• Blog
  • Ein Vergleich zwischen HIPAA und PCI-DSS Compliance

Ein Vergleich zwischen HIPAA und PCI-DSS Compliance

Von Unternehmen, die in bestimmten Branchen tätig sind, wird erwartet, dass sie folgende Bestimmungen einhalten
Regulierungsstandards, wie sie bestimmte Arten von Datenelementen behandeln. Unter
In den USA unterliegen die Unternehmen des Gesundheitswesens den HIPAA-Richtlinien.
Unternehmen aller Branchen, die Kreditkartenzahlungen abwickeln, müssen folgende Bestimmungen einhalten
PCI-DSS.

Wir werden diese beiden gemeinsamen Rechtsrahmen miteinander vergleichen und folgende Punkte untersuchen
ihre Gemeinsamkeiten und Unterschiede.

Was ist HIPAA?

 

HIPAA ist die Abkürzung für den Health Insurance Portability and Accountability Act
von 1996. Es handelt sich um ein vom Kongress der Vereinigten Staaten verabschiedetes Bundesgesetz, das darauf abzielt
zum Schutz der Privatsphäre und der Sicherheit geschützter Gesundheitsinformationen (PHI). Das Gesetz
besteht aus drei Hauptregeln. Wir werden uns vor allem mit den Details befassen
der HIPPA-Sicherheitsvorschrift, da sie den Rahmen für die Konstruktion eines
konforme IT-Umgebung.

HIPAA Privacy Rule – Diese Vorschrift legt die Standards fest, nach denen Personen
medizinische Unterlagen und geschützte Gesundheitsinformationen (PHI) geschützt werden. Die
Regel legt Grenzen für die Verwendung dieser Daten fest und verlangt von den Organisationen, dass sie
ihre Privatsphäre zu schützen. Die Datenschutzrichtlinie gibt den Patienten auch Rechte in Bezug auf
Einsichtnahme und Überprüfung ihrer medizinischen Unterlagen.

HIPAA-Sicherheitsvorschrift – Diese Vorschrift konzentriert sich auf elektronisch geschützte Gesundheitsdaten
Informationen (ePHI). Sie legt Schutzmaßnahmen fest, die zum Schutz der folgenden Personen ergriffen werden müssen
die Sicherheit der ePHI, die ein Unternehmen elektronisch speichert und verarbeitet. Wir
wird diese Regel in Kürze näher beleuchtet.

HIPAA Breach Notification Rule – Diese Regel umreißt die Bedingungen, die
eine Organisation verpflichten, eine Verletzung von PHI zu melden oder
ePHI. Die betroffenen Einrichtungen müssen die von der Verletzung betroffenen Personen, die
Minister für Gesundheit und Soziales, und manchmal auch die Medien.

Die HIPAA-Sicherheitsvorschrift

 

Die HIPAA-Sicherheitsregel gilt nur für ePHI. Sie gilt für Gesundheitsdienstleister,
Gesundheitspläne, betroffene Einrichtungen und Geschäftspartner, die Daten verarbeiten, speichern und
ePHI übermitteln. Die Sicherheitsregel legt die folgenden Schritte fest, die unternommen werden müssen
zum Schutz von ePHI. Alle betroffenen Einrichtungen und Geschäftspartner sind dazu verpflichtet:

– Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit von ePHI;
– Identifizierung und Schutz der Umgebung vor Bedrohungen für die Sicherheit von ePHI;
– Schutz vor unbefugter Nutzung oder Weitergabe von ePHI;
– sicherstellen, dass ihre Mitarbeiter alle HIPAA-Vorschriften einhalten.

Administrative, physische und technische Sicherheitsvorkehrungen sind in der Sicherheitsvorschrift definiert.
Diese Sicherheitsvorkehrungen müssen bei der Gestaltung einer Computerumgebung getroffen werden
die HIPAA-konform ist.

HIPAA-Sicherheitsrichtlinien Schutzmaßnahmen

 

Nachfolgend finden Sie eine Aufschlüsselung der drei Arten von Sicherheitsvorkehrungen, die der HIPAA vorschreibt.

Administrative Schutzmaßnahmen sind erforderlich:

 

– Entwicklung eines Verfahrens zur Ermittlung von Risiken für ePHI und Durchführung von Maßnahmen zur
sie abschwächen;
– Benennung einer zentralen Stelle, die für die Entwicklung und Umsetzung von ePHI zuständig ist
Sicherheit;
– Festlegung von rollenbasierten Richtlinien, die den Zugang zu ePHI beschränken;
– Durchführung planmäßiger Bewertungen der Infrastruktur zur Beurteilung der Sicherheit
Maßnahmen zu überprüfen und gegebenenfalls zu ändern;
– Sicherheitsschulungen für alle Mitarbeiter und Auftragnehmer, die mit
ePHI.

