Les organisations opérant dans certains secteurs sont tenues de se conformer aux règles suivantes
des normes réglementaires concernant la manière dont ils traitent des types spécifiques d’éléments de données. En
Aux États-Unis, les entreprises du secteur de la santé sont soumises aux directives de l’HIPAA.
Les entreprises qui traitent des paiements par carte de crédit, quel que soit leur secteur d’activité, doivent se conformer aux règles suivantes
PCI-DSS.
Nous allons comparer ces deux cadres réglementaires communs et examiner les points suivants
leurs similitudes et leurs différences.
Qu’est-ce que l’HIPAA ?
HIPAA est l’acronyme de Health Insurance Portability and Accountability Act (loi sur la portabilité et la responsabilité en matière d’assurance maladie).
de 1996. Il s’agit d’une loi fédérale adoptée par le Congrès des États-Unis qui vise à
de protéger la confidentialité et la sécurité des informations de santé protégées (PHI). La loi
se compose de trois règles principales. Nous nous intéresserons principalement aux détails
de la règle de sécurité de l’HIPPA, car elle fournit le cadre pour l’élaboration d’un plan de sécurité.
un environnement informatique conforme.
– Règle de confidentialité de l’HIPAA – Cette règle définit les normes selon lesquelles les données personnelles des individus peuvent être utilisées pour la protection de la vie privée.
les dossiers médicaux et les informations de santé protégées (PHI) sont sauvegardés. Les
La règle définit des limites à l’utilisation de ces données et exige des organisations qu’elles
protéger leur vie privée. Le règlement sur la protection de la vie privée confère également aux patients des droits en ce qui concerne
la consultation et la vérification de leur dossier médical.
– Règle de sécurité de l’HIPAA – Cette règle se concentre sur la santé électronique protégée.
(ePHI). Il définit les garanties qui doivent être mises en œuvre pour protéger
la sécurité des ePHI qu’une entreprise stocke et traite électroniquement. Nous
Nous examinerons cette règle plus en détail dans un instant.
– HIPAA Breach Notification Rule – Cette règle définit les conditions que doivent remplir les autorités de l’État pour que les informations soient communiquées.
obliger une organisation à notifier une violation impliquant des PHI ou des
ePHI. Les entités couvertes doivent notifier les personnes concernées par la violation, les
le secrétaire d’État à la santé et aux services sociaux et, parfois, les médias.
La règle de sécurité HIPAA
La règle de sécurité de l’HIPAA ne s’applique qu’aux informations électroniques. Elle s’applique aux prestataires de soins de santé,
les plans de santé, les entités couvertes et les associés commerciaux qui traitent, stockent, et
transmettre des ePHI. La règle de sécurité définit les mesures suivantes à prendre
pour protéger les ePHI. Toutes les entités couvertes et les associés commerciaux sont tenus de :
– Garantir la confidentialité, l’intégrité et la disponibilité des ePHI ;
– Identifier et protéger l’environnement des menaces qui pèsent sur la sécurité des ePHI ;
– Protéger contre l’utilisation ou la divulgation non autorisée des données à caractère personnel ;
– Veiller à ce que leur personnel respecte toutes les réglementations HIPAA.
Les garanties administratives, physiques et techniques sont définies dans la règle de sécurité.
Ces mesures de protection doivent être mises en œuvre lors de la conception d’un environnement informatique
qui est conforme à la loi HIPAA.
Garanties de la règle de sécurité HIPAA
Les trois types de garanties imposées par l’HIPAA sont présentés ci-dessous.
Des garanties administratives sont nécessaires :
– Développer un processus d’identification des risques pour les ePHI et mettre en œuvre des mesures pour
les atténuer ;
– Désignation d’un responsable de l’élaboration et de la mise en œuvre de l’ePHI
la sécurité ;
– Définir des politiques basées sur les rôles qui limitent l’accès aux ePHI ;
– Effectuer des évaluations programmées de l’infrastructure afin d’évaluer la sécurité
et les modifier si nécessaire ;
– Fournir une formation en matière de sécurité à tous les employés et contractants qui travaillent avec
ePHI.
