FedRAMP atitikimas sveikatos apsaugoje: elektroninis parašas

Konvergencija tarp JAV debesų reguliavimų ir Europos sveikatos duomenų saugumo standartų iš naujo apibrėžia skaitmeninių įrankių pasirinkimo kriterijus medicinos sektoriuje. Organizacijoms, veikiančioms JAV federalinių ir Europos rinkų sankiroje — ligoninėms, farmacijos laboratoriams, tarptautiniams sveikatos paslaugų teikėjams — FedRAMP atitikimas sveikatos apsaugoje su elektroniniu parašu tapo strateginiu imperatyvu, o ne paprastu formalumu.

Šis straipsnis aiškina FedRAMP programos pagrindus, jos ryšį su prancūzų HDS (Sveikatos duomenų saugotojas) sertifikavimu ir kaip saugus elektroninis parašas integruojasi į šį dualinį reguliacinį rėmą. Jis skirtas IT direktoriams, DPO, medicininių reikalų direktoriams ir atitikimo vadovams, kurie turi priimti technologinius sprendimus su didžiulėmis juridinėmis ir operacinėmis padariniais.

Suprasti FedRAMP programą ir jos reikalavimus sveikatos sektoriui

Kas yra FedRAMP?

Federal Risk and Authorization Management Program (FedRAMP) yra JAV vyriausybės programa, sukurta 2011 m. pagal Office of Management and Budget (OMB) valdžią. Ji standartizuoja debesų paslaugų saugumo vertinimą, autorizavimą ir nuolatinį stebėjimą JAV federalinėms agentūroms. 2023 m. buvo pasirašytas FedRAMP Authorization Act, galutinai koduodamas programą federalinėje teisėje (44 U.S.C. § 3607).

Norėdami gauti FedRAMP autorizavimą, debesų paslaugų teikėjas (CSP) turi įrodyti atitiktį su NIST SP 800-53 nustatytuose saugumo kontrolės elementuose. Egzistuoja trys poveikio lygiai: Low, Moderate ir High. Federalinėje sveikatos sektoriuje — kuriame yra Department of Veterans Affairs (VA), Department of Health and Human Services (HHS), Centers for Medicare & Medicaid Services (CMS) — High lygis dažnai reikalingas dėl HIPAA įstatymu reguliuojamos PHI (Protected Health Information) duomenų jautrumo.

HIPAA, FedRAMP ir dokumentinės atitikties grandinė

Sąsaja tarp HIPAA (1996 m. Health Insurance Portability and Accountability Act) ir FedRAMP sukuria dvoipusį suvaržymą elektroninio parašo SaaS sprendimams, diegiamam federalinėje sveikatos aplinkoje. HIPAA nustato griežtas taisykles dėl PHI konfidencialumo (Privacy Rule) ir saugumo (Security Rule), o FedRAMP sertifikuoja, kad debesų infrastruktūra, kurioje remiasi sprendimas, atitinka audituojamus ir nuolatinius saugumo standartus.

Praktiškai, teikėjas, siūlantis elektroninio parašo sprendimus sveikatos apsaugoje JAV federalinėms institucijoms, turi:

• Gauti arba pasinaudoti ATO (Authority to Operate) FedRAMP, išduota sponsorinės agentūros arba per Joint Authorization Board (JAB);
• Pasirašyti Business Associate Agreement (BAA) HIPAA su kliento institucijomis;
• Užtikrinti audit logging kiekvieno parašo veiksmo, atitinkant dokumentinės integralumo reikalavimus;
• Garantuoti duomenų buvimo vietą patvirtintuose geografiniuose regionuose.

FedRAMP lygiai ir jų poveikis elektroniniam parašui

FedRAMP lygio pasirinkimas tiesiogiai lemia elektroninio parašo sprendimo techninę architektūrą. High lygyje reikalavimai apima:

• AES-256 šifravimą duomenims ramybėje ir TLS 1.2+ duomenims judėjime;
• Daugiaetapę autentifikaciją (MFA) privalomą visiems administratoriaus prieigoms;
• Neišdildomus audito žurnalus ir minimalus 3 metų saugojimo laiką;
• Savaitinį žaidimų naudojimo skenavimą ir metinės penetracinės bandymas pagal akredituotus trečiuosius šalies vertintojus (3PAO — Third-Party Assessment Organization);
• Nuolatinę saugumo incidentų valdymą su pranešimu per 1 valandą US-CERT.

Šie techniniai reikalavimai sukuria dokumentinio saugumo standartą, kuris dažnai viršija tik Europos saugomą, todėl dviguba FedRAMP/HDS atitiktis yra itin reiklainga.

HDS ir FedRAMP: dviguba atitiktis tarptautiniams veiksniams

HDS sertifikacija: prancūziškasis atskaitos standartas

Prancūzijoje sveikatos duomenų saugojimas reglamentuojamas Sveikatos kodekso 1111-8 straipsniu, papildytas 2018 m. vasario 26 d. dekretu n°2018-137. Bet kuris saugotojas, tvarkytas sveikatos duomenis asmenams privačiose su sveikatos specialistų ar sveikatos institucijų sąskaita, turi gauti HDS sertifikavimą, išduodamą COFRAC akredituoto organo.

HDS sertifikacija remiasi šešiomis saugojimo veiklomis (fiziniu infrastruktūra, virtualia infrastruktūra, saugojimo platforma, administravimas ir eksploatacija, atsarginės kopijos, išorės IT vadyba) ir remiasi ISO/IEC 27001 ir ISO/IEC 27701 atskaitos modeliais. Elektroninio parašo sprendimui, atitinkančiam Europos reguliavimo ir saugos reikalavimus, saugojimas pas HDS sertifikuotą veiksnį nėra nebūtinas, kai pasirašyti dokumentai apima sveikatos duomenis.

Konvergencijos ir skirtumai tarp FedRAMP ir HDS

Palyginimas tarp dviejų atskaitos modelių atskleidžia esminius sutapimo taškus, bet ir žymius skirtumus:

Bendri punktai:

• Dokumentuota saugumo rizikos valdymo vertinimo reikalavimas;
• Griežtos prieigos kontrolės ir mažiausio privilegijimo principas;
• Verslo tęstumo planas (PCA/BCP) ir avarinės atkūrimo planas (PRA/DRP), kurie reguliariai bandomi;
• Jautrių duomenų prieigos sekimas.

Pagrindiniai skirtumai:

• Duomenų buvimo vieta: HDS geografiškai neutralus, bet netiesiogiai palankus ES; FedRAMP paprastai reikalauja saugojimo JAV žemėje (FedRAMP High dažnai reikalauja dedikuotų GovCloud);
• Audito modelis: FedRAMP naudoja 3PAO, akredituotas pati programa; HDS remiasi COFRAC akredituotais sertifikacinių organų;
• Atnaujinimo ciklas: FedRAMP nustato nuolatinį stebėjimą (ConMon) su mėnesiniais ataskaitomis; HDS reikalauja trijų metų atnaujinimo audito.

Šie skirtumai verčia sprendimus, veikiančius dviejuose rinkose, laikyti atskirtas debesų architektūras arba griebtis hipermastelinio teikėjo, turinčio ir AWS GovCloud FedRAMP High ATO, ir HDS sertifikuotą infrastruktūrą Europoje.

Elektroninis parašas kaip atitikties priemonė sveikatos darbo srautuose

Įrodomasis jėga ir dokumentinio integralumo

Reguliuojamoje aplinkoje, kaip sveikatos apsauga, elektroninio parašo teisinė vertė remiasi dviem pagrindais: dokumento integralu (nepasikeisimas po parašymo) ir patikima signataro identifikacija (autentifikacija). Šie du reikalavimai yra eIDAS reguliavimo ir FedRAMP naudojamų NIST standartų šerdis.

Reglamentas eIDAS n°910/2014 išskiria tris parašo lygius: paprastą (SES), patobulintą (AdES) ir kvalifikuotą (QES). Europos sveikatos sektoriuje, patobulintais elektroniniu parašu (AdES), atitinkančiu ETSI EN 319 132 normas XAdES, CAdES ir PAdES formatams, paprastai rekomenduojamas jautriems mediciniams dokumentams (informuoti sutikimai, elektroninės receptai, klinikinės tyrimų failai).

JAV galiojantis rėmas yra ESIGN Act (2000 m. Electronic Signatures in Global and National Commerce Act) ir UETA (Uniform Electronic Transactions Act), kurie pripažįsta elektroninių parašų teisinę galiojybę nenustatydami specifinio techninio formato. Tačiau FedRAMP kontekste techniniai saugumo reikalavimai (šifravimas, audito trail, MFA) de facto nustato lygį, atitinkantį Europos AdES.

Sveikatos specialistų autentifikacija ir skaitmeninė tapatybė

Vienas iš specifinių sveikatos sektoriaus iššūkių yra stipri specialistų autentifikacija. Prancūzijoje Sveikatos specialisto kortelė (CPS) ir jos skaitmeninė ekvivalent e-CPS, kurias valdo ANS (Agence du Numérique en Santé), sudaro skaitmeninės tapatybės pagrindą, pripažintą sveikatos sistemų prieigai ir medicininių dokumentų parašymui. E-CPS integracija į elektroninio parašo sprendimą leidžia pasiekti kvalifikuoto parašo (QES) lygį atvejams, reikalaujantiems aukščiausios įrodomosios vertės.

JAV pusėje PIV (Personal Identity Verification, FIPS 201) yra ekvivalentus federalinės tapatybės standartas. Federalinės sveikatos agentūros dažnai reikalauja PIV autentifikacijos itin jautriem operacijoms, todėl elektroninio parašo sprendimai turi integruoti su šia infrastruktūra suderinamais jungtimis.

Organizacijoms, siekiančioms suprasti visas turimas parinktis, elektroninio parašo sprendimų palyginimas leidžia įvertinti autentifikavimo lygius, kuriuos palaiko kiekviena platforma.

Sveikatos dokumentų gyvavimo ciklo valdymas

FedRAMP/HDS atitiktis nepabaigiasi parašo veiksmu. Ji apima visą dokumentinio gyvavimo ciklą:

• Kūrimas ir šablonizavimas: informuotų sutikimų modeliai, priėmimo formos ar klinikinių tyrimų protokolai turi būti versijuoti ir audituojami;
• Parašymas ir laiko žymėjimas: kiekvienas parašas turi būti lydintas kvalifikuoto laiko žymėjimo (RFC 3161), garantuojančio tikslią parašo veiksmo datą;
• Archyvavimas ir įrodymai: parašo įrodymų saugojimas (audito ataskaita, sertifikatai, dokumento hash) turi atitikti teisinį saugojimo laiką — Prancūzijoje minimaliai 10 metų medicininių failų (CSP R.1112-7 straipsnis), 6 metai HIPAA įrašams;
• Atšaukimas ir negaliojimas: OCSP (Online Certificate Status Protocol) arba CRL (Certificate Revocation List) mechanizmai turi leisti patikrinti sertifikatų galiojybę parašo metu.

Šis visapusio gyvavimo ciklo požiūris yra dalis platesnės elektroninio parašo bendrovėms siekiančioms industrializuoti savo dokumentų procesus atitinkamu būdu.

Vertinti ir pasirinkti FedRAMP ir HDS suderintą sprendimą

Techninės pasirinkimo kriterijai

Susidūrus su dualinio FedRAMP/HDS atskaitos modelio sudėtingumu, elektroninio parašo sprendimo pasirinkimo kriterijai sveikatos sektoriuje turi apimti kelias dimensijas:

Infrastruktūra ir saugojimas:

• Aktyvi HDS sertifikacija, patikrinama ANS PSCE registre;
• Dokumentuota FedRAMP ATO, pasiekiama oficialaus marketplace marketplace.fedramp.gov;
• ES/JAV aplinkų atskyrimas su duomenų perdavimo politikomis, atitinkančiomis Data Privacy Framework (DPF);
• ≥ 99,9% prieinamumo SLA su RTO < 4h ir RPO < 1h garantija.

Atitikimo funkcionalumas:

• Gimtas AdES lygių (XAdES, PAdES, CAdES) palaikymas su RFC 3161 laiko žymėjimu;
• E-CPS ir PIV jungtimis sveikatos specialistų autentifikacijai;
• Dokumentuota REST API sveikatos IS integracijai (DMP, SIH, PACS);
• Atitikimo prietaisų sritis su audito ataskaitų eksportu standartiniu formatu.

Sutarties galimybės:

• HIPAA BAA standartu prieinama;
• RGPD suderintas DPA (Data Processing Agreement) pagal 28 straipsnį;
• Audito sąlyga, leidžianti nepriklausomus auditus.

Integracija į sveikatos informacines sistemas

Elektroninio parašo sprendimo integracija į sudėtingą sveikatos IS yra dažnai ribojantis diegimo veiksnys. HL7 FHIR (Fast Healthcare Interoperability Resources) sąsajos, dabar standartizuotos JAV pagal 21st Century Cures Act iniciativą, ir DMP/Mon Espace Santé integracijos Prancūzijoje nustato interoperabilumo suvaržymus, kuriuos turi įvykdyti elektroninio parašo sprendimas.

Organizacijos, kurios jau aprūpintos esamais sprendimais (DocuSign, Adobe Sign), gali pasinaudoti migracija į geriau HDS reikalavimams pritaikytą sprendimą, leidžiančią išsaugoti dokumentų archyvą ir gerėti reguliacinio atitikimo.

Certyneo prieinamasis ROI skaičiuotuvas leidžia tiksliai įvertinti tokios migracijos grąžą, įtraukiant atitikimo išlaidas, produktyvumo prieaugius ir teisinio rizikos sumažėjimą.

Įstatyminė sveikatos elektroninio parašo bazė: FedRAMP, HDS ir eIDAS

Pagrindiniai Europos tekstai

Prancūzų ir Europos teisuose elektroninio parašo teisinė vertė remiasi Civilinio kodekso 1366 straipsniu, kuriame nurodyta „elektroninis raštai turi tokią patikimą jėgą kaip raštai ant popieriaus nešiklio, atsižvelgiant į tai, kad gali būti tinkamai identifikuota asmuo, nuo kurio jis kilo, ir kad jis buvo nustatytas ir saugomas tokiomis sąlygomis, kurios garantuoja jo integralumą". Civilinio kodekso 1367 straipsnis aiškina, kad elektroninis parašas „sudarytas iš patikimo identifikavimo proceso, garantuojančio ryšį su dokumentu, prie kurio jis prisegtas".

Europos lygiu Reglamentas (ES) n°910/2014 eIDAS (Electronic Identification, Authentication and Trust Services) sudaro skaitmeninių parašų vienos valstybės nario tarpusavio pripažinimo pagrindą. Jis nustato tris parašo lygius (SES, AdES, QES) ir nustato principą, kad kvalifikuotas elektroninis parašas „turi teisinį efektą, lygiavertį ranko parašo" (25 straipsnis, 2 dalis). eIDAS 2.0 reglamentas (Reglamentas (ES) 2024/1183), įsigaliojęs 2024 m. gegužę, išplečia šį rėmą su Europos skaitmeninės tapatybės piniginės (EUDI Wallet) pristatymu, tiesiogiai taikytina sveikatos sektoriui pacientų ir specialistų identifikacijai.

Atskaitos techninės normos publikuojamos ETSI: ETSI EN 319 101 (bendroji politika), ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) ir ETSI EN 319 142 (PAdES). Šios normos nustato ilgo žymėjimo (LTA — Long Term Archive) parašo formatus, esminiais garantijam parašų patikrinimą per 10-30 metų saugojimo laikotarpius.

Sveikatos duomenų apsauga: RGPD ir sektorinis teisė

Reglamentas (ES) 2016/679 (RGPD) klasifikuoja sveikatos duomenis kaip „asmens duomenis, susijusius su sveikata", priklausančius ypatingoms kategorijoms (9 straipsnis), kurių tvarkymas yra iš principo draudžiamas, išskyrus aiškias išimtis (sutikimas, būtinas priežiūrai, viešas interesas sveikatos srityje). Bet kuris elektroninio parašo sprendimas, tvarkytas sveikatos duomenis, turi atitikti minimizavimo, tikslų apribojimo ir saugumo principus (5 ir 32 straipsniai RGPD), ir turi paskirti subrangavą per DPA, atitinkantį 28 straipsnį.

Prancūzų teisėje Sveikatos kodekso 1111-8 straipsnis nustato HDS sertifikuoto saugotojo naudojimą privalomu saugant sveikatos duomenis asmenims. Šio reikalavimo pažeidimas yra baudžiamas baudmis (CSP L.1115-1 straipsnis).

JAV rėmas: HIPAA, FedRAMP ir ESIGN Act

JAV HIPAA Security Rule (45 CFR Part 164) nustato administracinius, fizinius ir techninius apsaugos garantijas ePHI (electronic Protected Health Information). Debesų sprendimų teikėjai turi pasirašyti privalomą Business Associate Agreement (BAA).

FedRAMP Authorization Act (koduota 2022 m., 44 U.S.C. § 3607) nustato FedRAMP atitiktį privalomą bet kuriai debesų paslaugai, kurią naudoja federalinė agentūra. Atitikimo pažeidimai gali lemti ATO atšaukimą ir išbraukimą iš federalinio rinkos. ESIGN Act (15 U.S.C. § 7001 ir seq.) garantuoja elektroninių parašų teisinę galią komerciniuose ir federaliniuose sandoriuose, nenustatydama techninio formato, bet atsižvelgiant į autentifikavimo reikalavimų.

Pagaliau NIS2 direktyva (Direktyva (ES) 2022/2555), transponuota prancūzų teisėje pagal 2023 m. rugpjūčio 1 d. įstatymą n°2023-703, sustiprina kibernetinio saugumo pareigų esminius subjektus, kategorijoje yra dauguma žymios dydžio sveikatos institucijų. Ji nustato incidento pranešimą per 24 valandas kompetentingoms valdžios institucijoms (ANSSI Prancūzijoje) ir nustato vadovų atsakomybę už pažeidimus.

Naudojimo scenarijai: FedRAMP, HDS ir elektroninis parašas sveikatos apsaugoje

Scenarijus 1: Universiteto ligoninių grupė valdanti tarptautines klinikinės tyrimų protokolus

Apie 1 200 lovų ligoninės grupė, partnerinė JAV federalinės medicininės tyrimų agentūros (pavyzdžiui, NIH-affiliated institucijos), vykdo III fazės klinikinius tyrimus, susijusius su tyrinėjimo centrais Prancūzijoje ir JAV. Kiekvienas paciento įtraukimas reikalauja parašyto elektroninio sutikimo, archyvuoto 15 metų, atitinkant ICH E6(R2) Gerų klinikinės praktikos reikalavimus.

Prieš diegiant FedRAMP/HDS suderintą sprendimą, procesas buvo grindžiamas skenavintais popieriaus parašais, kaupiančiais vidutinius 4-7 darbo dienų vėlavimas kiekviename doss'ier įtraukus ir 12 % dokumentinio klaidos dažnį (nebaigtos formos, dingę parašai). Po patobulinto elektroninio parašo sprendimo, saugoto HDS sertifikuotoje infrastruktūroje Europoje ir turinčio FedRAMP Moderate ATO JAV centrams, diegimo:

• Įtraukimo laiko sumažėjimas nuo 4-7 dienų iki mažiau nei 24 valandų (pelnas 80-85%);
• Dokumentinio klaidos dažnis sumažintas iki mažiau nei 1% automatizuotų tikrinimo darbo srautų dėka;
• Audito atitiktis: 100% sutikimų archyvuota su RFC 3161 laiko žymėjimu ir parašo įrodu eksportavimo per 1 spustelėjimą FDA/ANSM inspektavimams.

Scenarijus 2: Medicininės programinės įrangos leidėjas, sertifikantas savo sprendimas JAV federalinėms agentūroms

Prancūzų PME, specializuojamasi elektroninio medicinio dossier valdymo programoje, nori komercializuoti savo sprendimą JAV Veterans Affairs (VA) ligoninėms. Prieiga prie šio federalinio rinkos reikalauja FedRAMP High ATO, žinant, kad sprendimas integruoja elektroninio parašo modulį receptams ir operacinėms ataskaitoms.

Įmonė kreipiasi į SaaS leidėjų redaktorių, jau turintį FedRAMP High ATO, kaip techninį rangovalį, tai leidžia naudotis atitikties paveldimo programa (inherited controls), sumažinantis 40% audituojamų kontrolės elementų paviršių savo 3PAO. Bendra sertifikavimo išlaidų kaina sumažėja nuo 35 iki 50% lyginant su nepriklausomu sertifikavimu, o ATO gavimo laikas trumpinamas nuo 18 mėnesių maždaug 10 mėnesių.

Scenarijus 3: Medicininės analizės laboratorijos tinklas dematizavimo savo biologijos ataskaitų

45 privačių medicininės analizės laboratorijų tinklas, paskirstytas keliuose prancūziškuose regionuose, turi turėti atsakingų medicininio biologo elektroninių parašų kiekvienoje rezultato ataskaitoje, atitinkant Sveikatos kodekso L.6211-9 straipsnį. Su apie 8 000 ataskaitų gamybą per dieną, pasirinktas sprendimas turi palaikyti masinio parašo funkciją, garantuojant kiekvieno biologo individualią autentifikaciją per jo e-CPS.

Elektroninio parašo sprendimo, suderiname su e-CPS ir saugoto HDS sertifikuoto teikėjo, integracija leidžia:

• Parašyti 8 000 dokumentų per dieną su per 3 sekundes vidurkiais kiekvienam dokumentui;
• Pilnos audito sekos eksportą ANSM ir Sveikatos aukščiausios valdžios inspektavimams;
• Spausdinimo ir pašto siuntimo išlaidų sumažėjimas apie 60 000 € per metus tinkle, pagal paprastai stebimas sveikatos dematizavimo sektoriaus ataskaitose (ANAP ataskaita 2024).

Išvados

FedRAMP atitiktis sveikatos sektoriuje su elektroniniu parašu yra vienas iš sudėtingiausių reguliacinių iššūkių organizacijoms, veikiančioms tarptautiniu lygiu. Tai reikalauja tuo pačiu metu skaitmeninės JAV atskaitos modelių (FedRAMP, HIPAA, ESIGN Act) ir Europos (eIDAS, HDS, RGPD, NIS2), taip pat techninės architektūros, galinčios atitikti dviejų aplinkų reikalavimus be kompromisos su saugumo arba parašytų veiksmų teisinės vertės.

Organizacijos, kurios iš anksto suplanuoja šią dvigubą atitiktį, pasiekia sutarties lankstumą, kredibilumą institucijų partnerių akyse ir atsparumą audito reguliaciniams patikrimams. Elektroninis parašas, atsiskyrimas nuo paprastos dematizavimo priemonės, tampa sveikatos dokumentinio valdymo struktūra lemiantu svertu.

Certyneo palydovai sveikatos apsaugos aktoriai įgyvendinant HDS suderintus, eIDAS atitinkančius ir FedRAMP reikalavimams sąmyšlus elektroninio parašo darbo srautus. Susisiekite su mūsų ekspertais dėl jūsų reguliavimo situacijos analizės ir suasmenintos demonstracijos.