Definición y propósito

El HITRUST CSF ofrece un enfoque estructurado para el cumplimiento regulatorio y la gestión de riesgos. Reconociendo la multitud de regulaciones de seguridad y privacidad que enfrentan las organizaciones de atención médica, el HITRUST CSF consolida múltiples marcos de cumplimiento, estándares y mejores prácticas en un único marco de seguridad integral adaptado para la información de salud y los sistemas relacionados.

Órgano Rector

El órgano rector de HITRUST es la Health Information Trust Alliance (HITRUST).

Última actualización

La actualización más reciente fue la versión 11 lanzada en enero de 2023.

Aplica a

Si bien el HITRUST CSF está principalmente adaptado a la industria de la atención médica, abarcando planes de salud, proveedores de atención médica, compañías farmacéuticas y proveedores de TI de atención médica, ha ampliado su aplicabilidad a otras industrias debido a su naturaleza integral y adaptabilidad. Las empresas u organizaciones que almacenan, procesan o transmiten datos sensibles o regulados, particularmente información de salud personal (PHI), son los principales candidatos para la certificación de HITRUST.

Controles y requisitos

El HITRUST CSF comprende un conjunto de controles prescriptivos que reflejan las mejores prácticas en seguridad de la información. Estos controles están organizados en varios dominios, tales como:

• Programa de protección de la información
• Protección de puntos finales
• Protección de la red
• Gestión de vulnerabilidades
• Control de acceso
• Registro de auditorías y monitoreo
• Educación, capacitación y concienciación
• Gestión de incidentes
• Continuidad del negocio y recuperación ante desastres
• Gestión de riesgos
• Seguridad física y ambiental
• Protección y privacidad de datos
• Garantía de terceros
• Desarrollo de software seguro

Cada dominio comprende un conjunto de controles específicos. El número exacto de controles que una organización debe cumplir dependerá de varios factores, incluido el tipo y tamaño de la organización, los sistemas en uso y los requisitos regulatorios.

Consulte la documentación oficial de HITRUST CSF para una lista detallada de controles y requisitos.

Tipo de auditoría, frecuencia y duración

El proceso de certificación HITRUST incluye opciones de autoevaluación y evaluación validada. Una evaluación validada implica que un evaluador externo evalúa la adherencia de una organización a los controles del HITRUST CSF.

La duración de la auditoría varía según el alcance y el tamaño y la complejidad de la organización. Por lo general, una evaluación validada de HITRUST puede tardar desde varias semanas hasta varios meses desde el inicio hasta el final. Las organizaciones que buscan someterse a una evaluación HITRUST deben consultar con un Evaluador Externo Autorizado de HITRUST para obtener cronogramas y requisitos detallados.

La certificación HITRUST tiene una duración de dos años. Sin embargo, en el segundo año, las organizaciones están obligadas a realizar una revisión intermedia para asegurar el cumplimiento continuo.