• Home
  • Blog
  • Een vergelijking tussen HIPAA en PCI-DSS compliance
  • Blog
  • Een vergelijking tussen HIPAA en PCI-DSS compliance

Een vergelijking tussen HIPAA en PCI-DSS compliance

Van organisaties die actief zijn in bepaalde bedrijfstakken wordt verwacht dat ze voldoen aan
regelgevende standaarden over hoe ze omgaan met specifieke soorten data-elementen. In
In de VS zijn bedrijven in de gezondheidszorg onderworpen aan de HIPAA-richtlijnen.
Bedrijven in elke branche die creditcardbetalingen verwerken, moeten voldoen aan
PCI-DSS.

We gaan deze twee gemeenschappelijke regelgevingskaders vergelijken en kijken naar
hun overeenkomsten en verschillen.

Wat is HIPAA?

 

HIPAA is het acroniem voor de Health Insurance Portability and Accountability Act.
van 1996. Het is een federale wet die is aangenomen door het Congres in de Verenigde Staten en die is ontworpen om
om de privacy en veiligheid van beschermde gezondheidsinformatie (PHI) te beschermen. De wet
bestaat uit drie hoofdregels. We zullen ons vooral bezighouden met de details
van de HIPPA-beveiligingsregel, aangezien deze het kader biedt voor de constructie van een
compliant IT-omgeving.

HIPAA Privacy Rule – Deze regel stelt de normen vast voor de privacy van personen.
medische dossiers en beschermde gezondheidsinformatie (PHI) worden beveiligd. De
regel stelt grenzen aan hoe deze gegevens kunnen worden gebruikt en vereist dat organisaties
hun privacy beschermen. De Privacy Rule geeft patiënten ook rechten met betrekking tot
het bekijken en controleren van hun medische dossiers.

HIPAA Security Rule – Deze regel richt zich op elektronische beschermde gezondheid
informatie (ePHI). Het definieert waarborgen die moeten worden geïmplementeerd om te beschermen
de beveiliging van de ePHI die een bedrijf elektronisch opslaat en verwerkt. We
zullen deze regel binnenkort nader bekijken.

HIPAA-regel voor kennisgeving van inbreuken – In deze regel worden de voorwaarden beschreven waaronder
vereisen dat een organisatie melding doet van een inbreuk waarbij PHI of
ePHI. Covered entities moeten de personen die getroffen zijn door de inbreuk, de
Secretaris van Volksgezondheid en Human Services en soms de media.

De HIPAA beveiligingsregel

 

De HIPAA Security Rule is alleen van toepassing op ePHI. Het is van toepassing op zorgverleners,
gezondheidsplannen, gedekte entiteiten en zakenpartners die gegevens verwerken, opslaan en
ePHI verzenden. De beveiligingsregel definieert de volgende stappen die moeten worden genomen
om ePHI te beschermen. Alle betrokken entiteiten en business associates zijn verplicht om:

– De vertrouwelijkheid, integriteit en beschikbaarheid van ePHI waarborgen;
– De omgeving identificeren en beschermen tegen bedreigingen voor de veiligheid van ePHI;
– Beschermen tegen ongeautoriseerd gebruik of openbaarmaking van ePHI;
– Ervoor zorgen dat hun personeel voldoet aan alle HIPAA-voorschriften.

Administratieve, fysieke en technische beveiligingen worden gedefinieerd in de Security Rule.
Deze veiligheidsmaatregelen moeten worden geïmplementeerd bij het ontwerpen van een computeromgeving
die voldoet aan HIPAA.

HIPAA beveiligingsregels

 

Hieronder volgt een uitsplitsing van de drie soorten beveiligingen die door HIPAA verplicht worden gesteld.

Administratieve waarborgen vereisen:

 

– Een proces ontwikkelen dat risico’s voor ePHI identificeert en maatregelen implementeren om
beperken;
– Een contactpersoon aanwijzen die verantwoordelijk is voor de ontwikkeling en implementatie van ePHI
beveiliging;
– Rolgebaseerd beleid definiëren dat de toegang tot ePHI beperkt;
– Uitvoeren van geplande beoordelingen van de infrastructuur om de beveiliging te evalueren
maatregelen en pas ze indien nodig aan;
– Zorgen voor veiligheidstraining voor alle werknemers en aannemers die werken met
ePHI.

Fysieke beveiligingen omvatten:

 

– Fysieke toegang tot apparaten die ePHI bevatten beperken tot alleen geautoriseerde gebruikers;
– Beleid implementeren dat specificeert hoe apparaten en media met ePHI worden
behandeld en vernietigd.

Technische beveiligingen vereisen:

 

– Controles implementeren die de toegang tot ePHI beperken tot geautoriseerd personeel;
– Auditcontroles ontwikkelen om ervoor te zorgen dat alleen geautoriseerd personeel toegang heeft tot ePHI en
pogingen tot ongeautoriseerde toegang identificeren;
– Zorgen voor een veilige overdracht van ePHI met technische maatregelen zoals
encryptie;
– Integriteitscontroles definiëren om ervoor te zorgen dat ePHI niet wordt gewijzigd of vernietigd.

Wat is PCI-DSS?

 

De Payment Card Industry Data Security Standard (PCI-DSS) is een beveiligingsstandaard.
standaard die in 2004 is vastgesteld door Visa, MasterCard en Discover Financial Services,
JCB International en American Express. Het is geen wet, maar eerder een reeks van twaalf
standaarden die worden opgelegd door de betaalkaartenindustrie.

– Een firewall installeren en onderhouden om kaarthoudergegevens te beschermen tegen onbevoegden
toegang. De firewall moet twee keer per jaar worden gecontroleerd en bijgewerkt om verkeer aan te pakken
veranderingen.
– Wijzig alle door de leverancier geleverde standaardwachtwoorden voor elk stuk hardware en
software in de gereguleerde omgeving.
– Bescherm opgeslagen kaarthoudergegevens door ze te versleutelen en alleen te bewaren zolang dat nodig is.
nodig is, waarbij verouderde gegevens ten minste elk kwartaal worden verwijderd.
– Versleutel gegevens van kaarthouders wanneer deze via openbare netwerken worden verzonden.
– Implementeer antivirusprogramma’s en werk deze regelmatig bij op alle machines die toegang hebben tot
kaarthoudergegevens.
– Ontwikkel en onderhoud veilige systemen en applicaties en werk ze bij met
beveiligingspatches.
– Beperk de toegang tot kaarthoudergegevens op een ‘need-to-know’ basis. Alleen gebruikers die
toegang hebben tot de gegevens om hun werk te doen.
– Ken een unieke ID toe aan iedereen met computertoegang voor het bijhouden van en
het monitoren van toegang tot kaarthoudergegevens.
– Fysieke toegang tot kaarthoudergegevenssystemen beperken met monitoring en
registratieprocedures.
– Alle toegang tot gereguleerde netwerkbronnen en kaarthoudergegevens bewaken en bijhouden
om een controlespoor te creëren om naleving aan te tonen.
– Regelmatig beveiligingssystemen en -processen testen, waaronder elk kwartaal
kwetsbaarheid scannen.
– Een informatiebeveiligingsbeleid voor al het personeel ontwikkelen en onderhouden.

Overeenkomsten tussen HIPAA en PCI-DSS

 

Er zijn veel overeenkomsten tussen deze twee reeksen regelgevende normen. De
De overeenkomsten zijn onder andere:

– Boetes en straffen opleggen aan organisaties die zich niet houden aan de
voorschriften;
– Fysieke toegang beperken tot systemen die gereguleerde gegevens bevatten;
– Het versleutelen van gereguleerde gegevens bij verzending via open of openbare netwerken;
– Maatregelen implementeren die de toegang tot gereglementeerde gegevens beperken tot geautoriseerde
personeel;
– Toezicht houden op het gebruik van systemen die gereguleerde gegevens opslaan om een controlespoor te creëren;
– Uitvoeren van geplande beoordelingen van de IT-omgeving om eventuele nieuwe
kwetsbaarheden.