Zu den physischen Sicherheitsvorkehrungen gehören:

 

– Beschränkung des physischen Zugangs zu Geräten, die ePHI enthalten, auf autorisierte Benutzer;
– Umsetzung von Richtlinien, die festlegen, wie Geräte und Medien mit ePHI
behandelt und vernichtet.

Technische Sicherheitsvorkehrungen sind erforderlich:

 

– Einführung von Kontrollen, die den Zugang zu ePHI auf befugtes Personal beschränken;
– Entwicklung von Prüfkontrollen, um sicherzustellen, dass nur befugtes Personal auf ePHI zugreift und
Identifizierung unberechtigter Zugriffsversuche;
– Gewährleistung einer sicheren Übertragung von ePHI durch technische Maßnahmen wie
Verschlüsselung;
– Festlegung von Integritätskontrollen, um sicherzustellen, dass ePHI nicht verändert oder zerstört wird.

Was ist PCI-DSS?

 

Der Payment Card Industry Data Security Standard (PCI-DSS) ist ein Sicherheitsstandard
Standard, der im Jahr 2004 von Visa, MasterCard und Discover Financial Services eingeführt wurde,
JCB International und American Express. Es handelt sich nicht um ein Gesetz, sondern um eine Reihe von zwölf
Standards, die von der Zahlungskartenindustrie durchgesetzt werden.

– Installieren und warten Sie eine Firewall, um Karteninhaberdaten vor unbefugten Personen zu schützen.
Zugang. Die Firewall muss halbjährlich überprüft und aktualisiert werden, um den Datenverkehr
Änderungen.
– Ändern Sie alle vom Hersteller bereitgestellten Standardkennwörter für alle Hardwarekomponenten und
Software im regulierten Umfeld.
– Schützen Sie gespeicherte Karteninhaberdaten, indem Sie sie verschlüsseln und nur so lange wie nötig aufbewahren
erforderlich ist, wobei veraltete Daten mindestens vierteljährlich zu löschen sind.
– Verschlüsseln Sie Karteninhaberdaten, wenn sie über öffentliche Netze übertragen werden.
– Installieren und aktualisieren Sie regelmäßig Antivirenprogramme auf allen Rechnern, die Zugriff auf
Daten des Karteninhabers.
– Entwicklung und Pflege sicherer Systeme und Anwendungen und deren Aktualisierung mit
Sicherheits-Patches.
– Beschränken Sie den Zugang zu den Daten der Karteninhaber auf eine “Need-to-know”-Basis. Nur Benutzer, die
die Daten für ihre Arbeit benötigen, sollten zum Zugriff berechtigt sein.
– Weisen Sie jedem, der Zugang zu einem Computer hat, eine eindeutige ID zu, um ihn zu verfolgen und
Überwachung des Zugangs zu Karteninhaberdaten.
– Beschränkung des physischen Zugangs zu Karteninhaberdatensystemen durch Überwachung und
Protokollierungsverfahren.
– Überwachung und Verfolgung aller Zugriffe auf regulierte Netzwerkressourcen und Karteninhaberdaten
einen Prüfpfad zu erstellen, um die Einhaltung der Vorschriften nachzuweisen.
– Regelmäßige Tests der Sicherheitssysteme und -verfahren, einschließlich vierteljährlicher Tests
Scans auf Sicherheitslücken.
– Entwicklung und Pflege einer Informationssicherheitspolitik für das gesamte Personal.

Ähnlichkeiten zwischen HIPAA und PCI-DSS

 

Es gibt viele Ähnlichkeiten zwischen diesen beiden Regelwerken. Die
Ähnlichkeiten umfassen:

– Durchsetzung von Bußgeldern und Strafen für Organisationen, die sich nicht an die
Vorschriften;
– Beschränkung des physischen Zugangs zu Systemen mit regulierten Daten;
– Verschlüsselung von regulierten Daten bei der Übermittlung über offene oder öffentliche Netze;
– Umsetzung von Maßnahmen, die den Zugang zu regulierten Daten auf autorisierte
Personal;
– Überwachung der Nutzung von Systemen, die regulierte Daten speichern, um einen Prüfpfad zu erstellen;
– Durchführung planmäßiger Bewertungen der IT-Umgebung, um alle neuen
Schwachstellen.

