Organisationer, der opererer i visse brancher, forventes at overholde
lovgivningsmæssige standarder for, hvordan de håndterer specifikke typer af dataelementer. I
I USA er virksomheder i sundhedssektoren underlagt HIPAA-retningslinjerne.
Virksomheder i alle brancher, der behandler kreditkortbetalinger, skal overholde
PCI-DSS.
Vi vil sammenligne disse to fælles lovgivningsmæssige rammer og se på
deres ligheder og forskelle.
Hvad er HIPAA?
HIPAA er en forkortelse for Health Insurance Portability and Accountability Act (lov om overførsel af sundhedsforsikringer).
i 1996. Det er en føderal lov, der er vedtaget af Kongressen i USA, og som har til formål at
at beskytte privatlivets fred og sikkerheden af beskyttede sundhedsoplysninger (PHI). Loven
består af tre hovedregler. Vi vil primært beskæftige os med detaljerne
af HIPPA Security Rule, da den giver rammerne for konstruktionen af en
kompatibelt IT-miljø.
– HIPAA Privacy Rule – Denne regel fastsætter de standarder, som enkeltpersoners
lægejournaler og beskyttede sundhedsoplysninger (PHI) beskyttes. Den
reglen definerer grænser for, hvordan disse data kan bruges, og kræver, at organisationer
beskytte deres privatliv. Privacy Rule giver også patienterne rettigheder med hensyn til
se og verificere deres journaler.
– HIPAA Security Rule – Denne regel fokuserer på elektronisk beskyttet sundhed.
oplysninger (ePHI). Det definerer sikkerhedsforanstaltninger, der skal implementeres for at beskytte
sikkerheden af den ePHI, som en virksomhed opbevarer og behandler elektronisk. Vi har
vil se nærmere på denne regel om lidt.
– HIPAA Breach Notification Rule – Denne regel beskriver de betingelser, som
kræve, at en organisation giver besked om et brud, der involverer PHI eller
ePHI. Dækkede enheder skal underrette de personer, der er berørt af bruddet, de
sundhedsministeren og nogle gange medierne.
HIPAA-sikkerhedsreglen
HIPAA Security Rule gælder kun for ePHI. Det gælder for sundhedspersonale,
sundhedsplaner, dækkede enheder og forretningsforbindelser, der behandler, opbevarer og
transmittere ePHI. Sikkerhedsreglen definerer følgende trin, der skal tages
til at beskytte ePHI. Alle omfattede enheder og forretningspartnere skal:
– Sikre fortrolighed, integritet og tilgængelighed af ePHI;
– Identificer og beskyt miljøet mod trusler mod sikkerheden af ePHI;
– Beskytte mod uautoriseret brug eller videregivelse af ePHI;
– Sikre, at deres arbejdsstyrke overholder alle HIPAA-regler.
Administrative, fysiske og tekniske sikkerhedsforanstaltninger er defineret i Security Rule.
Disse sikkerhedsforanstaltninger skal implementeres, når man designer et computermiljø
der er i overensstemmelse med HIPAA.
HIPAA’s sikkerhedsregler
Her følger en oversigt over de tre typer sikkerhedsforanstaltninger, som HIPAA kræver.
Administrative sikkerhedsforanstaltninger kræver:
– Udvikling af en proces, der identificerer risici for ePHI og implementerer foranstaltninger til at
afbøde dem;
– Udpegning af en kontaktperson, der er ansvarlig for at udvikle og implementere ePHI
sikkerhed;
– Definere rollebaserede politikker, der begrænser adgangen til ePHI;
– Udføre planlagte vurderinger af infrastrukturen for at evaluere sikkerheden
foranstaltninger og ændre dem, hvis det er nødvendigt;
– Sikkerhedstræning for alle medarbejdere og entreprenører, der arbejder med
ePHI.
Fysiske sikkerhedsforanstaltninger omfatter:
– Begrænsning af fysisk adgang til enheder, der indeholder ePHI, til kun autoriserede brugere;
– Implementering af politikker, der specificerer, hvordan enheder og medier, der indeholder ePHI, er
håndteres og destrueres.
Tekniske sikkerhedsforanstaltninger kræver:
– Implementering af kontroller, der begrænser adgangen til ePHI til autoriseret personale;
– Udvikling af revisionskontrol for at sikre, at kun autoriseret personale har adgang til ePHI og
identificere uautoriserede adgangsforsøg;
– Sikring af sikker transmission af ePHI med tekniske foranstaltninger som f.eks.
kryptering;
– Definition af integritetskontrol for at sikre, at ePHI ikke ændres eller ødelægges.
Hvad er PCI-DSS?
Payment Card Industry Data Security Standard (PCI-DSS) er en sikkerhedsstandard.
standard etableret i 2004 af Visa, MasterCard, Discover Financial Services,
JCB International og American Express. Det er ikke en lov, men snarere et sæt af tolv
standarder, der håndhæves af betalingskortindustrien.
– Installer og vedligehold en firewall for at beskytte kortholderdata fra uautoriserede
adgang. Firewallen skal gennemgås to gange om året og opdateres til at håndtere trafik.
ændringer.
– Skift alle leverandørens standardadgangskoder til hvert stykke hardware og
software i det regulerede miljø.
– Beskyt lagrede kortholderdata ved at kryptere dem og kun opbevare dem, så længe det er nødvendigt.
er nødvendig, og forældede data renses mindst en gang i kvartalet.
– Krypter kortholderdata, når de transmitteres på offentlige netværk.
– Implementer og opdater regelmæssigt antivirusprogrammer på alle maskiner, der har adgang til
kortholderdata.
