Organisasjoner som opererer i visse bransjer forventes å overholde
regulatoriske standarder for hvordan de håndterer spesifikke typer dataelementer. I
i USA er virksomheter i helsesektoren underlagt HIPAA-retningslinjene.
Bedrifter i enhver bransje som behandler kredittkortbetalinger må overholde
PCI-DSS.
Vi skal sammenligne disse to vanlige regelverkene og se på
deres likheter og forskjeller.
Hva er HIPAA?
HIPAA er forkortelsen for Health Insurance Portability and Accountability Act
av 1996. Det er en føderal lov vedtatt av Kongressen i USA som er utformet
for å beskytte personvernet og sikkerheten til beskyttet helseinformasjon (PHI). Loven
består av tre hovedregler. Vi vil først og fremst være opptatt av detaljene
av HIPPA-sikkerhetsregelen da den gir rammeverket for konstruksjonen av en
kompatibelt IT-miljø.
• HIPAA personvernregel – Denne regelen setter standardene for enkeltpersoners
medisinske journaler og beskyttet helseinformasjon (PHI) er ivaretatt. De
regelen definerer grenser for hvordan disse dataene kan brukes og krever at organisasjoner
beskytte deres privatliv. Personvernregelen gir også pasienter rettigheter mht
se og verifisere medisinske journaler.
• HIPAA-sikkerhetsregel – Denne regelen fokuserer på elektronisk beskyttet helse
informasjon (ePHI). Den definerer sikkerhetstiltak som må implementeres for å beskytte
sikkerheten til ePHI som et selskap lagrer og behandler elektronisk. Vi
vil se nærmere på denne regelen snart.
• HIPAA Breach Notification Rule – Denne regelen skisserer forholdene som
kreve at en organisasjon gir melding om et brudd som involverer PHI eller
ePHI. Dekkede enhetene må varsle personene som er berørt av bruddet
Secretary of Health and Human Services, og noen ganger media.
HIPAA-sikkerhetsregelen
HIPAA-sikkerhetsregelen gjelder kun for ePHI. Det gjelder helsepersonell,
helseplaner, dekkede enheter og forretningsforbindelser som behandler, lagrer og
overføre ePHI. Sikkerhetsregelen definerer følgende trinn som må tas
for å beskytte ePHI. Alle dekkede enheter og forretningsforbindelser er pålagt å:
• Sikre konfidensialitet, integritet og tilgjengelighet til ePHI;
• Identifisere og beskytte miljøet mot trusler mot sikkerheten til ePHI;
• Beskytt mot uautorisert bruk eller avsløring av ePHI;
• Sørge for at arbeidsstyrken deres overholder alle HIPAA-forskrifter.
Administrative, fysiske og tekniske sikkerhetstiltak er definert i sikkerhetsregelen.
Disse sikkerhetstiltakene må implementeres når du designer et datamiljø
som er HIPAA-kompatibel .
HIPAA sikkerhetsregler
Følgende er en oversikt over de tre typene sikkerhetstiltak pålagt av HIPAA.
Administrative sikkerhetstiltak krever:
• Utvikle en prosess som identifiserer risiko for ePHI og iverksette tiltak for
dempe dem;
• Utpeke en fokal som er ansvarlig for å utvikle og implementere ePHI
sikkerhet;
• Definere rollebaserte retningslinjer som begrenser tilgangen til ePHI;
• Utføre planlagte vurderinger av infrastrukturen for å evaluere sikkerheten
tiltak og endre dem om nødvendig;
• Gi sikkerhetsopplæring for alle ansatte og entreprenører som jobber med
ePHI.
Fysiske sikkerhetstiltak inkluderer:
• Begrense fysisk tilgang til enheter som inneholder ePHI til kun autoriserte brukere;
• Implementere retningslinjer som spesifiserer hvordan enheter og medier som inneholder ePHI er
håndtert og ødelagt.
Tekniske sikkerhetstiltak krever:
• Implementering av kontroller som begrenser tilgang til ePHI til autorisert personell;
• Utvikle revisjonskontroller for å sikre at kun autorisert personell har tilgang til ePHI og
identifisere uautoriserte tilgangsforsøk;
• Sikre sikker overføring av ePHI med tekniske tiltak som f.eks
kryptering;
• Definere integritetskontroller for å sikre at ePHI ikke blir modifisert eller ødelagt.
Hva er PCI-DSS?
Payment Card Industry Data Security Standard (PCI-DSS) er en sikkerhet
standard etablert i 2004 av Visa, MasterCard, Discover Financial Services,
JCB International og American Express. Det er ikke en lov, men snarere et sett på tolv
standarder håndhevet av betalingskortindustrien.
• Installer og vedlikehold en brannmur for å beskytte kortholderdata mot uautoriserte
adgang. Brannmuren må gjennomgås halvårlig og oppdateres for å adressere trafikk
Endringer.
• Endre alle standardpassord som leveres av leverandøren for hver maskinvare og
programvare i det regulerte miljøet.
• Beskytt lagrede kortholderdata ved å kryptere dem og bare beholde dem så lenge de
er nødvendig, og sletter foreldede data minst kvartalsvis.
• Krypter kortholderdata når de overføres på tvers av offentlige nettverk.
• Distribuer og oppdater regelmessig antivirusprogrammer på alle maskiner som har tilgang
kortholderdata.