Unterschiede zwischen HIPAA und PCI-DSS

 

Es gibt auch einige wesentliche Unterschiede zwischen HIPAA und PCI-DSS. Eine
Ein wesentlicher Unterschied besteht in der Art und Weise, wie PCI und HIPAA die Schutzmaßnahmen definieren
die getroffen werden müssen, um regulierte Daten zu schützen. HIPAA sorgt für mehr Flexibilität
in der Art und Weise, wie eine Organisation ePHI schützt. Zum Beispiel schreibt PCI-DSS eine
Firewall zum Schutz der Netzwerkressourcen verwendet werden. Der HIPAA verlangt, dass die Systeme
geschützt werden, aber es wird nicht angegeben, wie dies erreicht werden soll.

Ein weiterer Unterschied besteht darin, wie die Schwere der Geldbußen und Sanktionen bestimmt wird
wenn die Organisationen die Vorschriften nicht einhalten.

HIPAA

 

Stufe 1: Ein Verstoß, von dem die betroffene Einrichtung nichts wusste und nicht in der Lage war
realistischerweise vermieden haben;
Stufe 2: Ein Verstoß, der der betroffenen Einrichtung hätte bekannt sein müssen, aber
auch bei angemessener Sorgfalt nicht hätten vermeiden können;
Stufe 3: Ein Verstoß als direkte Folge einer “vorsätzlichen Vernachlässigung” des HIPAA
Regeln, bei denen ein Versuch unternommen wurde, den Verstoß zu korrigieren;
Stufe 4: Ein Verstoß gegen die HIPAA-Vorschriften, der eine vorsätzliche Vernachlässigung darstellt, wenn keine
der Versuch unternommen wurde, den Verstoß innerhalb von 30 Tagen zu beheben.

Die Geldbußen für Verstöße werden nach diesen Stufen erhoben:

Stufe 1: Mindestgeldstrafe von 100 Dollar pro Verstoß bis zu 50.000 Dollar
Stufe 2: Mindestgeldstrafe von 1.000 $ pro Verstoß bis zu 50.000 $
Stufe 3: Mindestgeldstrafe von 10.000 $ pro Verstoß bis zu 50.000 $
Stufe 4: Mindestgeldstrafe von 50.000 $ pro Verstoß

PCI-DSS

 

Geldstrafen für die Nichteinhaltung von PCI-DSS liegen zwischen 5.000 und 100.000 Dollar pro Monat.
je nach Größe des Unternehmens sowie Umfang und Dauer der Verstöße. Vier
Die Händlerstufen werden auf der Grundlage der Anzahl der Visa-Transaktionen über 12
Monate. Die Stufen bestimmen den Umfang der Bewertung und Sicherheitsvalidierung eines
die ein Unternehmen durchführen muss, um die PCI-DSS-Konformität aufrechtzuerhalten.

Stufe 1 gilt für Einzelhändler, die mehr als sechs Millionen Visa-Transaktionen pro
Jahr über eine beliebige Kreditkartenakzeptanzmethode.

Stufe 2 kennzeichnet Händler, die zwischen einer und sechs Millionen Visa
Transaktionen pro Jahr mit einer beliebigen Kreditkartenakzeptanzmethode.

Stufe 3 ist für Händler, die zwischen 20.000 und einer Million Visa e-
Handelstransaktionen pro Jahr.

Stufe 4 gilt für Händler, die weniger als 20.000 E-Commerce-Visa
Transaktionen und Unternehmen, die bis zu einer Million Visa-Transaktionen einer beliebigen
Art.

Kann eine IT-Infrastruktur beide Vorschriften erfüllen?

 

Ja, das kann sie. Viele Unternehmen müssen HIPAA und PCI-DSS einhalten.
Unternehmen, die im Gesundheitssektor tätig sind und auch Kreditkartenzahlungen abwickeln
sicherstellen müssen, dass Patientendaten und Daten von Karteninhabern sicher aufbewahrt werden, indem sie die Vorschriften einhalten
mit beiden Regelwerken. In vielen Fällen sind die Prozesse und Verfahren
die zum Schutz einer Art von Daten eingeführt wurden, ausreichen, um sowohl ePHI als auch
Informationen zum Karteninhaber.

Unternehmen, die diesen Regulierungsstandards unterliegen, können ein konformes
Infrastruktur selbst oder arbeiten mit erfahrenen Drittanbietern zusammen, die
die Einhaltung zu gewährleisten. Wie auch immer sie vorgehen, es ist wichtig, die Einhaltung der Vorschriften zu vermeiden
potenziell hohe Geldstrafen und der mit der Nichtbeachtung einhergehende Imageschaden
Übereinstimmung.

Teilen Sie

Abonnieren

Für die neuesten authentischen Untersuchungen und Nachrichten über die besten Hoster für Ihre Website!

Nächster Beitrag

Verwandte Beiträge: