Preparación para HIPAA en Adobe Commerce
Esta información está pensada para ayudar a los clientes de Adobe a responder a sus preguntas sobre los servicios preparados para HIPAA de Adobe. No constituye asesoramiento jurídico. Los comerciantes deben consultar con su propio asesor legal para comprender sus obligaciones bajo HIPAA y el uso y la configuración apropiados de los productos de Adobe.
Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA)
La Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA, por sus siglas en inglés) es la ley federal clave de privacidad de la atención médica en Estados Unidos y es aplicada por el Departamento de Salud y Servicios Humanos (HHS, por sus siglas en inglés) de Estados Unidos. La HIPAA se aplica a Entidades cubiertas (como proveedores de atención médica, aseguradoras y cámaras de compensación) y a Asociados de negocios (como las entidades que brindan servicios a entidades cubiertas). Los requisitos de HIPAA se establecen en tres reglas independientes: Regla de privacidad, Regla de seguridad y Regla de notificación de infracciones. Adobe actúa como Asociado Comercial para ciertos productos, que Adobe clasifica como "Servicios preparados para HIPAA". Los datos regulados por la HIPAA se denominan Información médica protegida o PHI. La PHI es un subconjunto de información de salud que (1) es creada o recibida por un proveedor de atención médica, un plan de salud o un centro de intercambio de información de atención médica, (2) se relaciona con la salud física o mental o la condición pasada, presente o futura de un individuo, la prestación de atención médica a un individuo, o el pago pasado, presente o futuro por la prestación de atención médica a un individuo, y (3) identifica al individuo o con respecto al cual hay una base razonable para creer que la información puede usarse para identificar al individuo. Las Reglas de Privacidad y Seguridad de la HIPAA requieren que una Entidad Cubierta obtenga garantías por escrito de un Asociado Comercial en forma de un Contrato de Asociado Comercial, o BAA, que requiere que el Asociado Comercial salvaguarde la privacidad y seguridad de la PHI de la Entidad Cubierta. Para obtener más información, consulte HIPAA y productos y servicios de Adobe en el Centro de confianza de Adobe.
Adobe Commerce compatible con HIPAA
La extensión compatible con HIPAA de Adobe Commerce agrega funciones y funcionalidades adicionales a las instalaciones de Adobe Commerce que permiten a los comerciantes cumplir con sus respectivas obligaciones HIPAA.
La extensión compatible con HIPAA de Adobe Commerce, magento/hipaa-ee, está disponible para Adobe Commerce en proyectos de infraestructura en la nube o Managed Services de Adobe. El proceso de instalación de Adobe Commerce compatible con HIPAA deshabilita algunos servicios y funciones nativos para cumplir con los requisitos de HIPAA. Ver Servicios y características deshabilitados.
Estos materiales están destinados únicamente a fines informativos. El suministro de esta información no da derecho al destinatario a ningún derecho contractual o de otro tipo. Si bien se han hecho esfuerzos para garantizar la exactitud de la información en la fecha en que se ha proporcionado, no se afirma que esa información sea exacta y completa. Adobe no se compromete a actualizar esta información a medida que cambie la ley o los productos del Adobe. Además, este documento no se debe distribuir a ninguna parte que no sea el destinatario deseado sin el consentimiento por escrito del Adobe.
Requisitos del sistema
Adobe Commerce debe implementarse en Adobe Commerce en la infraestructura en la nube o en Adobe Commerce Managed Services con la versión 2.4.6-p3 - 2.4.6-p8 (sin versiones beta).
Instalación
Requisito previo
- El Adobe ha aprovisionado su cuenta de Adobe Commerce para acceder a la extensión HIPAA Ready.
- Acceda a repo.magento.com para instalar la extensión. Para obtener la generación de claves y los derechos necesarios, consulta Obtener tus claves de autenticación.
Instale la última versión de la extensión de servicios preparados para HIPAA de Adobe (magento/hipaa-ee) en una instancia que ejecute Adobe Commerce versión 2.4.6-p3 - 2.4.6-p8. La extensión se entrega como un metapaquete de composición desde el repositorio repo.magento.com. El metapaquete incluye la colección de módulos que habilitan las capacidades HIPAA para una instancia de Adobe Commerce.