• Utvikle og vedlikeholde sikre systemer og applikasjoner og oppdatere dem med
sikkerhetsoppdateringer.
• Begrense tilgangen til kortholderdata etter behov. Kun brukere som trenger
dataene for å utføre jobben deres bør ha tillatelse til å få tilgang til dem.
• Tilordne en unik ID til alle med datamaskintilgang for sporing og
overvåking av tilgang til kortholderdata.
• Begrense fysisk tilgang til kortholders datasystemer med overvåking og
loggingsprosedyrer.
• Overvåke og spore all tilgang til regulerte nettverksressurser og kortholderdata
å lage et revisjonsspor for å demonstrere samsvar.
• Test sikkerhetssystemer og prosesser regelmessig, inkludert utførelse kvartalsvis
sårbarhetsskanninger.
• Utvikle og vedlikeholde en informasjonssikkerhetspolicy for alt personell.
Likheter mellom HIPAA og PCI-DSS
Det er mange likheter mellom disse to settene med regulatoriske standarder. De
likheter inkluderer:
• Håndheve bøter og straffer for organisasjoner som ikke overholder
forskrifter;
• Begrense fysisk tilgang til systemer som inneholder regulerte data;
• Kryptering av regulerte data når de overføres over åpne eller offentlige nettverk;
• Implementere tiltak som begrenser tilgang til regulerte data til autoriserte
personale;
• Overvåke bruken av systemer som lagrer regulerte data for å lage et revisjonsspor;
• Utføre planlagte vurderinger av IT-miljøet for å håndtere eventuelle nye
sårbarheter.
Forskjeller mellom HIPAA og PCI-DSS
Det er også noen betydelige forskjeller mellom HIPAA og PCI-DSS. En
En vesentlig forskjell er måten PCI og HIPAA definerer beskyttelsestiltakene på
som må tas for å beskytte regulerte data. HIPAA gir mer fleksibilitet
på måten en organisasjon beskytter ePHI på. For eksempel gir PCI-DSS mandat a
brannmur brukes til å beskytte nettverksressurser. HIPAA krever systemer å være
beskyttet, men spesifiserer ikke hvordan dette skal gjøres.
En annen forskjell er hvordan alvorlighetsgraden av bøter og straffer fastsettes
når organisasjoner ikke er i samsvar med regelverket.
HIPAA
• Nivå 1 : Et brudd som den dekkede enheten var uvitende om og ikke kunne
realistisk har unngått;
• Nivå 2 : Et brudd som den dekkede enheten burde vært klar over, men
kunne ikke ha unngått selv med en rimelig mengde forsiktighet;
• Nivå 3 : Et brudd påført som et direkte resultat av “forsettlig forsømmelse” av HIPAA
Regler der det er gjort forsøk på å rette opp bruddet;
• Nivå 4 : Et brudd på HIPAA-reglene som utgjør forsettlig forsømmelse der nei
det er gjort forsøk på å rette opp bruddet innen 30 dager.
Bøter for manglende overholdelse ilegges i henhold til disse nivåene:
• Nivå 1 : Minimumsbot på $100 per brudd på opptil $50 000
• Nivå 2 : Minimumsbot på 1000 USD per brudd på opptil 50 000 USD
• Nivå 3 : Minimumsbot på $10 000 per brudd på opptil $50 000
• Nivå 4 : Minimumsbot på $50 000 per overtredelse
PCI-DSS
Bøter for manglende overholdelse av PCI-DSS varierer fra $5 000 til $100 000 per måned
basert på størrelsen på selskapet og omfanget og varigheten av overtredelsene. Fire
selgernivåer er definert basert på antallet Visa-transaksjoner over 12
måneder. Nivåene bestemmer mengden vurdering og sikkerhetsvalidering
enheten må utføre for å opprettholde PCI-DSS-samsvar .
• Nivå 1 gjelder for kjøpmenn som behandler over seks millioner Visa-transaksjoner pr
år med en hvilken som helst metode for aksept av kredittkort.
• Nivå 2 angir selgere som behandler mellom én og seks millioner Visa
transaksjoner per år ved å bruke en hvilken som helst metode for aksept av kredittkort.
• Nivå 3 er for selgere som behandler mellom 20 000 og én million Visa e-
handelstransaksjoner per år.
• Nivå 4 gjelder for selgere som behandler mindre enn 20 000 e-handelsvisum
transaksjoner og enheter som behandler opptil én million Visa-transaksjoner av noen
snill.
Kan en IT-infrastruktur overholde begge regelverk?
Ja det kan det. Mange organisasjoner må overholde HIPAA og PCI-DSS.
Bedrifter som opererer i helsesektoren som også behandler kredittkortbetalinger
må sørge for at pasientdata og kortholderdata holdes sikre ved å overholde
med begge regelverk. I mange tilfeller er prosessene og prosedyrene
implementert for å beskytte én type data vil være tilstrekkelig til å beskytte både ePHI og
kortholderinformasjon.
Selskaper som er underlagt disse regulatoriske standardene kan implementere en overholdelse
infrastruktur selv eller samarbeide med erfarne tredjepartsleverandører som kan
sikre overholdelse. Uansett hvordan de gjør det, er overholdelse viktig å unngå
potensielt høye bøter, og omdømmeskaden som følger med ikke-
samsvar.