Skip Navigation
 
   

Los cambios en la certificación se abren a comentarios de los miembros

15 de enero 2014

Los cambios para 2014 del Programa de Certificación AAA de NAID ya están disponibles para que se comenten en línea. Para revisar los cambios y hacer comentarios, por favor haga clic aquí. Se necesita un nombre de usuario y contraseña para acceder a esta página. Si no conoce su información de acceso, puede solicitarla enviando un correo electrónico a admin@naidonline.org. El periodo de comentarios permanecerá abierto hasta el 1 de febrero de 2014. A continuación, puede ver un resumen de los nuevos requisitos de 2014 para el programa de certificación, tal como han sido aprobados por la junta directiva de NAID:

Evaluación de riesgos según la HIPAA: Con los cambios recientes de la HITECH, es más importante que nunca que los proveedores de servicios de destrucción de datos mantengan y verifiquen el cumplimiento como socios empresariales (BA) según los términos de la HIPAA, especialmente en cuanto a la evaluación de riesgos. Por lo tanto, se han añadido nuevos requisitos a fin de hacer que la Certificación de NAID sea un sinónimo de cumplimiento de la HIPAA, tanto para BA como para entidades cubiertas (CE). Informes de auditoría disponibles a petición: ahora las empresas certificadas podrán acceder a informes de auditoría detallados a petición. La compañía podrá conservarlos en sus propios registros, o bien distribuirlos para confirmar el cumplimiento de los criterios de la Certificación de NAID y la HIPAA. NAID solo proporcionará un informe de auditoría al miembro certificado que lo solicite.

Notificación de filtración de datos a NAID (Acuerdo 20 y Sección 2.1c): Si  una empresa certificada experimentase un incidente de filtración de datos de seguridad que requiera ser notificado a sus clientes por las leyes estatales o federales aplicables, la empresa también deberá notificárselo a NAID. Esto permitirá a NAID asegurar que cualquier problema de incumplimiento de los criterios de certificación o el Código Ético de NAID se corrija a su debido tiempo.

Plan de respuesta ante incidentes de violación de la seguridad de los datos (Sección 2.1d): La empresa tiene preparado un plan de respuesta escrito para manejar incidentes de violación de la seguridad de los datos. Este plan debe incluir un análisis posterior al accidente del efecto en la empresa y un proceso de documentación de todos los incidentes y sus resultados, de acuerdo con la Norma de Seguridad de la HIPAA 164.308(a)(6)(ii).    

Los empleados con acceso deben estar formados (Sección 2.1g): Los empleados con acceso deben estar formados para cumplir con los requisitos de la Certificación AAA de NAID. La formación debe cumplir con los requisitos de la Norma de Seguridad de la HIPAA 164.308(a)(d)(i).

Auditorías de adquisiciones y traslados (Acuerdos 25 y 26): Desde su implantación, la Certificación de NAID ha requerido a las empresas que hayan experimentado un cambio de propietario o un traslado de las operaciones de la planta empresarial que se sometan a una auditoría antes de que transcurran seis meses desde el momento del cambio. Para aclarar algunas confusiones, ahora esta norma se añade a la solicitud de la certificación como un acuerdo que debe firmarse durante el proceso de solicitud.

Notificar a NAID los problemas con el sistema de circuito cerrado de televisión (CCTV) (Sección 2.15): Si hay algúnproblema con el sistema de CCTV que dé como resultado la pérdida de datos, las empresas certificadas deben notificárselo a NAID antes de 48 horas. Esto permite a NAID ofrecer asesoramiento y verificar que el sistema vuelva a cumplir con los requisitos en un tiempo razonable. También beneficia a la empresa certificada al asegurar que, si se produce una auditoría durante el periodo de inactividad del sistema de CCTV, no contará en contra de la empresa, siempre que se notificase a NAID dentro del plazo establecido y la compañía corrigiese el problema.

Por favor, tenga en cuenta que las empresas que ya están certificadas están obligadas a cumplir con las normas de la última solicitud que enviasen a NAID. Por lo tanto, NAID no las obligará a adherirse a este nuevo criterio hasta que envíen una nueva solicitud de renovación. Sin embargo, es buena idea comenzar a implementar estos cambios lo antes posible, ya que se han añadido para alinear los criterios de certificación con los cambios recientes de las leyes HITECH/HIPAA que afecten a los proveedores de servicios.

Si tiene alguna pregunta o necesita ayuda para enviar comentarios acerca de los cambios en estos programas, por favor contacte con NAID en el teléfono 602-788-6243 o en certification@naidonline.org.