– Udvikle og vedligeholde sikre systemer og applikationer og opdatere dem med
sikkerhedsopdateringer.
– Begræns adgangen til kortholderdata på en need-to-know-basis. Kun brugere, der har brug for
data til at udføre deres arbejde, skal være autoriseret til at tilgå dem.
– Tildel et unikt ID til alle med adgang til computeren for at spore og
overvågning af adgang til kortholderdata.
– Begræns fysisk adgang til kortholders datasystemer med overvågning og
logningsprocedurer.
– Overvåg og spor al adgang til regulerede netværksressourcer og kortholderdata.
for at skabe et revisionsspor, der viser, at reglerne overholdes.
– Test sikkerhedssystemer og -processer regelmæssigt, herunder hvert kvartal.
sårbarhedsscanninger.
– Udvikle og vedligeholde en informationssikkerhedspolitik for alle medarbejdere.
Ligheder mellem HIPAA og PCI-DSS
Der er mange ligheder mellem disse to sæt reguleringsstandarder. Den
ligheder omfatter:
– Håndhævelse af bøder og sanktioner over for organisationer, der ikke overholder
regler;
– Begrænsning af fysisk adgang til systemer, der indeholder regulerede data;
– Kryptering af regulerede data, når de transmitteres via åbne eller offentlige netværk;
– Implementering af foranstaltninger, der begrænser adgangen til regulerede data til autoriserede
personale;
– Overvågning af brugen af systemer, der lagrer regulerede data, for at skabe et revisionsspor;
– Udføre planlagte vurderinger af IT-miljøet for at adressere eventuelle nye
sårbarheder.
Forskelle mellem HIPAA og PCI-DSS
Der er også nogle væsentlige forskelle mellem HIPAA og PCI-DSS. En
Den væsentligste forskel ligger i den måde, PCI og HIPAA definerer beskyttelsesforanstaltningerne på.
der skal træffes for at beskytte regulerede data. HIPAA giver mulighed for mere fleksibilitet
i den måde, en organisation beskytter ePHI på. For eksempel kræver PCI-DSS en
firewall bruges til at beskytte netværksressourcer. HIPAA kræver, at systemer skal være
beskyttet, men specificerer ikke, hvordan det skal gøres.
En anden forskel er, hvordan bøder og straffe fastsættes.
når organisationer ikke overholder reglerne.
HIPAA
– Niveau 1: En overtrædelse, som den dækkede enhed ikke var opmærksom på og ikke kunne
realistisk set kunne have undgået;
– Niveau 2: En overtrædelse, som den dækkede enhed burde have været opmærksom på, men
ikke kunne have undgået selv med en rimelig grad af omhu;
– Niveau 3: En overtrædelse som et direkte resultat af “forsætlig forsømmelse” af HIPAA.
Regler, hvor der er gjort et forsøg på at rette op på overtrædelsen;
– Niveau 4: En overtrædelse af HIPAA-reglerne, der udgør forsætlig forsømmelse, hvor ingen
der er gjort forsøg på at rette op på overtrædelsen inden for 30 dage.
Bøder for manglende overholdelse opkræves i henhold til disse niveauer:
– Niveau 1: Minimumsbøde på 100 $ pr. overtrædelse op til 50.000 $.
– Niveau 2: Minimumsbøde på 1.000 dollars pr. overtrædelse op til 50.000 dollars.
– Niveau 3: Minimumsbøde på 10.000 dollars pr. overtrædelse op til 50.000 dollars.
– Niveau 4: Minimumsbøde på $50.000 pr. overtrædelse
PCI-DSS
Bøder for manglende overholdelse af PCI-DSS varierer fra 5.000 til 100.000 dollars om måneden.
baseret på virksomhedens størrelse og overtrædelsernes omfang og varighed. Fire
Forhandlerniveauer defineres ud fra antallet af Visa-transaktioner over 12 år.
måneder. Niveauerne bestemmer mængden af vurdering og sikkerhedsvalidering af en
enhed skal udføre for at opretholde PCI-DSS compliance.
– Niveau 1 gælder for forhandlere, der behandler mere end seks millioner Visa-transaktioner pr.
år ved hjælp af en hvilken som helst kreditkortmetode.
– Niveau 2 betegner forhandlere, der håndterer mellem en og seks millioner Visa
transaktioner om året med en hvilken som helst kreditkortmetode.
– Niveau 3 er for forhandlere, der behandler mellem 20.000 og en million Visa e-
handelstransaktioner om året.
– Niveau 4 gælder for forhandlere, der håndterer mindre end 20.000 e-handelsvisa.
transaktioner og enheder, der behandler op til en million Visa-transaktioner af enhver art
…slags.
Kan en IT-infrastruktur overholde begge sæt regler?
Ja, det kan det. Mange organisationer skal overholde HIPAA og PCI-DSS.
Virksomheder i sundhedssektoren, der også behandler kreditkortbetalinger
skal sikre, at patientdata og kortholderdata holdes sikre ved at overholde
med begge sæt regler. I mange tilfælde er processerne og procedurerne
implementeret for at beskytte én type data vil være tilstrækkelig til at beskytte både ePHI og
kortholderoplysninger.
Virksomheder, der er underlagt disse regulatoriske standarder, kan implementere en kompatibel
infrastruktur selv eller arbejde med erfarne tredjepartsleverandører, der kan
sikre overholdelse. Uanset hvordan de griber det an, er det vigtigt at undgå compliance
potentielt store bøder, og den skade på omdømmet, der følger med manglende
overensstemmelse.