Les mesures de protection physique comprennent
– Limiter l’accès physique aux appareils contenant des ePHI aux seuls utilisateurs autorisés ;
– Mettre en œuvre des politiques qui précisent comment les appareils et les supports contenant des ePHI sont
manipulés et détruits.
Des garanties techniques sont nécessaires :
– Mettre en place des contrôles qui limitent l’accès aux données à caractère personnel au personnel autorisé ;
– Développer des contrôles d’audit pour s’assurer que seul le personnel autorisé accède aux ePHI, et
l’identification des tentatives d’accès non autorisé ;
– Garantir une transmission sécurisée des données à caractère personnel au moyen de mesures techniques telles que
l’encryptage ;
– Définir des contrôles d’intégrité pour s’assurer que les ePHI ne sont pas modifiées ou détruites.
Qu’est-ce que la norme PCI-DSS ?
La norme de sécurité des données de l’industrie des cartes de paiement (PCI-DSS) est une norme de sécurité.
établie en 2004 par Visa, MasterCard et Discover Financial Services,
JCB International et American Express. Il ne s’agit pas d’une loi, mais d’un ensemble de douze règles.
normes appliquées par l’industrie des cartes de paiement.
– Installer et maintenir un pare-feu pour protéger les données des détenteurs de cartes contre les intrusions non autorisées.
l’accès. Le pare-feu doit être revu deux fois par an et mis à jour pour tenir compte du trafic.
changements.
– Modifiez tous les mots de passe par défaut fournis par le fournisseur pour chaque matériel et chaque ordinateur.
dans l’environnement réglementé.
– Protéger les données stockées des titulaires de cartes en les cryptant et en ne les conservant que le temps nécessaire.
est nécessaire, en purgeant les données obsolètes au moins une fois par trimestre.
– Crypter les données des titulaires de cartes chaque fois qu’elles sont transmises sur des réseaux publics.
– Déployer et mettre à jour régulièrement des programmes antivirus sur toutes les machines qui accèdent à l’Internet.
les données des titulaires de cartes.
– Développer et maintenir des systèmes et des applications sécurisés et les mettre à jour avec les nouvelles technologies.
les correctifs de sécurité.
– Restreindre l’accès aux données des détenteurs de cartes en fonction du besoin d’en connaître. Seuls les utilisateurs qui ont besoin de
les données pour effectuer leur travail doivent être autorisées à y accéder.
– Attribuer un identifiant unique à toute personne ayant accès à un ordinateur pour le suivi et le contrôle de la qualité.
la surveillance de l’accès aux données des titulaires de cartes.
– Restreindre l’accès physique aux systèmes de données sur les titulaires de cartes par des mesures de surveillance et de contrôle.
les procédures d’enregistrement.
– Contrôler et suivre tous les accès aux ressources réglementées du réseau et aux données des titulaires de cartes.
de créer une piste d’audit pour démontrer la conformité.
– Tester régulièrement les systèmes et les processus de sécurité, notamment en effectuant des tests trimestriels.
les analyses de vulnérabilité.
– Élaborer et maintenir une politique de sécurité de l’information pour l’ensemble du personnel.
Similitudes entre HIPAA et PCI-DSS
Ces deux ensembles de normes réglementaires présentent de nombreuses similitudes. Les
Les similitudes incluent :
– L’application d’amendes et de pénalités pour les organisations qui ne respectent pas les dispositions de la
des règlements ;
– Limiter l’accès physique aux systèmes contenant des données réglementées ;
– Cryptage des données réglementées lors de leur transmission sur des réseaux ouverts ou publics ;
– Mettre en œuvre des mesures qui limitent l’accès aux données réglementées aux seules personnes autorisées.
le personnel ;
– Contrôler l’utilisation des systèmes stockant des données réglementées afin de créer une piste d’audit ;
– Effectuer des évaluations programmées de l’environnement informatique afin de prendre en compte tout nouveau problème de sécurité.
vulnérabilités.
Différences entre HIPAA et PCI-DSS
Il existe également des différences importantes entre HIPAA et PCI-DSS. Un
La différence substantielle réside dans la manière dont PCI et HIPAA définissent les mesures de protection.
qui doivent être prises pour protéger les données réglementées. La loi HIPAA offre une plus grande flexibilité
dans la manière dont une organisation protège les ePHI. Par exemple, la norme PCI-DSS impose un
un pare-feu soit utilisé pour protéger les ressources du réseau. L’HIPAA exige que les systèmes soient
mais ne précise pas comment cela doit se faire.
Une autre différence réside dans la manière dont la sévérité des amendes et des sanctions est déterminée
lorsque les organisations ne se conforment pas à la réglementation.
HIPAA
– Niveau 1: violation dont l’entité couverte n’avait pas connaissance et qu’elle n’a pas pu
aurait pu être évitée de manière réaliste ;
– Niveau 2: violation dont l’entité couverte aurait dû avoir connaissance, mais qu’elle n’a pas commise.
n’aurait pas pu être évitée, même en faisant preuve d’une attention raisonnable ;
– Niveau 3: violation résultant directement d’une “négligence délibérée” de la loi HIPAA.
Règles pour lesquelles une tentative a été faite pour corriger la violation ;
– Niveau 4: violation des règles de l’HIPAA constituant une négligence délibérée lorsqu’il n’y a pas eu d’infraction aux règles de l’HIPAA.
une tentative a été faite pour remédier à la violation dans un délai de 30 jours.
Les amendes pour non-conformité sont perçues en fonction de ces niveaux :
– Niveau 1: amende minimale de 100 dollars par infraction jusqu’à 50 000 dollars
– Niveau 2: Amende minimale de 1 000 $ par infraction jusqu’à 50 000 $.
– Niveau 3: Amende minimale de 10 000 $ par infraction jusqu’à 50 000 $.
– Niveau 4: amende minimale de 50 000 dollars par infraction
PCI-DSS
Les amendes pour non-respect de la norme PCI-DSS vont de 5 000 à 100 000 dollars par mois.
en fonction de la taille de l’entreprise, de l’ampleur et de la durée des infractions. Quatre
Les niveaux des commerçants sont définis en fonction du nombre de transactions Visa supérieures à 12
mois. Les niveaux déterminent l’ampleur de l’évaluation et de la validation de la sécurité d’un projet.
doit effectuer pour maintenir la conformité à la norme PCI-DSS.
– Le niveau 1 s’applique aux commerçants qui traitent plus de six millions de transactions Visa par an.
année en utilisant n’importe quelle méthode d’acceptation des cartes de crédit.
– Le niveau 2 correspond aux commerçants qui traitent entre un et six millions de cartes Visa
par an en utilisant n’importe quelle méthode d’acceptation des cartes de crédit.
– Le niveau 3 s’adresse aux commerçants qui traitent entre 20 000 et un million d’e-liquides Visa.
transactions commerciales par an.
– Le niveau 4 s’applique aux commerçants qui traitent moins de 20 000 transactions électroniques Visa.
et les entités qui traitent jusqu’à un million de transactions Visa, quel que soit le type de transaction.
genre.
Une infrastructure informatique peut-elle se conformer aux deux réglementations ?
Oui, c’est possible. De nombreuses organisations doivent se conformer aux normes HIPAA et PCI-DSS.
Entreprises actives dans le secteur des soins de santé qui traitent également des paiements par carte de crédit
doivent veiller à ce que les données des patients et des détenteurs de cartes soient sécurisées en se conformant à la législation nationale.
avec les deux séries de règlements. Dans de nombreux cas, les processus et procédures
mis en œuvre pour protéger un type de données sera suffisant pour protéger à la fois les ePHI et les
les informations relatives au titulaire de la carte.
Les entreprises soumises à ces normes réglementaires peuvent mettre en place un système de gestion des risques conforme à ces normes.
ou de travailler avec des fournisseurs tiers expérimentés qui peuvent
assurer la conformité. Quelle que soit la manière dont ils s’y prennent, il est important d’éviter de se conformer à la législation
des amendes potentiellement lourdes, et les atteintes à la réputation qui accompagnent la non
la conformité.