Le organizzazioni che operano in determinati settori sono tenute a conformarsi a
standard normativi per quanto riguarda il trattamento di specifici tipi di elementi di dati. In
Negli Stati Uniti, le aziende del settore sanitario sono soggette alle linee guida HIPAA.
Le aziende di qualsiasi settore che elaborano pagamenti con carta di credito devono conformarsi a
PCI-DSS.
Confronteremo questi due quadri normativi comuni ed esamineremo
le loro somiglianze e differenze.
Che cos’è l’HIPAA?
HIPAA è l’acronimo di Health Insurance Portability and Accountability Act (Legge sulla portabilità e la responsabilità dell’assicurazione sanitaria).
del 1996. Si tratta di una legge federale approvata dal Congresso degli Stati Uniti che ha come obiettivo
per proteggere la privacy e la sicurezza delle informazioni sanitarie protette (PHI). La legge
si compone di tre regole principali. Ci occuperemo principalmente dei dettagli
dell’HIPPA Security Rule, in quanto fornisce il quadro di riferimento per la costruzione di un sistema di sicurezza.
ambiente IT conforme.
– HIPAA Privacy Rule – Questa norma stabilisce gli standard in base ai quali gli individui
le cartelle cliniche e le informazioni sanitarie protette (PHI) sono salvaguardate. Il
La norma definisce i limiti di utilizzo di questi dati e richiede alle organizzazioni di
proteggere la loro privacy. La Privacy Rule conferisce inoltre ai pazienti i diritti relativi a
visionare e verificare le loro cartelle cliniche.
– Regola di sicurezza HIPAA – Questa regola si concentra sulla salute elettronica protetta.
informazioni (ePHI). Definisce le salvaguardie che devono essere implementate per proteggere
la sicurezza delle ePHI che un’azienda conserva ed elabora elettronicamente. Noi
analizzeremo questa regola in modo più approfondito tra poco.
– HIPAA Breach Notification Rule – Questa regola delinea le condizioni che
richiedono che un’organizzazione fornisca una notifica di una violazione che coinvolge i dati personali o le informazioni personali.
ePHI. Le entità coperte devono informare le persone interessate dalla violazione, la
Il Segretario alla Salute e ai Servizi Umani e, talvolta, i media.
La norma sulla sicurezza HIPAA
La regola di sicurezza HIPAA si applica solo alle ePHI. Si applica agli operatori sanitari,
i piani sanitari, le entità coperte e gli associati d’affari che elaborano, archiviano e
trasmettere ePHI. La Regola di sicurezza definisce i seguenti passaggi che devono essere eseguiti
per proteggere le ePHI. Tutte le entità coperte e gli associati d’affari sono tenuti a:
– Garantire la riservatezza, l’integrità e la disponibilità delle ePHI;
– Identificare e proteggere l’ambiente dalle minacce alla sicurezza delle ePHI;
– Proteggere dall’uso o dalla divulgazione non autorizzata di ePHI;
– Assicurarsi che il personale sia conforme a tutte le normative HIPAA.
Le salvaguardie amministrative, fisiche e tecniche sono definite nella Security Rule.
Queste salvaguardie devono essere implementate quando si progetta un ambiente informatico
che sia conforme alla normativa HIPAA.
Salvaguardie HIPAA Security Rule
Di seguito sono descritti i tre tipi di protezione previsti dall’HIPAA.
Le garanzie amministrative richiedono:
– Sviluppare un processo che identifichi i rischi per le ePHI e implementare misure per
attenuarle;
– Designazione di un responsabile per lo sviluppo e l’implementazione di ePHI
sicurezza;
– Definizione di politiche basate sui ruoli che limitino l’accesso alle ePHI;
– Esecuzione di valutazioni programmate dell’infrastruttura per valutare la sicurezza.
misure e modificarle se necessario;
– Fornire una formazione in materia di sicurezza a tutti i dipendenti e agli appaltatori che lavorano con
ePHI.
Le protezioni fisiche comprendono:
– Limitare l’accesso fisico ai dispositivi che contengono ePHI ai soli utenti autorizzati;
– Implementare politiche che specifichino le modalità di utilizzo dei dispositivi e dei supporti contenenti ePHI.
gestiti e distrutti.
Le salvaguardie tecniche richiedono:
– Implementare controlli che limitino l’accesso alle ePHI al personale autorizzato;
– Sviluppare controlli di revisione per garantire che solo il personale autorizzato acceda alle ePHI e
identificare i tentativi di accesso non autorizzati;
– Garantire una trasmissione sicura delle ePHI con misure tecniche quali
crittografia;
– Definire controlli di integrità per garantire che le ePHI non vengano modificate o distrutte.
Che cos’è il PCI-DSS?
Il Payment Card Industry Data Security Standard (PCI-DSS) è uno standard di sicurezza che prevede l’utilizzo di un sistema di protezione per le carte di credito.
standard stabilito nel 2004 da Visa, MasterCard e Discover Financial Services,
JCB International e American Express. Non si tratta di una legge, ma piuttosto di un insieme di dodici
standard applicati dal settore delle carte di pagamento.
– Installare e mantenere un firewall per proteggere i dati dei titolari di carta di credito da attacchi non autorizzati.
accesso. Il firewall deve essere rivisto due volte all’anno e aggiornato per affrontare il traffico
modifiche.
– Cambiate tutte le password predefinite fornite dal fornitore per ogni pezzo di hardware e di
software nell’ambiente regolamentato.
– Proteggere i dati dei titolari di carta memorizzati criptandoli e conservandoli solo per il tempo necessario.
è necessario, eliminando i dati obsoleti con cadenza almeno trimestrale.
– Crittografare i dati dei titolari di carta ogni volta che vengono trasmessi su reti pubbliche.
– Distribuite e aggiornate regolarmente i programmi antivirus su tutte le macchine che accedono a
dati del titolare della carta.
– Sviluppare e mantenere sistemi e applicazioni sicure e aggiornarle con
patch di sicurezza.
– Limitare l’accesso ai dati dei titolari di carta in base alla necessità di sapere. Solo gli utenti che hanno bisogno di
i dati per svolgere il proprio lavoro devono essere autorizzati ad accedervi.
– Assegnare un ID univoco a tutti coloro che hanno accesso al computer per tracciare e
monitorare l’accesso ai dati dei titolari di carta.
– Limitare l’accesso fisico ai sistemi di dati dei titolari di carta con il monitoraggio e il controllo dei dati.
procedure di registrazione.
– Monitorare e tenere traccia di tutti gli accessi alle risorse di rete regolamentate e ai dati dei titolari di carta.
creare una traccia di audit per dimostrare la conformità.
– Testare regolarmente i sistemi e i processi di sicurezza, compresa l’esecuzione di test trimestrali.
scansioni di vulnerabilità.
– Sviluppare e mantenere una politica di sicurezza delle informazioni per tutto il personale.
Analogie tra HIPAA e PCI-DSS
Esistono molte analogie tra queste due serie di standard normativi. Il
Le somiglianze includono:
– Applicare multe e sanzioni per le organizzazioni che non si conformano alla legge.
regolamenti;
– Limitare l’accesso fisico ai sistemi contenenti dati regolamentati;
– Crittografia dei dati regolamentati quando vengono trasmessi su reti aperte o pubbliche;
– Implementazione di misure che limitino l’accesso ai dati regolamentati ai soli autorizzati
personale;
– Monitoraggio dell’uso dei sistemi di archiviazione dei dati regolamentati per creare una traccia di audit;
– Esecuzione di valutazioni programmate dell’ambiente IT per affrontare qualsiasi nuovo problema.
vulnerabilità.
Differenze tra HIPAA e PCI-DSS
Esistono inoltre alcune differenze significative tra HIPAA e PCI-DSS. Uno
La differenza sostanziale sta nel modo in cui PCI e HIPAA definiscono le misure di protezione.
che devono essere adottate per proteggere i dati regolamentati. L’HIPAA prevede una maggiore flessibilità
nel modo in cui un’organizzazione protegge le ePHI. Ad esempio, gli standard PCI-DSS richiedono un
firewall per proteggere le risorse di rete. L’HIPAA richiede che i sistemi siano
protetto, ma non specifica come questo debba essere realizzato.
Un’altra differenza riguarda il modo in cui viene determinata la severità delle multe e delle sanzioni.
quando le organizzazioni non sono conformi alle normative.
HIPAA
– Livello 1: una violazione di cui l’entità coperta non era a conoscenza e non poteva
realisticamente evitabile;
– Livello 2: una violazione di cui l’ente coperto avrebbe dovuto essere a conoscenza ma che
non avrebbe potuto essere evitato nemmeno con una ragionevole dose di attenzione;
– Livello 3: una violazione subita come risultato diretto di una “negligenza intenzionale” dell’HIPAA.
Regole in cui si è cercato di correggere la violazione;
– Livello 4: una violazione delle norme HIPAA che costituisce una negligenza intenzionale in cui nessun
è stato fatto un tentativo per correggere la violazione entro 30 giorni.
Le multe per la mancata conformità vengono applicate in base a questi livelli:
– Livello 1: ammenda minima di 100 dollari per violazione fino a 50.000 dollari.
– Livello 2: ammenda minima di 1.000 dollari per violazione fino a 50.000 dollari.
– Livello 3: ammenda minima di 10.000 dollari per violazione fino a 50.000 dollari.
– Livello 4: ammenda minima di 50.000 dollari per violazione.
PCI-DSS
Le multe per la mancata conformità agli standard PCI-DSS vanno da 5.000 a 100.000 dollari al mese.
in base alle dimensioni dell’azienda e alla portata e alla durata delle violazioni. Quattro
I livelli degli esercenti sono definiti in base alla quantità di transazioni Visa oltre i 12 anni.
mesi. I livelli determinano la quantità di valutazione e di convalida della sicurezza che un
per mantenere la conformità agli standard PCI-DSS.
– Il livello 1 si applica agli esercenti che elaborano più di sei milioni di transazioni Visa al giorno.
anno utilizzando qualsiasi metodo di accettazione della carta di credito.
– Il livello 2 indica gli esercenti che elaborano da uno a sei milioni di prodotti Visa.
transazioni all’anno con qualsiasi metodo di accettazione delle carte di credito.
– Il livello 3 è riservato agli esercenti che elaborano tra 20.000 e un milione di prodotti Visa e-
transazioni commerciali all’anno.
– Il livello 4 si applica agli esercenti che elaborano meno di 20.000 e-commerce Visa.
e le entità che elaborano fino a un milione di transazioni Visa di qualsiasi tipo.
tipo.
Un’infrastruttura IT può essere conforme a entrambe le normative?
Sì, è possibile. Molte organizzazioni devono rispettare le norme HIPAA e PCI-DSS.
Imprese operanti nel settore sanitario che effettuano anche pagamenti con carta di credito
devono garantire la sicurezza dei dati dei pazienti e dei titolari di carta di credito rispettando
con entrambe le normative. In molti casi, i processi e le procedure
implementato per proteggere un tipo di dati sarà sufficiente a proteggere sia le ePHI che le
informazioni sul titolare della carta.
Le aziende soggette a questi standard normativi possono implementare un sistema di gestione dei rischi conforme.
o di collaborare con fornitori terzi esperti che possano
garantire la conformità. In ogni caso, è importante evitare la conformità.
potenzialmente pesanti multe, e il danno reputazionale che accompagna il non
conformità.