Verschillen tussen HIPAA en PCI-DSS

 

Er zijn ook enkele belangrijke verschillen tussen HIPAA en PCI-DSS. One
wezenlijk verschil zit in de manier waarop PCI en HIPAA de beschermingsmaatregelen definiëren
die moeten worden genomen om gereglementeerde gegevens te beschermen. HIPAA biedt meer flexibiliteit
in de manier waarop een organisatie ePHI beschermt. PCI-DSS vereist bijvoorbeeld een
firewall gebruikt worden om netwerkbronnen te beschermen. HIPAA vereist dat systemen
beschermd, maar specificeert niet hoe dit moet worden bereikt.

Een ander verschil is de manier waarop de zwaarte van boetes en straffen wordt bepaald
wanneer organisaties niet voldoen aan de voorschriften.

HIPAA

 

Niveau 1: een overtreding waarvan de betrokken entiteit niet op de hoogte was en die zij niet kon melden.
realistisch vermeden hebben;
Niveau 2: een overtreding waarvan de betrokken entiteit op de hoogte had moeten zijn, maar
zelfs met een redelijke mate van zorgvuldigheid niet had kunnen voorkomen;
Niveau 3: een schending als direct gevolg van “opzettelijke verwaarlozing” van HIPAA
Regels waarbij een poging is gedaan om de overtreding te corrigeren;
Niveau 4: een schending van de HIPAA-regels die opzettelijke nalatigheid inhoudt waarbij geen
poging is gedaan om de overtreding binnen 30 dagen te corrigeren.

Boetes voor niet-naleving worden volgens deze niveaus opgelegd:

Niveau 1: minimumboete van $100 per overtreding tot $50.000
Niveau 2: minimumboete van $1.000 per overtreding tot $50.000
Niveau 3: minimumboete van $10.000 per overtreding tot $50.000
Niveau 4: minimumboete van $50.000 per overtreding

PCI-DSS

 

Boetes voor het niet voldoen aan PCI-DSS variëren van $5.000 tot $100.000 per maand.
gebaseerd op de grootte van het bedrijf en de omvang en duur van de overtredingen. Vier
De handelarenniveaus worden bepaald op basis van de hoeveelheid Visa-transacties van meer dan 12
maanden. De niveaus bepalen de mate van beoordeling en beveiligingsvalidatie van een
entiteit moet uitvoeren om PCI-DSS compliance te behouden.

Niveau 1 is van toepassing op handelaren die meer dan zes miljoen Visa-transacties per jaar verwerken.
jaar met gebruik van elke creditcardacceptatiemethode.

Niveau 2 staat voor handelaren die tussen één en zes miljoen Visa’s verwerken.
transacties per jaar met een willekeurige creditcardacceptatiemethode.

Niveau 3 is bedoeld voor handelaren die tussen 20.000 en één miljoen Visa e-commercials verwerken.
handelstransacties per jaar.

Niveau 4 is van toepassing op verkopers die minder dan 20.000 Visa e-commerce verwerken.
transacties en entiteiten die tot één miljoen Visa-transacties van om het even welke
soort.

Kan een IT-infrastructuur voldoen aan beide regelgevingen?

 

Ja, dat kan. Veel organisaties moeten voldoen aan HIPAA en PCI-DSS.
Bedrijven in de gezondheidszorg die ook creditcardbetalingen verwerken
moeten ervoor zorgen dat patiënt- en kaarthoudergegevens veilig blijven door te voldoen aan
met beide regelgevingen. In veel gevallen zijn de processen en procedures
geïmplementeerd om één type gegevens te beschermen, voldoende zal zijn om zowel ePHI als
kaarthouderinformatie.

Bedrijven die onder deze regelgevende normen vallen, kunnen een compliant
infrastructuur zelf of werken met ervaren externe leveranciers die
zorgen voor naleving. Hoe ze het ook aanpakken, naleving is belangrijk om te vermijden
mogelijk zware boetes en de reputatieschade die gepaard gaat met het niet
naleving.

Deel

Aanmelden

Voor het laatste authentieke onderzoek en nieuws over de beste hosts voor je website!

Volgende bericht

Gerelateerde berichten: