HIPAA y productos y servicios de Adobe

[Última actualización: enero de 2025]

Adobe continúa innovando y adaptándose para satisfacer las necesidades concretas de privacidad y seguridad de nuestra clientela perteneciente al sector sanitario.

Ley de Portabilidad y Responsabilidad de Seguros Médicos

El subtítulo “Simplificación administrativa” de la Ley de Portabilidad y Responsabilidad de Seguros Médicos de 1996 (“HIPAA”, por sus siglas en inglés) faculta al Departamento de Salud y Servicios Humanos de EE. UU. para promulgar normas que regulen la privacidad y seguridad de determinada información sanitaria con la que se pueda identificar a personas concretas. La Ley de Tecnología de Información Sanitaria para la Salud Económica y Clínica de 2009 (la “Ley HITECH”) modificó notablemente la HIPAA mediante la incorporación de requisitos de notificación de infracciones y la ampliación del ámbito de aplicación de la HIPAA. Las normas de privacidad, seguridad y notificación de infracciones de la HIPAA establecen importantes mecanismos de protección para la información de carácter sanitario con la que se pueda identificar a personas concretas, denominada información de salud protegida o “PHI”, cuando la crea, recibe, mantiene o transmite una entidad cubierta o un socio comercial regulados por la HIPAA. Una “Entidad cubierta” es un proveedor de asistencia sanitaria, un plan de salud o una cámara de compensación para el sector sanitario. Por su parte, un “Socio comercial” es una entidad o persona que no trabaja para una entidad cubierta y lleva a cabo funciones o actividades en nombre de una Entidad cubierta, o le presta determinados servicios, que conllevan la creación, la recepción, el mantenimiento o la transmisión de PHI.

Las normas de privacidad y seguridad de la HIPAA exigen que una Entidad cubierta obtenga garantías por escrito de un Socio comercial en forma de un acuerdo de asociación comercial (BAA, por sus siglas en inglés), que requiere que el Socio comercial salvaguarde la privacidad y seguridad de la PHI de la Entidad cubierta.

Facilitar PHI a Adobe

Adobe ofrece a sus clientes del sector sanitario servicios preparados para aceptar PHI, denominados Servicios compatibles con la HIPAA. Dichos Servicios cuentan con características y funciones adicionales que permiten a cada cliente (Entidades cubiertas y Socios comerciales) y a Adobe cumplir con sus respectivas obligaciones en virtud de la HIPAA. Estas funciones adicionales pueden incrementar el coste de la licencia o suscripción correspondiente.

Quienes adquieran una licencia de Servicios compatibles con la HIPAA para procesar PHI deben haber formalizado un BAA con Adobe que se aplique a los mencionados Servicios. Cada cliente solo puede facilitar PHI con un Servicio compatible con la HIPAA, de conformidad con el acuerdo de licencia y el BAA formalizado entre Adobe y el cliente. No se permite a los clientes crear, recibir, mantener ni transmitir PHI a través de productos y servicios de Adobe que no sean Servicios compatibles con la HIPAA, ya que Adobe no ha diseñado estos servicios para respaldar el cumplimiento de los requisitos de la HIPAA por los que se rigen el cliente y Adobe.

La lista actual de Servicios compatibles con la HIPAA incluye los siguientes:

  • Adobe Acrobat Sign
  • Adobe Acrobat Sign para la administración pública
  • Adobe Experience Manager Cloud Service
  • Adobe Workfront
  • Adobe Customer Journey Analytics 1
  • Adobe Journey Optimizer 2
  • Adobe Marketo (solo Engage y Sales Connect)
  • Adobe Experience Platform
  • Adobe Real-Time CDP 3
  • Adobe Experience Manager Managed Services
  • Adobe Connect Managed Services
  • Adobe Commerce on Cloud
  • Adobe Commerce on Managed Services

Se puede encontrar más información sobre cómo utilizar las soluciones de Adobe Experience Cloud en contextos empresariales de asistencia sanitaria en nuestro documento técnico, Resumen de las soluciones de Adobe Experience Cloud para el sector sanitario, en el Centro de confianza de Adobe.

Responsabilidades compartidas conforme a la HIPAA

Los Servicios compatibles con la HIPAA de Adobe se basan en un modelo de seguridad de responsabilidad compartida, que exige que tanto el cliente como Adobe asuman responsabilidades específicas para mantener la seguridad de la PHI. En virtud de este modelo de seguridad compartida, Adobe depende de que el cliente implemente una serie de configuraciones que están bajo su control para poder cumplir con los requisitos de la norma de seguridad de la HIPAA. Adobe también ofrece recomendaciones de configuración para ayudar a sus clientes a satisfacer sus propias obligaciones de cumplimiento en virtud de HIPAA a la hora de hacer uso de los Servicios compatibles con la HIPAA.

Modelo de seguridad de responsabilidad compartida

A continuación, se detalla cómo Adobe ha abordado determinados estándares clave de la norma de seguridad de la HIPAA en relación con la información de salud protegida electrónicamente (“ePHI”) y se comparten algunas recomendaciones para ayudar a la clientela a cumplir con la HIPAA.

1 Excepto CJA Labs. CJA Labs no es un Servicio de CJA compatible con la HIPAA. Se puede obtener más información al respecto aquí.
2 Excepto la composición de público federado. La composición de público federado no es un Servicio de AJO compatible con la HIPAA.
3 Excepto Real-Time CDP Collaboration, el reenvío de eventos y la composición de público federado. Real-Time CDP Collaboration, el reenvío de eventos y la composición de público federado no son Servicios de RTCDP compatibles con la HIPAA.
4 Excepto Adobe Commerce on Cloud y Adobe Commerce on Managed Services. Adobe Commerce on Cloud y Adobe Commerce on Managed Services están sujetos al modelo de seguridad de responsabilidad compartida específico de Adobe Commerce.

