Las organizaciones que operan en determinados sectores deben cumplir los siguientes requisitos
normas reglamentarias relativas a la forma en que tratan determinados tipos de elementos de datos. En
En Estados Unidos, las empresas del sector sanitario están sujetas a las directrices de la HIPAA.
Las empresas de cualquier sector que procesen pagos con tarjeta de crédito deben cumplir
PCI-DSS.
Vamos a comparar estos dos marcos normativos comunes y a examinar
sus similitudes y diferencias.
¿Qué es la HIPAA?
HIPAA es el acrónimo de Health Insurance Portability and Accountability Act (Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios).
de 1996. Es una ley federal aprobada por el Congreso de Estados Unidos que tiene por objeto
proteger la privacidad y seguridad de la información sanitaria protegida (PHI). La ley
consta de tres reglas principales. Nos ocuparemos principalmente de los detalles
de la Norma de Seguridad HIPPA, ya que proporciona el marco para la construcción de una
un entorno informático conforme.
– Regla de privacidad de la HIPAA – Esta regla establece las normas por las que se rige la privacidad de las personas.
se salvaguardan los historiales médicos y la información sanitaria protegida (PHI). En
define los límites de la utilización de estos datos y exige a las organizaciones que
proteger su intimidad. La Regla de Privacidad también otorga a los pacientes derechos relativos a
consultar y verificar sus historiales médicos.
– Norma de seguridad de la HIPAA: esta norma se centra en la salud electrónica protegida.
(ePHI). Define las salvaguardias que deben aplicarse para proteger
la seguridad de la ePHI que una empresa almacena y procesa electrónicamente. Nosotros
examinaremos esta norma con más detalle en breve.
– Norma de Notificación de Infracciones de la HIPAA – Esta norma describe las condiciones que
exigir a una organización que notifique una infracción que afecte a la PHI o a la
ePHI. Las entidades cubiertas deben notificar a las personas afectadas por la violación, la
Secretario de Salud y Servicios Humanos y, a veces, los medios de comunicación.
Norma de seguridad de la HIPAA
La norma de seguridad de la HIPAA sólo se aplica a la ePHI. Se aplica a los proveedores de asistencia sanitaria,
planes de salud, entidades cubiertas y asociados comerciales que procesan, almacenan y
transmitir ePHI. La Norma de Seguridad define los siguientes pasos que deben seguirse
para proteger la ePHI. Todas las entidades cubiertas y los socios comerciales están obligados a:
– Garantizar la confidencialidad, integridad y disponibilidad de la ePHI;
– Identificar y proteger el entorno de las amenazas a la seguridad de la ePHI;
– Proteger contra el uso o divulgación no autorizados de la ePHI;
– Garantizar que su personal cumple toda la normativa HIPAA.
Las garantías administrativas, físicas y técnicas se definen en la Norma de Seguridad.
Estas salvaguardias deben aplicarse al diseñar un entorno informático
que cumpla la HIPAA.
Normas de seguridad de la HIPAA
A continuación se desglosan los tres tipos de salvaguardias exigidas por la HIPAA.
Las salvaguardias administrativas exigen:
– Desarrollar un proceso que identifique los riesgos para la ePHI y aplicar medidas para
mitigarlos;
– Designación de un responsable de la elaboración y aplicación de la IPSF electrónica
seguridad;
– Definir políticas basadas en roles que limiten el acceso a la ePHI;
– Realización de evaluaciones programadas de la infraestructura para evaluar la seguridad.
medidas y modificarlas en caso necesario;
– Impartir formación en materia de seguridad a todos los empleados y contratistas que trabajan con
ePHI.
Las salvaguardias físicas incluyen:
– Limitar el acceso físico a los dispositivos que contienen ePHI sólo a los usuarios autorizados;
– Implantación de políticas que especifiquen el modo en que los dispositivos y soportes que contienen ePHI son
manipulados y destruidos.
Las salvaguardias técnicas exigen:
– Implantar controles que limiten el acceso a la ePHI al personal autorizado;
– Desarrollar controles de auditoría para garantizar que sólo el personal autorizado accede a la ePHI y
identificar intentos de acceso no autorizados;
– Garantizar la transmisión segura de la ePHI con medidas técnicas como
encriptación;
– Definir controles de integridad para garantizar que la ePHI no se modifica ni se destruye.
¿Qué es PCI-DSS?
La Norma de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI-DSS) es una norma de seguridad
norma establecida en 2004 por Visa, MasterCard y Discover Financial Services,
JCB International y American Express. No se trata de una ley, sino de un conjunto de doce
normas impuestas por el sector de las tarjetas de pago.
– Instalar y mantener un cortafuegos para proteger los datos de los titulares de tarjetas de accesos no autorizados.
acceso. El cortafuegos debe revisarse cada dos años y actualizarse para abordar el tráfico
cambios.
– Cambie todas las contraseñas por defecto proporcionadas por el proveedor para cada pieza de hardware y
software en el entorno regulado.
– Proteger los datos almacenados de los titulares de tarjetas cifrándolos y conservándolos sólo el tiempo necesario.
es necesario, depurando los datos obsoletos al menos trimestralmente.
– Cifre los datos de los titulares de tarjetas siempre que se transmitan a través de redes públicas.
– Implante y actualice periódicamente programas antivirus en todos los equipos que accedan a
datos del titular de la tarjeta.
– Desarrollar y mantener sistemas y aplicaciones seguros y actualizarlos con
parches de seguridad.
– Restrinja el acceso a los datos de los titulares de tarjetas en función de la necesidad de conocerlos. Sólo los usuarios que necesiten
los datos para realizar su trabajo deben estar autorizados a acceder a ellos.
– Asigne un identificador único a todas las personas con acceso a ordenadores para su seguimiento y
controlar el acceso a los datos de los titulares de tarjetas.
– Restringir el acceso físico a los sistemas de datos de los titulares de tarjetas con supervisión y
procedimientos de registro.
– Supervisar y rastrear todos los accesos a los recursos de red regulados y a los datos de los titulares de tarjetas.
crear una pista de auditoría para demostrar el cumplimiento.
– Probar periódicamente los sistemas y procesos de seguridad, incluida la realización de pruebas trimestrales.
exploraciones de vulnerabilidad.
– Desarrollar y mantener una política de seguridad de la información para todo el personal.
Similitudes entre HIPAA y PCI-DSS
Hay muchas similitudes entre estos dos conjuntos de normas reguladoras. En
Entre las similitudes se incluyen:
– Imposición de multas y sanciones a las organizaciones que no cumplan la
reglamentos;
– Limitar el acceso físico a los sistemas que contienen datos regulados;
– Cifrar los datos regulados cuando se transmiten por redes abiertas o públicas;
– Aplicar medidas que limiten el acceso a los datos regulados a las personas autorizadas.
personal;
– Supervisión del uso de los sistemas que almacenan datos regulados para crear una pista de auditoría;
– Realización de evaluaciones programadas del entorno informático para abordar cualquier nueva
vulnerabilidades.
Diferencias entre HIPAA y PCI-DSS
También existen algunas diferencias significativas entre la HIPAA y la PCI-DSS. Una
diferencia sustancial está en la forma en que la PCI y la HIPAA definen las medidas de protección
que deben adoptarse para proteger los datos regulados. La HIPAA ofrece más flexibilidad
en la forma en que una organización protege la ePHI. Por ejemplo, PCI-DSS exige una
utilizar un cortafuegos para proteger los recursos de la red. La HIPAA exige que los sistemas sean
protegida, pero no especifica cómo hacerlo.
Otra diferencia radica en cómo se determina la gravedad de las multas y sanciones
cuando las organizaciones no cumplen la normativa.
HIPAA
– Nivel 1: Una infracción que la entidad cubierta desconocía y no podía
haber evitado de forma realista;
– Nivel 2: Una infracción de la que la entidad cubierta debería haber tenido conocimiento pero
no podría haberse evitado ni siquiera con un grado razonable de cuidado;
– Nivel 3: Una violación sufrida como resultado directo de una “negligencia intencionada” de la HIPAA.
Normas en las que se ha intentado corregir la infracción;
– Nivel 4: Una infracción de las normas de la HIPAA que constituya una negligencia intencionada en la que no haya
se ha intentado corregir la infracción en un plazo de 30 días.
Las multas por incumplimiento se imponen según estos niveles:
– Nivel 1: Multa mínima de 100 dólares por infracción hasta 50.000 dólares.
– Nivel 2: Multa mínima de 1.000 $ por infracción y hasta 50.000 $.
– Nivel 3: Multa mínima de 10.000 $ por infracción y hasta 50.000 $.
– Nivel 4: Multa mínima de 50.000 dólares por infracción
PCI-DSS
Las multas por incumplimiento de PCI-DSS oscilan entre 5.000 y 100.000 dólares al mes
en función del tamaño de la empresa y del alcance y duración de las infracciones. Cuatro
Los niveles de comercio se definen en función de la cantidad de transacciones Visa superiores a 12
meses. Los niveles determinan el grado de evaluación y validación de la seguridad de un proyecto.
que la entidad debe realizar para mantener la conformidad con PCI-DSS.
– El Nivel 1 se aplica a los comercios que procesan más de seis millones de transacciones Visa al año.
año utilizando cualquier método de aceptación de tarjetas de crédito.
– El nivel 2 corresponde a los comercios que procesan entre uno y seis millones de tarjetas Visa
transacciones al año utilizando cualquier método de aceptación de tarjetas de crédito.
– El Nivel 3 es para comercios que procesan entre 20.000 y un millón de tarjetas Visa e-
transacciones comerciales al año.
– El nivel 4 se aplica a los comercios que procesan menos de 20.000 tarjetas Visa de comercio electrónico
transacciones y entidades que procesen hasta un millón de transacciones Visa de cualquier
amable.
¿Puede una infraestructura informática cumplir ambas normativas?
Sí que puede. Muchas organizaciones deben cumplir las normas HIPAA y PCI-DSS.
Empresas del sector sanitario que también procesan pagos con tarjeta de crédito
deben garantizar la seguridad de los datos de los pacientes y de los titulares de las tarjetas cumpliendo
con ambas normativas. En muchos casos, los procesos y procedimientos
implementada para proteger un tipo de datos será suficiente para proteger tanto la ePHI como la
información del titular de la tarjeta.
Las empresas sujetas a estas normas reglamentarias pueden implantar una
infraestructura propia o trabajar con proveedores externos experimentados que puedan
garantizar el cumplimiento. Sea como sea, es importante evitar el cumplimiento de las normas.
multas potencialmente elevadas, y el daño a la reputación que conlleva el incumplimiento de las normas.
cumplimiento.