Tuân thủ FedRAMP trong lĩnh vực sức khỏe: chữ ký điện tử

Sự hội tụ giữa các quy định cloud của Mỹ và các tiêu chuẩn bảo mật dữ liệu sức khỏe của Châu Âu đang định hình lại các tiêu chí lựa chọn công cụ kỹ thuật số trong lĩnh vực y tế. Đối với các tổ chức hoạt động tại giao điểm giữa các thị trường liên bang Mỹ và Châu Âu — bệnh viện, phòng thí nghiệm dược phẩm, nhà cung cấp dịch vụ sức khỏe xuyên quốc gia — tuân thủ FedRAMP trong lĩnh vực sức khỏe với chữ ký điện tử đã trở thành một bắt buộc chiến lược, không còn chỉ là một yêu cầu đơn thuần.

Bài viết này phân tích những nền tảng của chương trình FedRAMP, cách nó kết hợp với chứng chỉ HDS (Nhà lưu trữ Dữ liệu Sức khỏe) của Pháp, và cách chữ ký điện tử an toàn được tích hợp vào khuôn khổ quy định kép này. Bài viết hướng tới các viên chức CNTT, DPO, giám đốc công vụ y tế và những người chịu trách nhiệm tuân thủ phải đưa ra những quyết định công nghệ có hậu quả pháp lý và operacional lớn.

Hiểu chương trình FedRAMP và các yêu cầu của nó đối với lĩnh vực sức khỏe

FedRAMP là gì?

Federal Risk and Authorization Management Program (FedRAMP) là một chương trình của chính phủ Mỹ được tạo lập năm 2011 dưới quyền của Office of Management and Budget (OMB). Nó chuẩn hóa việc đánh giá bảo mật, cấp phép và theo dõi liên tục các dịch vụ cloud dành cho các cơ quan liên bang Mỹ. Năm 2023, FedRAMP Authorization Act được ký, chính thức mã hóa chương trình trong luật liên bang (44 U.S.C. § 3607).

Để có được phép FedRAMP, một nhà cung cấp dịch vụ cloud (CSP) phải chứng minh sự tuân thủ các kiểm soát bảo mật được xác định trong NIST SP 800-53. Có ba mức ảnh hưởng: Low, Moderate và High. Trong lĩnh vực sức khỏe liên bang — bao gồm Department of Veterans Affairs (VA), Department of Health and Human Services (HHS), Centers for Medicare & Medicaid Services (CMS) — mức High thường được yêu cầu, do tính nhạy cảm của dữ liệu PHI (Protected Health Information) được bao phủ bởi luật HIPAA.

HIPAA, FedRAMP và chuỗi tuân thủ tài liệu

Sự kết hợp giữa HIPAA (Health Insurance Portability and Accountability Act năm 1996) và FedRAMP tạo ra một ràng buộc kép cho các giải pháp SaaS chữ ký điện tử được triển khai trong bối cảnh sức khỏe liên bang. HIPAA áp đặt các quy tắc nghiêm ngặt về bảo mật (Privacy Rule) và an ninh (Security Rule) của PHI, trong khi FedRAMP xác nhận rằng cơ sở hạ tầng cloud mà giải pháp dựa vào tuân thủ các tiêu chuẩn bảo mật có thể kiểm tra và liên tục.

Cụ thể, một nhà cung cấp đề xuất các giải pháp chữ ký điện tử trong sức khỏe cho các thực thể liên bang Mỹ phải:

• Có được hoặc dựa vào ATO (Authority to Operate) FedRAMP được cấp bởi một cơ quan bảo trợ hoặc thông qua Joint Authorization Board (JAB) ;
• Ký một Business Associate Agreement (BAA) HIPAA với các thiết lập khách hàng ;
• Đảm bảo ghi nhật ký kiểm tra mỗi hành động ký, phù hợp với yêu cầu tính toàn vẹn tài liệu ;
• Đảm bảo lưu trữ dữ liệu ở các khu vực địa lý được phê duyệt.

Các mức FedRAMP và tác động của chúng đối với chữ ký điện tử

Lựa chọn mức FedRAMP quyết định trực tiếp kiến ​​trúc kỹ thuật của giải pháp chữ ký. Ở mức High, các yêu cầu bao gồm:

• Mã hóa AES-256 cho dữ liệu lưu trữ và TLS 1.2+ cho dữ liệu đang truyền ;
• Xác thực đa yếu tố (MFA) bắt buộc cho tất cả quyền truy cập quản trị ;
• Nhật ký kiểm tra bất biến với thời gian lưu giữ tối thiểu 3 năm ;
• Quét lỗ hổng hàng tháng và kiểm tra thâm nhập hàng năm bởi các bên thứ ba được công nhân (3PAO — Third-Party Assessment Organization) ;
• Quản lý sự cố bảo mật liên tục với thông báo trong vòng 1 giờ cho US-CERT.

Những yêu cầu kỹ thuật này tạo ra một tiêu chuẩn bảo mật tài liệu vượt quá những gì thường được yêu cầu chỉ trong khuôn khổ Châu Âu, khiến tuân thủ kép FedRAMP/HDS đặc biệt khắt khe.

HDS và FedRAMP: tuân thủ kép cho các bác sĩ xuyên quốc gia

Chứng chỉ HDS: tiêu chuẩn tham khảo của Pháp

Ở Pháp, lưu trữ dữ liệu sức khỏe được quy định bởi điều L.1111-8 của Mã Sức khỏe Công cộng, được bổ sung bởi nghị định số 2018-137 của ngày 26 tháng 2 năm 2018. Bất kỳ nhà lưu trữ nào xử lý dữ liệu sức khỏe có tính chất cá nhân cho các chuyên gia hoặc cơ sở y tế phải có được chứng chỉ HDS do một cơ quan được chứng nhân bởi COFRAC cấp.

Chứng chỉ HDS dựa trên sáu hoạt động lưu trữ (cơ sở hạ tầng vật lý, cơ sở hạ tầng ảo, nền tảng lưu trữ, quản trị và khai thác, sao lưu, outsourcing công nghệ thông tin) và dựa trên các tiêu chuẩn ISO/IEC 27001 và ISO/IEC 27701. Đối với một giải pháp chữ ký điện tử tuân thủ các quy định Châu Âu, được lưu trữ bởi một bác sĩ được chứng nhận HDS không phải là tùy chọn khi các tài liệu ký chứa dữ liệu sức khỏe.

Điểm hội tụ và khác biệt giữa FedRAMP và HDS

Sự so sánh giữa hai tiêu chuẩn tiết lộ những điểm hội tụ đáng kể nhưng cũng có sự khác biệt đáng chú ý:

Những điểm chung:

• Yêu cầu về quản lý rủi ro bảo mật được ghi chép ;
• Kiểm soát truy cập nghiêm ngặt và nguyên tắc đặc quyền tối thiểu ;
• Kế hoạch tiếp tục hoạt động (PCA/BCP) và kế hoạch phục hồi sau thảm họa (PRA/DRP) được kiểm tra định kỳ ;
• Khả năng truy tìm quyền truy cập vào dữ liệu nhạy cảm.

Những khác biệt chính:

• Lưu trữ dữ liệu : HDS là trung lập địa lý nhưng ủng hộ một cách ngầm Liên minh Châu Âu ; FedRAMP thường yêu cầu lưu trữ trên đất liền Mỹ (FedRAMP High thường áp đặt GovCloud chuyên dụng) ;
• Mô hình kiểm tra : FedRAMP sử dụng 3PAO được công nhân bởi chính chương trình ; HDS dựa vào các cơ quan chứng nhân được công nhân bởi COFRAC ;
• Chu kỳ gia hạn : FedRAMP áp đặt theo dõi liên tục (ConMon) với báo cáo hàng tháng ; HDS yêu cầu kiểm tra gia hạn ba năm.

Những khác biệt này buộc các giải pháp hoạt động trên cả hai thị trường duy trì các kiến ​​trúc cloud riêng biệt hoặc sử dụng các nhà cung cấp hyperscale có AWS GovCloud FedRAMP High ATO và cơ sở hạ tầng được chứng nhận HDS ở Châu Âu.

Chữ ký điện tử như một công cụ tuân thủ trong các quy trình làm việc sức khỏe

Giá trị chứng minh và tính toàn vẹn tài liệu

Trong một môi trường được quy định như sức khỏe, giá trị pháp lý của chữ ký điện tử dựa vào hai trụ: tính toàn vẹn của tài liệu (không thay đổi sau ký) và nhận dạng đáng tin cậy của người ký (xác thực). Hai yêu cầu này nằm ở trung tâm của cả quy định eIDAS và các tiêu chuẩn NIST được sử dụng bởi FedRAMP.

Quy định eIDAS № 910/2014 phân biệt ba mức chữ ký: đơn giản (SES), nâng cao (AdES) và định danh (QES). Trong lĩnh vực sức khỏe Châu Âu, chữ ký điện tử nâng cao (AdES), tuân thủ các tiêu chuẩn ETSI EN 319 132 cho các định dạng XAdES, CAdES và PAdES, thường được khuyến nghị cho các tài liệu y tế nhạy cảm (sự chấp thuận sáng suốt, công thức điện tử, hồ sơ nghiên cứu lâm sàng).

Tại Mỹ, khuôn khổ áp dụng là ESIGN Act (Electronic Signatures in Global and National Commerce Act năm 2000) và UETA (Uniform Electronic Transactions Act), công nhân giá trị pháp lý của chữ ký điện tử mà không áp đặt định dạng kỹ thuật cụ thể. Tuy nhiên, trong bối cảnh FedRAMP, các yêu cầu kỹ thuật bảo mật (mã hóa, audit trail, MFA) thực tế áp đặt một mức tương đương với AdES Châu Âu.

Xác thực các chuyên gia y tế và bản sắc kỹ thuật số

Một trong những thách thức cụ thể của lĩnh vực sức khỏe là xác thực mạnh mẽ của các chuyên gia. Ở Pháp, Carte de Professionnel de Santé (CPS) và tương đương kỹ thuật số e-CPS của nó, được quản lý bởi ANS (Agence du Numérique en Santé), tạo thành nền tảng bản sắc kỹ thuật số được công nhân để truy cập các hệ thống sức khỏe và ký tài liệu y tế. Tích hợp e-CPS vào giải pháp chữ ký điện tử cho phép đạt được mức chữ ký định danh (QES) cho các trường hợp yêu cầu giá trị chứng minh cao nhất.

Trên phía Mỹ, PIV (Personal Identity Verification, FIPS 201) là tiêu chuẩn bản sắc liên bang tương đương. Các cơ quan liên bang sức khỏe thường yêu cầu xác thực PIV cho các giao dịch cảm thụ cao, điều này buộc các giải pháp chữ ký phải tích hợp các bộ kết nối tương thích với cơ sở hạ tầng này.

Đối với những tổ chức tìm cách hiểu được tất cả các lựa chọn có sẵn, so sánh các giải pháp chữ ký điện tử cho phép đánh giá các mức xác thực được hỗ trợ bởi mỗi nền tảng.

Quản lý vòng đời của tài liệu sức khỏe

Tuân thủ FedRAMP/HDS không dừng lại ở hành động ký. Nó bao gồm toàn bộ vòng đời tài liệu :

• Tạo và mẫu : các mẫu sự chấp thuận sáng suốt, mẫu nhập viện hoặc giao thức nghiên cứu lâm sàng phải được phiên bản hóa và có thể kiểm tra ;
• Ký và đóng dấu thời gian : mỗi chữ ký phải kèm theo đóng dấu thời gian được xác định (RFC 3161) đảm bảo ngày tháng chắc chắn của hành động ;
• Lưu trữ chứng minh : việc bảo quản bằng chứng ký (báo cáo kiểm tra, chứng chỉ, hash tài liệu) phải tuân theo thời hạn pháp luật — tối thiểu 10 năm cho các hồ sơ y tế ở Pháp (điều R.1112-7 CSP), 6 năm cho các bản ghi HIPAA ;
• Thu hồi và hủy bỏ : các cơ chế OCSP (Online Certificate Status Protocol) hoặc CRL (Certificate Revocation List) phải cho phép xác minh tính hợp lệ của chứng chỉ tại thời điểm ký.

Cách tiếp cận vòng đời hoàn chỉnh này phù hợp với một phương pháp tiếp cận rộng hơn về chữ ký điện tử cho các doanh nghiệp muốn công nghiệp hóa các quy trình tài liệu của họ một cách tuân thủ.

Đánh giá và chọn một giải pháp chữ ký tương thích FedRAMP và HDS

Tiêu chí lựa chọn kỹ thuật

Khi đối mặt với tính phức tạp của khuôn khổ kép FedRAMP/HDS, các tiêu chí lựa chọn giải pháp chữ ký điện tử cho lĩnh vực sức khỏe phải bao gồm nhiều chiều:

Cơ sở hạ tầng và lưu trữ:

• Chứng chỉ HDS hoạt động, có thể xác minh trên sổ đăng ký PSCE của ANS ;
• ATO FedRAMP được ghi chép trên thị trường chính thức marketplace.fedramp.gov ;
• Phân tách các môi trường EU/US với các chính sách chuyển giao dữ liệu tuân thủ Data Privacy Framework (DPF) ;
• SLA tính khả dụng ≥ 99,9% với cam kết RTO < 4h và RPO < 1h.

Tính năng tuân thủ:

• Hỗ trợ bản gốc các mức AdES (XAdES, PAdES, CAdES) với đóng dấu thời gian RFC 3161 ;
• Bộ kết nối e-CPS và PIV để xác thực các chuyên gia ;
• API REST được ghi chép để tích hợp vào các SI y tế (DMP, SIH, PACS) ;
• Bảng điều khiển tuân thủ với xuất báo cáo kiểm tra theo định dạng tiêu chuẩn.

Khả năng hợp đồng:

• BAA HIPAA có sẵn theo tiêu chuẩn ;
• DPA (Data Processing Agreement) RGPD tuân thủ điều 28 ;
• Điều khoản kiểm tra cho phép xác minh độc lập.

Tích hợp vào các hệ thống thông tin sức khỏe

Tích hợp một giải pháp chữ ký vào một SI sức khỏe phức tạp thường là yếu tố hạn chế việc áp dụng. Các giao diện HL7 FHIR (Fast Healthcare Interoperability Resources), hiện là tiêu chuẩn ở Mỹ dưới sự thúc đẩy của 21st Century Cures Act, và tích hợp DMP/Mon Espace Santé ở Pháp, áp đặt các ràng buộc khả năng tương tác mà giải pháp chữ ký phải thực hiện.

Các tổ chức đã được trang bị các giải pháp hiện tại (DocuSign, Adobe Sign) có thể hưởng lợi từ một di chuyển sang giải pháp phù hợp hơn với yêu cầu HDS, cho phép bảo tồn kho lưu trữ tài liệu trong khi cải thiện tuân thủ quy định.

Công cụ ROI có sẵn trên Certyneo cho phép đánh giá chính xác lợi nhuận đầu tư của một di chuyển như vậy, kết hợp chi phí tuân thủ, lợi nhuận năng suất và giảm rủi ro pháp lý.

Khuôn khổ pháp luật áp dụng cho chữ ký điện tử trong sức khỏe: FedRAMP, HDS và eIDAS

Các văn bản cơ bản của Châu Âu

Trong luật Pháp và Châu Âu, giá trị pháp lý của chữ ký điện tử dựa trên điều 1366 của Mã dân sự, quy định rằng "văn bản điện tử có sức thuyết phục bằng với văn bản trên giấy, với điều kiện là người phát hành có thể được xác định đúng đắn và nó được thiết lập và lưu giữ theo các điều kiện có tính chất đảm bảo tính toàn vẹn của nó". Điều 1367 của Mã dân sự làm rõ rằng chữ ký điện tử "bao gồm việc sử dụng một quy trình xác định đáng tin cậy đảm bảo liên kết của nó với hành động nó liên quan đến".

Ở cấp độ Châu Âu, Quy định (EU) № 910/2014 eIDAS (Electronic Identification, Authentication and Trust Services) tạo thành nền tảng công nhân lẫn nhau của chữ ký điện tử giữa các quốc gia thành viên. Nó xác định ba mức chữ ký (SES, AdES, QES) và thiết lập nguyên tắc rằng chữ ký điện tử được xác định "có tác dụng pháp lý tương đương với chữ ký viết tay" (art. 25, § 2). Quy định eIDAS 2.0 (Quy định (EU) 2024/1183), có hiệu lực tháng năm 2024, mở rộng khuôn khổ này với sự giới thiệu Ví Châu Âu về Bản sắc Kỹ thuật số (EUDI Wallet), trực tiếp áp dụng cho lĩnh vực sức khỏe để xác định bệnh nhân và chuyên gia.

