבת להיות מלווה ב-horodatage מוסמך (RFC 3161) המבטיח את התאריך הבטוח של הפעולה;
• ארכיון הוכח: שמירת הראיות של חתימה (דוח ביקורת, תעודות, hash של המסמך) חייבת לציית לתקופות החוקיות — מינימום 10 שנים לתיקיות רפואיות בצרפת (סעיף R.1112-7 CSP), 6 שנים לתיקיות HIPAA;
• שלילה וביטול: מנגנוני OCSP (Online Certificate Status Protocol) או CRL (Certificate Revocation List) חייבים להאפשר בדיקה של תוקף תעודות בעת החתימה.

גישה זו של מחזור החיים המלא משתלבת בגישה רחבה יותר של חתימה אלקטרונית לעסקים המבקשים לתעשייה את תהליכיהם התיעודיים בהתאם.

הערכה בחירה של פתרון תואם FedRAMP ו-HDS

קריטריונים טכניים של בחירה

מול המורכבות של התקן הכפול FedRAMP/HDS, קריטריוני בחירה של פתרון חתימה אלקטרונית לתחום הבריאות חייבים להסתיר מימדים רבים:

תשתית וחסנון:

• הסמכה HDS פעילה, בדוקה בחזקה PSCE של ANS;
• ATO FedRAMP תיעודה על הbazaar marketplace.fedramp.gov רשמי;
• הפרדה של environments UE/US עם מדיניות העברת נתונים תואמות ל-Data Privacy Framework (DPF);
• SLA של זמינות ≥ 99,9% עם התחייבות RTO < 4h ו-RPO < 1h.

יכולות של ציות:

• support native של רמות AdES (XAdES, PAdES, CAdES) עם horodatage RFC 3161;
• מחברים e-CPS ו-PIV לאימות של מקצועות בריאות;
• API REST תיעודה לאינטגרציה ב-SI של בתי חולים (DMP, SIH, PACS);
• לוח מחוונים של ציות עם ייצוא של דוחות ביקורת בתבנית תקנית.

יכולות חוזיות:

• BAA HIPAA זמין בתקן;
• DPA (Data Processing Agreement) RGPD תואם לסעיף 28;
• clause ביקורת המאפשרת בדיקות עצמאיות.

אינטגרציה במערכות מידע של בריאות

אינטגרציה של פתרון חתימה ב-SI בריאות מורכבת היא לעתים קרובות גורם מגביל להתקבול. הממשקים HL7 FHIR (Fast Healthcare Interoperability Resources), כעת תקן בארצות הברית תחת דחיפה של 21st Century Cures Act, ואינטגרציות DMP/Mon Espace Santé בצרפת, מטילות מגבלות של interoperability שפתרון החתימה חייב לכבד.

ארגונים שכבר מצוידים בפתרונות קיימים (DocuSign, Adobe Sign) יכולים להפיק תועלת מ-הגירה לפתרון המותאם יותר לדרישות HDS, המאפשרת שימור של ארכיבים תיעודיים בזמן שמשיגה ציות רגולטורי טוב יותר.

ה-מחשבון ROI זמין ב-Certyneo מאפשר להעריך בדיוק את ההחזר על השקעה של הגירה כזו, על ידי שילוב של עלויות של ציות, רווחים של פרודוקטיביות וירידה של סיכוני משפטי.

מסגרת משפטית החלה על חתימה אלקטרונית בבריאות: FedRAMP, HDS ו-eIDAS

טקסטים יסוד אירופאיים

בדין צרפתי ואירופאי, הערך המשפטי של חתימה אלקטרונית נשען על סעיף 1366 של Code civil, הקובע כי "הכתב האלקטרוני בעל אותו כוח הוכחה כמו הכתב על תומך נייר, בכפוף לכך שניתן להזהות כראוי את הגופן שממנו הוא נובע וכי הוא בנוי ונשמר בתנאים שניתן להבטיח את שלמותו". סעיף 1367 של Code civil משדרג כי חתימה אלקטרונית "מורכבת מהשימוש בתהליך מהימן של הזהוי המובטח את הזיקה שלו לפעולה שאליה היא מצורפת".

ברמה אירופאית, תקנון (EU) מס' 910/2014 eIDAS (Electronic Identification, Authentication and Trust Services) משמש כבסיס של ההכרה ההדדית של חתימות אלקטרוניות בין מדינות חברות. היא מגדירה את שלוש רמות החתימה (SES, AdES, QES) ויוצרת את העיקרון שחתימה אלקטרונית מוסמכת "בעלת השפעה משפטית שקולה ללא של חתימה כתובה בעדכן" (art. 25, §2). תקנון eIDAS 2.0 (תקנון (EU) 2024/1183), שנכנס לתוקף במאי 2024, מרחיב את המסגרת זו עם הצגת ה-Portefeuille Européen d'Identité Numérique (EUDI Wallet), ישירות חל על תחום הבריאות להזהות חולים ומקצועות.

תקנים טכניים של התייחסות מפורסמים על ידי ETSI: ETSI EN 319 101 (מדיניות כללית), ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) ו-ETSI EN 319 142 (PAdES). תקנים אלה מגדירים פורמטים של חתימה לטווח ארוך (LTA — Long Term Archive), חיוניים להבטחת בדיקות של חתימות על תקופות של שמירה של 10 עד 30 שנים.

הגנה של נתוני בריאות: RGPD וחוק מגזרי

תקנון (EU) 2016/679 (RGPD) מסווגת נתוני בריאות כ"נתונים אישיים הנוגעים לבריאות" המופעלים ב-קטגוריות מיוחדות (art. 9), שעיבודה אסור בעיקרון אלא חריג מפורש (הסכמה, הכרח לטיפול, ריבית ציבורית בתחום הבריאות הציבורית). כל פתרון חתימה המטפל בנתוני בריאות חייב לציית לעיקרונות של צמצום, הגבלה של מטרות ואבטחה (art. 5 ו-32 RGPD), ומינוי sub-processor דרך DPA בהתאם לסעיף 28.

בדין צרפתי, סעיף L.1111-8 של Code de la santé publique כופה את השימוש במאחסן מוסמך HDS לכל אחסון של נתוני בריאות של אופי אישי. הפרה של חובה זו חייבת לעונש פלילי (סעיף L.1115-1 CSP).

מסגרת אמריקאית: HIPAA, FedRAMP ו-ESIGN Act

בארצות הברית, HIPAA Security Rule (45 CFR Part 164) כופה ערבויות של ניהול, פיזיות וטכניות להגנת ePHI (electronic Protected Health Information). ספקי של פתרונות ענן חייבים לחתום על Business Associate Agreement (BAA) חובה.

FedRAMP Authorization Act (מקודד בשנת 2022, 44 U.S.C. § 3607) הופך את הציות FedRAMP לחובה לכל שירות ענן המשמש סוכנות联邦ית. הפרה של ציות עלול להוביל להשמטה של ATO וחרוג מהשוק联邦י. ESIGN Act (15 U.S.C. § 7001 et seq.) מבטיח את תוקף המשפטי של חתימות אלקטרוניות בעסקאות מסחריות וקצרות, מבלי להטיל פורמט טכני אך בכפוף לציות של דרישות authentication.

לבסוף, הנחיה NIS2 (Directive (EU) 2022/2555), שהועברה לדין צרפתי על ידי חוק מספר 2023-703 מ-1 באוגוסט 2023, משדרגת את חובות הסייבר לישויות חיוניות, קטגוריה שבה עולים הרוב של בתי חולים בגודל משמעותי. היא כופה הודעת תקלה תוך 24 שעות לרשויות מוסמכות (ANSSI בצרפת) ומכניסה אחריות של מנהלים במקרה של הפרה.

תרחישי שימוש: FedRAMP, HDS וחתימה אלקטרונית בבריאות

תרחיש 1: קבוצת בתי חולים אוניברסיטאית ניהול פרוטוקולים של מחקר קליני transatlantiques

קבוצת בתי חולים של כ-1,200 מטות, שותף של סוכנה联邦ית אמריקאית של מחקר רפואי (סוג של תקן NIH-affiliated), מנהלת בדיקות קליניות של שלב III הכוללות מרכזים בחוקרים בצרפת ובארצות הברית. כל הכללת חולה דורשת הסכמה מודעת חתומה אלקטרונית, מורחקת למשך 15 שנים בהתאם לדרישות ICH E6(R2) של Bonnes Pratiques Cliniques.

לפני הקמת פתרון תואם FedRAMP/HDS, התהליך הסתמך על חתימות נייר ממוכנות, יוצר עיכובים ממוצעים של 4 עד 7 ימים עסקיים לתיקיית הכללה וקצב שגיאה תיעודי של 12% (טפסים לא מלאים, חתימות חסרות). לאחר פריסה של פתרון חתימה אלקטרונית מתקדם, מחוברת לתשתית מוסמכת HDS באירופה וקבע ATO FedRAMP Moderate לעל מרכזים אמריקאיים:

• צמצום של עיכוב הכללה מ-4-7 ימים לפחות מ-24 שעות (זכייה של 80 עד 85%);
• קצב שגיאה תיעודי מופחת לפחות מ-1% הודות לזרימות עבודה של validation מעוכות;
• ציות ביקורת: 100% של הסכמות מורחקות עם horodatage RFC 3161 ו-proof של חתימה ייצוא בהנקלה של 1 לחיצה לביקורים רגולטוריים FDA/ANSM.

תרחיש 2: עורך של logiciel רפואי מאשרת את הפתרון שלו בקרב סוכנויות联邦יות US

PME צרפתית מתמחה בתוכנה של ניהול של תיקיות רפואיות אלקטרוניות מעוניינת להחליק את פתרון שלה בקרב בתי חולים של Veterans Affairs (VA) אמריקאיים. הגישה לשוק זה联邦י דורשת ATO FedRAMP High, בידע שהפתרון משלב מודול של חתימה אלקטרונית למרשמות וכלל