-
En la estación de trabajo local, cambie al directorio del proyecto para su proyecto de Adobe Commerce en la nube.
note note NOTE Para obtener información sobre cómo administrar los entornos de proyecto de Commerce localmente, consulte Administración de ramas con la CLI en la Guía del usuario de Adobe Commerce on Cloud Infrastructure. -
Compruebe la rama de entorno que desea actualizar mediante la CLI de Adobe Commerce Cloud.
code language-shell magento-cloud environment:checkout <environment-id> -
Agregue el metapaquete
magento/hipaa-eea la configuración del compositor mediante la CLI del compositor.code language-shell composer require "magento/hipaa-ee" --no-update -
Actualizar dependencias del paquete.
code language-shell composer update "magento/hipaa-ee" -
Añada, confirme e inserte el código actualizado en el entorno de la nube.
code language-shell git add -A git commit -m "Add HIPAA-Ready Services modules" git push origin <branch-name>Al insertar las actualizaciones, se inicia el proceso de implementación en la nube de Commerce para aplicar los cambios. Compruebe el estado de implementación desde el registro de implementación.
Verificar instalación
Una vez implementadas las actualizaciones, compruebe que la extensión Hipaa* esté instalada
-
Utilice SSH para iniciar sesión en el entorno remoto de la nube.
code language-shell magento-cloud ssh -
Desde la línea de comandos, utilice la CLI de Adobe Commerce para comprobar el estado del módulo.
code language-shell bin/magento module:status -
Compruebe que los módulos HIPAA están incluidos en la lista de módulos habilitados:
code language-text List of enabled modules: <truncated for brevity> Magento_HipaaAnalytics Magento_HipaaCheckout Magento_HipaaLogging Magento_HipaaScheduledImportExport Magento_HipaaAdminLogging Magento_HipaaCustomerLogging Magento_HipaaNewsletter Magento_HipaaImportExport Magento_HipaaApiLogging Magento_HipaaSales Magento_HipaaCustomer <truncated for brevity>Todos los módulos con el prefijo
Magento_Hipaadeben estar en la sección de módulos habilitados.
Mejoras de funciones para la preparación para HIPAA
La extensión magento/hipaa-ee introduce algunos cambios y mejoras en el producto base de Commerce. Las secciones siguientes proporcionan detalles sobre estos cambios y cómo modifican el producto base.
Registros de acciones
El registro de auditoría es un requisito de HIPAA. En Adobe Commerce, la característica Registros de acciones registra todos los cambios realizados por un usuario administrador que trabaja en su tienda. Para cumplir los requisitos de la HIPAA para el registro de auditoría, la función se ha actualizado para registrar todas las acciones de los usuarios y clientes administradores realizadas a través de la IU de administración y mediante llamadas a la API.
Los registros de acciones también capturan eventos cuando los servicios de Adobe acceden a los datos de su tienda. Estos eventos se pueden identificar filtrando por la acción "Datos enviados fuera" del informe Registros de acciones.
Informe Registros de acciones
La cuadrícula del informe Registros de acciones (System > Registros de acciones > Informe) se ha modificado para que se ajuste a las acciones de los clientes realizadas a través de la IU de administración y la API.
-
Se agregaron dos columnas:
- Source: Muestra dónde se realizó la acción.
Valores:Admin UI/Customer UI/REST API/SOAP API/GraphQL API - Tipo de cliente: Muestra el tipo de cliente.
Valores: Cliente | Administrador | Integración
- Source: Muestra dónde se realizó la acción.
-
Se cambió el nombre de la columna Nombre de usuario a Identificador de cliente
-
Identificador de cliente: muestra el identificador de inicio de sesión del usuario que realizó la acción.
Valores:- un mensaje de correo electrónico si el tipo de cliente es Cliente
- un nombre de usuario si el tipo de cliente es Admin
- un nombre si el Tipo de cliente es Integración
-
-
Se cambió el nombre de la columna Nombre de acción completa a Destino
-
Target: muestra el nombre de la acción.
Valores:- un punto final si Source SOAP es una API de REST o una API de
- un nombre de consulta o mutación si hay una API de GraphQL
- un nombre de acción si se trata de una IU de administración o de una IU de cliente.
-
Configurar acciones de administración para el registro
Esta función no está disponible porque todas las acciones deben registrarse de forma predeterminada.