Các tiêu chuẩn kỹ thuật tham khảo được xuất bản bởi ETSI: ETSI EN 319 101 (chính sách chung), ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) và ETSI EN 319 142 (PAdES). Các tiêu chuẩn này xác định các định dạng chữ ký thời gian dài (LTA — Long Term Archive), cần thiết để đảm bảo khả năng xác minh của chữ ký trong những khoảng thời gian bảo tồn 10 đến 30 năm.

Bảo vệ dữ liệu sức khỏe: RGPD và luật sektorisé

Quy định (EU) 2016/679 (RGPD) phân loại dữ liệu sức khỏe là "dữ liệu cá nhân liên quan đến sức khỏe" rơi vào danh mục đặc biệt (art. 9), xử lý là nguyên tắc bị cấm trừ khi có ngoại lệ rõ ràng (sự chấp thuận, cần thiết cho chăm sóc, lợi ích công cộng trong lĩnh vực sức khỏe công cộng). Bất kỳ giải pháp chữ ký nào xử lý dữ liệu sức khỏe phải tuân thủ các nguyên tắc tối thiểu hóa, hạn chế mục đích và bảo mật (art. 5 và 32 RGPD), và chỉ định một nhà cung cấp dịch vụ phụ thông qua DPA tuân thủ điều 28.

Theo luật Pháp, điều L.1111-8 của Mã Sức khỏe Công cộng áp đặt việc sử dụng một nhà lưu trữ được chứng nhận HDS để lưu trữ bất kỳ dữ liệu sức khỏe có tính chất cá nhân nào cho các chuyên gia hoặc cơ sở y tế. Sự vi phạm yêu cầu này có thể bị xử phạt hình sự (điều L.1115-1 CSP).

Khuôn khổ Mỹ: HIPAA, FedRAMP và ESIGN Act

Tại Mỹ, HIPAA Security Rule (45 CFR Part 164) áp đặt các đảm bảo hành chính, vật lý và kỹ thuật để bảo vệ ePHI (electronic Protected Health Information). Các nhà cung cấp giải pháp cloud phải ký một Business Associate Agreement (BAA) bắt buộc.

FedRAMP Authorization Act (mã hóa năm 2022, 44 U.S.C. § 3607) làm cho tuân thủ FedRAMP bắt buộc cho bất kỳ dịch vụ cloud nào được sử dụng bởi một cơ quan liên bang. Các vi phạm tuân thủ có thể dẫn đến thu hồi ATO và loại trừ khỏi thị trường liên bang. ESIGN Act (15 U.S.C. § 7001 và seq.) đảm bảo tính hợp lệ pháp lý của chữ ký điện tử trong các giao dịch thương mại và liên bang, mà không áp đặt định dạng kỹ thuật nhưng dưới sự tuân thủ các yêu cầu xác thực.

Cuối cùng, chỉ thị NIS2 (Chỉ thị (EU) 2022/2555), được chuyển giao sang luật Pháp bởi luật số 2023-703 ngày 1 tháng 8 năm 2023, tăng cường các nghĩa vụ an ninh mạng cho các thực thể cơ bản, danh mục mà hầu hết các cơ sở y tế có quy mô có ý nghĩa rơi vào. Nó áp đặt thông báo sự cố trong vòng 24 giờ cho các cơ quan có thẩm quyền (ANSSI ở Pháp) và liên quan đến trách nhiệm của các nhà lãnh đạo trong trường hợp vi phạm.

Kịch bản sử dụng: FedRAMP, HDS và chữ ký điện tử trong sức khỏe

Kịch bản 1: Một nhóm bệnh viện đại học quản lý các giao thức nghiên cứu lâm sàng xuyên Đại Tây Dương

Một nhóm bệnh viện khoảng 1.200 giường, là đối tác của một cơ quan nghiên cứu y tế liên bang Mỹ (loại NIH-affiliated institution), tiến hành các thử nghiệm lâm sàng giai đoạn III liên quan đến các trung tâm điều tra ở Pháp và Mỹ. Mỗi đăng ký bệnh nhân yêu cầu sự chấp thuận sáng suốt được ký điện tử, được lưu trữ trong 15 năm phù hợp với yêu cầu ICH E6(R2) của Thực hành Lâm sàng Tốt.

Trước khi triển khai giải pháp tuân thủ FedRAMP/HDS, quy trình dựa trên chữ ký gi