Estándares
Salvaguardas técnicas
Control de acceso
Adobe ha implementado políticas, procedimientos y controles técnicos para asignar identificadores únicos a cada persona usuaria de Adobe (incluida la prevención de la reutilización de identificadores), permitir el acceso a ePHI solo a personas usuarias autorizadas de Adobe, retirar dicho acceso cuando ya no sea necesario, y permitir la revelación de ePHI en caso de emergencia. Adobe también proporciona a sus clientes las herramientas necesarias para controlar qué personas usuarias tienen acceso a ePHI.
Cifrado y descifrado
Adobe permite cifrar la ePHI transmitida a través de redes públicas y en reposo. Si alguien utiliza Servicios compatibles con la HIPAA para transmitir o almacenar ePHI sin cifrar, deberá dejar constancia del motivo por el que considera que el cifrado no es razonable ni apropiado.
Controles de auditoría
Adobe ha implementado controles para acceder y registrar la actividad de las personas usuarias en Real-Time Customer Data Platform.
Tiempo de espera de sesión
Los sistemas de Adobe están configurados para cerrar las sesiones inactivas del personal autorizado y las personas usuarias cuando los utilicen para acceder o compartir ePHI después de un lapso de tiempo predefinido o cuando la persona usuaria finalice la sesión.
Controles de integridad
Adobe ha implementado medidas de seguridad técnicas para garantizar que la ePHI no se modifique ni destruya indebidamente. Se puede obtener más información en www.adobe.com.
Estándares
Salvaguardas administrativas
Análisis y gestión de riesgos
Adobe ha implementado medidas para reducir los riesgos a un nivel razonable y apropiado, lo que conlleva la realización de su propio análisis de riesgos y la implementación de un plan de gestión de riesgos con respecto a la ePHI que Adobe mantiene. Adobe recomienda que sus clientes realicen sus propios análisis de riesgos en los que se tenga en cuenta su uso de los Servicios compatibles con la HIPAA y utilicen las funciones de seguridad de estos Servicios para reducir los riesgos de seguridad a un nivel razonable y apropiado.
Revisión de la actividad de los sistemas de información
Adobe revisa con regularidad el acceso de sus personas usuarias a la ePHI y recomienda que cada cliente también haga lo propio con sus personas usuarias a través de los registros de auditoría disponibles en los Servicios compatibles con la HIPAA.
Formación en materia de seguridad para el personal
Adobe ha creado un programa formativo en materia de concienciación sobre seguridad para formar y mantener a la plantilla al tanto de las políticas y los procedimientos de Adobe para salvaguardar la ePHI, lo que incluye la aplicación de sanciones apropiadas contra el personal que infrinja dichos procedimientos y políticas, y la suspensión de su acceso a los sistemas que almacenen, procesen o transmitan ePHI. Adobe recomienda que sus clientes formen a sus personas usuarias acerca del uso apropiado de los Servicios compatibles con la HIPAA para procesar ePHI.
Planificación de contingencias
Adobe ha implementado un plan de contingencia y lo somete a pruebas periódicamente, lo que permite la restauración de ePHI en caso de emergencia, desastre o interrupción. Adobe recomienda que sus clientes mantengan sus propios planes de contingencia para determinar si la PHI almacenada en Servicios compatibles con la HIPAA debe estar disponible para cada cliente en una situación de emergencia.
Acuerdo de asociación comercial (BAA)
En el BAA de Adobe se exponen las responsabilidades de Adobe con respecto a su cliente. Dicho documento está disponible para que cada cliente lo formalice durante la implementación de los Servicios compatibles con la HIPAA. Adobe también formaliza BAA con sus subcontratistas.
Estándares
Salvaguardas físicas
Acceso y control de instalaciones
Adobe controla quién tiene acceso físico a los lugares donde se recibe, mantiene o transmite ePHI, lo que incluye a personal de ingeniería de software, de instalaciones, etc. Adobe cuenta con políticas y procedimientos para proteger e impedir el acceso físico no autorizado, la manipulación y el robo. Adobe recomienda a sus clientes que regulen el acceso físico a las instalaciones desde las que sus personas usuarias acceden a los Servicios compatibles con la HIPAA.
Gestión de estaciones de trabajo y dispositivos
Adobe ha implementado políticas y estándares que exigen al personal solicitar una aprobación para acceder a ePHI, lo que incluye el acceso físico a zonas restringidas, estaciones de trabajo en zonas restringidas, y estaciones de trabajo y monitores con pantallas de privacidad colocadas para que solo pueda verlas la persona autorizada. Adobe recomienda a sus clientes que aborden la seguridad de las estaciones de trabajo empleadas para acceder a los Servicios compatibles con la HIPAA.
Gestión de inventario de hardware e infraestructura
Adobe mantiene un inventario exhaustivo del hardware y la infraestructura del personal autorizado para procesar ePHI, como registros de mantenimiento y de los movimientos de cada elemento.
Eliminación
Adobe ha establecido prácticas y procedimientos para eliminar de forma adecuada la ePHI, lo que incluye su eliminación antes de trasladar cualquier equipo. Adobe recomienda a sus clientes que identifiquen los dispositivos donde se descarga ePHI de los Servicios compatibles con la HIPAA y se aseguren de que esta se elimine correctamente cuando ya no haga falta.
Copia de seguridad y restauración
Adobe ha implementado medidas de seguridad técnicas para garantizar que la ePHI no se modifique ni destruya indebidamente. Adobe aconseja a sus clientes que determinen el alcance necesario para realizar copias de seguridad y poder restaurar la PHI que se mantiene a través de los Servicios compatibles con la HIPAA.

Información adicional

Se puede obtener información sobre la configuración de los Servicios compatibles con la HIPAA en la documentación de producto disponible en Experience League.

BAA de Adobe para Servicios compatibles con la HIPAA

Es necesario ponerse en contacto con representantes de ventas de Adobe o responsables de éxito de cliente para formalizar el BAA de Adobe relativo a los Servicios compatibles con la HIPAA.

Aviso legal

Esta información tiene como objetivo describir cómo Adobe, en calidad de asociado comercial, ha abordado determinados estándares clave de la norma de seguridad de la HIPAA. No debe considerarse asesoramiento legal. Cada cliente es responsable de su uso particular de los Servicios compatibles con la HIPAA y de garantizar que estos Servicios de Adobe satisfagan sus necesidades de cumplimiento normativo.