Restricción de resultados de búsqueda del cliente HIPAA
La funcionalidad de restricción de resultados de búsqueda del cliente de HIPAA en Adobe Commerce garantiza el cumplimiento de las regulaciones de HIPAA al limitar el acceso a la información médica protegida (PHI) y a la información de identificación personal (PII). Esta función restringe la capacidad de buscar y ver registros de clientes en función de los roles de usuario, lo que garantiza que solo los usuarios autorizados puedan acceder a esta información.
Características principales
- Restricciones de búsqueda: los usuarios sin los roles necesarios no pueden buscar ni ver registros de clientes.
- Búsqueda obligatoria de acceso: a diferencia del comportamiento predeterminado de Adobe Commerce, no es posible ver la información del cliente sin realizar una búsqueda. Esto garantiza que los usuarios deben conocer los detalles específicos de un cliente para localizar su información.
- Resultados de búsqueda limitados: los resultados de búsqueda que coinciden con los criterios están limitados a 10 registros, lo que garantiza que solo se muestre un número manejable de registros a la vez.
- Cantidad mínima de filtros: los usuarios deben aplicar un mínimo de tres filtros (por ejemplo, correo electrónico, apellidos y estado) para realizar una búsqueda, asegurándose de que las búsquedas sean específicas y específicas.
- Notificaciones de filtro: cuando las restricciones de búsqueda están habilitadas, se notifica a los usuarios que apliquen filtros para restringir los resultados de búsqueda.
Configuración
La configuración para limitar el número de clientes en los resultados de búsqueda se encuentra en el panel de administración en Stores > Configuration > Advanced > Admin > Admin Grids. Esta configuración está habilitada de manera predeterminada cuando se instala la extensión hipaa-ee.
- Limitar número de clientes en la cuadrícula: esta configuración le permite habilitar o deshabilitar la limitación del número de clientes mostrados en los resultados de búsqueda de la cuadrícula.
- Límite de resultados de búsqueda de cuadrícula de cliente: esta configuración especifica el número máximo de registros de cliente que se pueden mostrar en los resultados de búsqueda de cuadrícula.
Áreas funcionales afectadas
Las cuadrículas de clientes de la página Administración: Crear pedido (Sales > Orders > Create New Order) y la página Clientes (Customers > All Customers) se ven afectadas por la funcionalidad de restricción de resultados de búsqueda.
- Los filtros se abren de forma predeterminada.
- Los usuarios deben aplicar un mínimo de tres filtros para realizar una búsqueda.
- De forma predeterminada, los resultados de búsqueda están limitados a 10 registros.
- Si hay más registros que coincidan con los criterios de búsqueda, las notificaciones informarán a los usuarios sobre el límite de resultados y la necesidad de refinar la búsqueda.
- La paginación de cuadrícula no está disponible.
- Los resultados de búsqueda anteriores y los filtros aplicados no se guardan al salir de la página.
La funcionalidad de restricción de resultados de búsqueda también se aplica a la API de REST para la búsqueda de clientes (/V1/customers/search).
- Sin filtros aplicados o con filtros insuficientes, la API devuelve un mensaje de error que indica que se necesita el número requerido de filtros para realizar una búsqueda.
- Cuando los usuarios autorizados aplican suficientes filtros, la API devuelve los resultados dentro del límite especificado.
- Cuando los resultados son limitados, se agrega un mensaje a la respuesta que indica el número total de registros encontrados y el límite aplicado actual.
Importar y exportar funciones
Las mejoras en las funciones de importación y exportación se centran en mejorar la experiencia administrativa y proporcionar una mejor visibilidad de las acciones de los usuarios.
Registro de acciones administrativas
Una de las principales mejoras de las funciones de importación y exportación es el registro mejorado de las acciones administrativas. Esta mejora introduce la capacidad de profundizar en las actividades asociadas con la importación y exportación de datos, lo que contribuye a mejorar el seguimiento y la auditabilidad. Las siguientes acciones ahora se registran y reflejan en la cuadrícula System> Action Logs>Report:
- Un usuario administrador ejecuta una importación
- Un usuario administrador descarga un archivo importado
- Un usuario administrador descarga un archivo de error
- Un usuario administrador solicita
- Un usuario administrador descarga un archivo exportado
- Un usuario administrador programa la exportación
- Un usuario administrador edita una exportación programada
- Un usuario administrador ejecuta una exportación programada
- Un usuario administrador elimina una exportación programada
- Un usuario administrador programa una importación
- Un usuario administrador edita una importación programada
- Un usuario administrador ejecuta una importación programada
- Un usuario administrador elimina una importación programada
- Un usuario administrador ejecuta una eliminación en lotes de operaciones de importación y exportación
Mejoras de visualización, filtrado y ordenación mejorados
Para proporcionar a los usuarios administradores cuadrículas más informativas, el servicio HIPAA-Ready proporciona varias mejoras para mostrar, filtrar y ordenar datos.
Historial de importación (System > Data Transfer> Import History)
- Se habilitó el filtrado para todas las columnas excepto para Imported File, Error File, Execution Time y Summary.
Exportar (System > Data Transfer> Export)
- Se agregó una columna ID.
- Se agregó una columna Requested At (fecha y hora en que se solicitó la exportación).
- Se agregó una columna User (nombre de usuario de un administrador que realizó la solicitud).
- Se eliminó una columna Action.
- Se ha movido el vínculo Download a una columna File name (como la cuadrícula Historial de importación).
- Se deshabilitó la acción responsable de la eliminación de un archivo exportado (para mejorar el seguimiento).
- Se habilitó la ordenación para todas las columnas excepto File name.
- Se habilitó el filtrado para todas las columnas.
Importaciones y exportaciones programadas (System > Data Transfer> Scheduled Import/Export)
- Se agregó una columna ID.
- Se agregó una columna Scheduled At (la fecha y hora en que se programó la importación o exportación).
- Se agregó una columna User (el nombre de usuario de un usuario administrador que programó la importación o exportación).
Servicios y herramientas preparados para HIPAA
En esta sección se describen los servicios de Adobe preparados para HIPAA que están disponibles para su uso con la oferta HIPAA para Adobe Commerce. También describe las herramientas que puede utilizar para supervisar los controles clave de seguridad y cumplimiento normativo de su tienda.
Servicios de Adobe Commerce
La siguiente tabla identifica los servicios de Adobe Commerce disponibles para la oferta de preparación para HIPAA. Estos servicios incluyen, entre otros:
Herramientas
Security Scan Tool para Adobe Commerce le ayuda a supervisar su tienda para asegurarse de que todos los controles de seguridad necesarios estén activados y en funcionamiento. Además de las comprobaciones de seguridad estándar, Adobe ha mejorado la herramienta para mostrar las comprobaciones específicas de HIPAA para los clientes que utilizan la oferta HIPAA para Adobe Commerce. Las comprobaciones HIPAA en el Security Scan Tool están diseñadas para garantizar que:
- Los módulos de auditoría no están desactivados
- La autenticación de doble factor (2FA) no está deshabilitada
- Las funciones de marketing están desactivadas
- Todas las extensiones instaladas coinciden con una lista de permitidos predefinida
- No hay servicios de Adobe instalados que no sean compatibles
Puedes configurar la herramienta para enviarte notificaciones por correo electrónico con detalles de análisis programados o informes de visualización manual.
Funciones desactivadas
Para cumplir con los requisitos de HIPAA, algunas funciones admitidas por Adobe Commerce no están disponibles o están desactivadas de forma predeterminada. Los comerciantes tienen la opción de volver a activar o utilizar estas funciones bajo su propia responsabilidad.
Las siguientes funciones están deshabilitadas de forma predeterminada en el módulo de preparación para HIPAA. Los comerciantes pueden activar cualquiera de estas funciones bajo su propio riesgo.
-
Correo electrónico transaccional: SendGrid está deshabilitado de forma predeterminada porque el servicio no está preparado para HIPAA. Adobe Commerce proporciona una opción de integración que puede usar con su propia cuenta de AWS Simple Email Service. Póngase en contacto con el administrador de cuentas técnico del cliente o con la asistencia de Adobe Commerce para obtener más información.
-
Cierre de compra para invitados: Esta función presenta un riesgo potencial para varios aspectos de HIPAA, como el registro, el control de acceso, la higiene y el linaje de la PHI y potencialmente más.
-
Función de newsletter: esta función está deshabilitada para evitar que se utilice PHI en un contexto de marketing.
-
Configuración del servicio de informes avanzados: esta configuración está deshabilitada para evitar que se use la PHI para análisis e informes.