Preparación para HIPAA en Adobe Commerce

IMPORTANT
Descargo de responsabilidad legal

Esta información está pensada para ayudar a los clientes de Adobe a responder a sus preguntas sobre los servicios preparados para HIPAA de Adobe. No constituye asesoramiento jurídico. Los comerciantes deben consultar con su propio asesor legal para comprender sus obligaciones bajo HIPAA y el uso y la configuración apropiados de los productos de Adobe.
recommendation-more-help

Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA)

La Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA, por sus siglas en inglés) es la ley federal clave de privacidad de la atención médica en Estados Unidos y es aplicada por el Departamento de Salud y Servicios Humanos (HHS, por sus siglas en inglés) de Estados Unidos. La HIPAA se aplica a Entidades cubiertas (como proveedores de atención médica, aseguradoras y cámaras de compensación) y a Asociados de negocios (como las entidades que brindan servicios a entidades cubiertas). Los requisitos de HIPAA se establecen en tres reglas independientes: Regla de privacidad, Regla de seguridad y Regla de notificación de infracciones. Adobe actúa como Asociado Comercial para ciertos productos, que Adobe clasifica como "Servicios preparados para HIPAA". Los datos regulados por la HIPAA se denominan Información médica protegida o PHI. La PHI es un subconjunto de información de salud que (1) es creada o recibida por un proveedor de atención médica, un plan de salud o un centro de intercambio de información de atención médica, (2) se relaciona con la salud física o mental o la condición pasada, presente o futura de un individuo, la prestación de atención médica a un individuo, o el pago pasado, presente o futuro por la prestación de atención médica a un individuo, y (3) identifica al individuo o con respecto al cual hay una base razonable para creer que la información puede usarse para identificar al individuo. Las Reglas de Privacidad y Seguridad de la HIPAA requieren que una Entidad Cubierta obtenga garantías por escrito de un Asociado Comercial en forma de un Contrato de Asociado Comercial, o BAA, que requiere que el Asociado Comercial salvaguarde la privacidad y seguridad de la PHI de la Entidad Cubierta. Para obtener más información, consulte HIPAA y productos y servicios de Adobe en el Centro de confianza de Adobe.

Adobe Commerce compatible con HIPAA

La extensión compatible con HIPAA de Adobe Commerce agrega funciones y funcionalidades adicionales a las instalaciones de Adobe Commerce que permiten a los comerciantes cumplir con sus respectivas obligaciones HIPAA.

La extensión compatible con HIPAA de Adobe Commerce, magento/hipaa-ee, está disponible para Adobe Commerce en proyectos de infraestructura en la nube o Managed Services de Adobe. El proceso de instalación de Adobe Commerce compatible con HIPAA deshabilita algunos servicios y funciones nativos para cumplir con los requisitos de HIPAA. Ver Servicios y características deshabilitados.

NOTE
El acceso a las funciones y funcionalidades preparadas para HIPAA solo está disponible para los comerciantes que han adquirido el complemento de atención médica para Adobe Commerce.

Estos materiales están destinados únicamente a fines informativos. El suministro de esta información no da derecho al destinatario a ningún derecho contractual o de otro tipo. Si bien se han hecho esfuerzos para garantizar la exactitud de la información en la fecha en que se ha proporcionado, no se afirma que esa información sea exacta y completa. Adobe no se compromete a actualizar esta información a medida que cambie la ley o los productos del Adobe. Además, este documento no se debe distribuir a ninguna parte que no sea el destinatario deseado sin el consentimiento por escrito del Adobe.

Requisitos del sistema

Adobe Commerce debe implementarse en Adobe Commerce en la infraestructura en la nube o en Adobe Commerce Managed Services con la versión 2.4.6-p3 o posterior (sin versiones beta).

Instalación

Requisito previo

  • El Adobe ha aprovisionado su cuenta de Adobe Commerce para acceder a la extensión HIPAA Ready.
  • Acceda a repo.magento.com para instalar la extensión. Para obtener la generación de claves y los derechos necesarios, consulta Obtener tus claves de autenticación.

Instale la última versión de la extensión de servicios preparados para HIPAA de Adobe (magento/hipaa-ee) en una instancia que ejecute Adobe Commerce versión 2.4.6-p3 o posterior. La extensión se entrega como un metapaquete de composición desde el repositorio repo.magento.com. El metapaquete incluye la colección de módulos que habilitan las capacidades HIPAA para una instancia de Adobe Commerce.

  1. En la estación de trabajo local, cambie al directorio del proyecto para su proyecto de Adobe Commerce en la nube.

    note note
    NOTE
    Para obtener información sobre cómo administrar los entornos de proyecto de Commerce localmente, consulte Administración de ramas con la CLI en la Guía del usuario de Adobe Commerce on Cloud Infrastructure.
  2. Compruebe la rama de entorno que desea actualizar mediante la CLI de Adobe Commerce Cloud.

    code language-shell
    magento-cloud environment:checkout <environment-id>
    
  3. Agregue el metapaquete magento/hipaa-ee a la configuración del compositor mediante la CLI del compositor.

    code language-shell
    composer require "magento/hipaa-ee" --no-update
    
  4. Actualizar dependencias del paquete.

    code language-shell
    composer update "magento/hipaa-ee"
    
  5. Añada, confirme e inserte el código actualizado en el entorno de la nube.

    code language-shell
    git add -A
    git commit -m "Add HIPAA-Ready Services modules"
    git push origin <branch-name>
    

    Al insertar las actualizaciones, se inicia el proceso de implementación en la nube de Commerce para aplicar los cambios. Compruebe el estado de implementación desde el registro de implementación.

Verificar instalación

Una vez implementadas las actualizaciones, compruebe que la extensión Hipaa* esté instalada

  1. Utilice SSH para iniciar sesión en el entorno remoto de la nube.

    code language-shell
    magento-cloud ssh
    
  2. Desde la línea de comandos, utilice la CLI de Adobe Commerce para comprobar el estado del módulo.

    code language-shell
    bin/magento module:status
    
  3. Compruebe que los módulos HIPAA están incluidos en la lista de módulos habilitados:

    code language-text
    List of enabled modules:
    <truncated for brevity>
    Magento_HipaaAnalytics
    Magento_HipaaCheckout
    Magento_HipaaLogging
    Magento_HipaaScheduledImportExport
    Magento_HipaaAdminLogging
    Magento_HipaaCustomerLogging
    Magento_HipaaNewsletter
    Magento_HipaaImportExport
    Magento_HipaaApiLogging
    <truncated for brevity>
    

    Todos los módulos con el prefijo Magento_Hipaa deben estar en la sección de módulos habilitados.

Mejoras de funciones para la preparación para HIPAA

La extensión magento/hipaa-ee introduce algunos cambios y mejoras en el producto base de Commerce. Las secciones siguientes proporcionan detalles sobre estos cambios y cómo modifican el producto base.

Registros de acciones

El registro de auditoría es un requisito de HIPAA. En Adobe Commerce, la característica Registros de acciones registra todos los cambios realizados por un usuario administrador que trabaja en su tienda. Para cumplir los requisitos de la HIPAA para el registro de auditoría, la función se ha actualizado para registrar todas las acciones de los usuarios y clientes administradores realizadas a través de la IU de administración y mediante llamadas a la API.

Informe Registros de acciones

La cuadrícula del informe Registros de acciones (System > Registros de acciones > Informe) se ha modificado para que se ajuste a las acciones de los clientes realizadas a través de la IU de administración y la API.

  1. Se agregaron dos columnas:

    • Source: Muestra dónde se realizó la acción.
      Valores: Admin UI / Customer UI / REST API / SOAP API / GraphQL API
    • Tipo de cliente: Muestra el tipo de cliente.
      Valores: Cliente | Administrador | Integración
  2. Se cambió el nombre de la columna Nombre de usuario a Identificador de cliente

    • Identificador de cliente: muestra el identificador de inicio de sesión del usuario que realizó la acción.
      Valores:

      • un mensaje de correo electrónico si el tipo de cliente es Cliente
      • un nombre de usuario si el tipo de cliente es Admin
      • un nombre si el Tipo de cliente es Integración
  3. Se cambió el nombre de la columna Nombre de acción completa a Destino

    • Target: muestra el nombre de la acción.
      Valores:

      • un punto final si Source SOAP es una API de REST o una API de
      • un nombre de consulta o mutación si hay una API de GraphQL
      • un nombre de acción si se trata de una IU de administración o de una IU de cliente.

Configurar acciones de administración para el registro

Esta función no está disponible porque todas las acciones deben registrarse de forma predeterminada.

Importar y exportar funciones

Las mejoras en las funciones de importación y exportación se centran en mejorar la experiencia administrativa y proporcionar una mejor visibilidad de las acciones de los usuarios.

NOTE
Estas mejoras no modifican la lógica principal de importación y exportación, sino que amplían la funcionalidad para ofrecer un registro más completo y una atribución de datos mejorada. La funcionalidad fundamental de importación y exportación permanece sin cambios. Los usuarios pueden seguir utilizando las funciones y los flujos de trabajo existentes sin sufrir interrupciones.

Registro de acciones administrativas

Una de las principales mejoras de las funciones de importación y exportación es el registro mejorado de las acciones administrativas. Esta mejora introduce la capacidad de profundizar en las actividades asociadas con la importación y exportación de datos, lo que contribuye a mejorar el seguimiento y la auditabilidad. Las siguientes acciones ahora se registran y reflejan en la cuadrícula System> Action Logs>Report:

Tipo
Acciones
Importar
  • Un usuario administrador ejecuta una importación
  • Un usuario administrador descarga un archivo importado
  • Un usuario administrador descarga un archivo de error
Exportar
  • Un usuario administrador solicita
  • Un usuario administrador descarga un archivo exportado
Importaciones y exportaciones programadas
  • Un usuario administrador programa la exportación
  • Un usuario administrador edita una exportación programada
  • Un usuario administrador ejecuta una exportación programada
  • Un usuario administrador elimina una exportación programada
  • Un usuario administrador programa una importación
  • Un usuario administrador edita una importación programada
  • Un usuario administrador ejecuta una importación programada
  • Un usuario administrador elimina una importación programada
  • Un usuario administrador ejecuta una eliminación en lotes de operaciones de importación y exportación

Mejoras de visualización, filtrado y ordenación mejorados

Para proporcionar a los usuarios administradores cuadrículas más informativas, el servicio HIPAA-Ready proporciona varias mejoras para mostrar, filtrar y ordenar datos.

Historial de importación (System > Data Transfer> Import History)

  • Se habilitó el filtrado para todas las columnas excepto para Imported File, Error File, Execution Time y Summary.

Exportar (System > Data Transfer> Export)

  • Se agregó una columna ID.
  • Se agregó una columna Requested At (fecha y hora en que se solicitó la exportación).
  • Se agregó una columna User (nombre de usuario de un administrador que realizó la solicitud).
  • Se eliminó una columna Action.
  • Se ha movido el vínculo Download a una columna File name (como la cuadrícula Historial de importación).
  • Se deshabilitó la acción responsable de la eliminación de un archivo exportado (para mejorar el seguimiento).
  • Se habilitó la ordenación para todas las columnas excepto File name.
  • Se habilitó el filtrado para todas las columnas.

Importaciones y exportaciones programadas (System > Data Transfer> Scheduled Import/Export)

  • Se agregó una columna ID.
  • Se agregó una columna Scheduled At (la fecha y hora en que se programó la importación o exportación).
  • Se agregó una columna User (el nombre de usuario de un usuario administrador que programó la importación o exportación).

Servicios y funciones desactivados

Para cumplir con los requisitos de HIPAA, algunos servicios y funciones compatibles con Adobe Commerce no están disponibles o están desactivados de forma predeterminada. Los comerciantes tienen la opción de volver a habilitar o utilizar estos servicios y características bajo su propio riesgo.

Servicios

  • Servicios de Adobe Commerce: ninguno de los servicios de Adobe Commerce o de extensibilidad está disponible en la oferta de preparación para HIPAA. Estos servicios incluyen, entre otros:

    • Live Search
    • API Mesh
    • App Builder
  • Correo electrónico transaccionalSendGrid está deshabilitado de forma predeterminada porque el servicio no está preparado para HIPAA. Adobe Commerce proporciona una opción de integración que puede usar con su propia cuenta de AWS Simple Email Service. Póngase en contacto con el administrador de cuentas técnico del cliente o con la asistencia de Adobe Commerce para obtener más información.

Funciones desactivadas de forma predeterminada

Las siguientes funciones están deshabilitadas de forma predeterminada en el módulo de preparación para HIPAA. Los comerciantes pueden activar cualquiera de estas funciones bajo su propio riesgo.

31746fd0-1ead-45b5-9192-1aaf582c5f66