{"id":24187,"date":"2024-01-01T15:41:17","date_gmt":"2024-01-01T15:41:17","guid":{"rendered":"https:\/\/webhostingprof.com\/en-sammenligning-mellom-hipaa-og-pci-dss-overholdelse\/"},"modified":"2024-01-03T07:46:20","modified_gmt":"2024-01-03T07:46:20","slug":"en-sammenligning-mellom-hipaa-og-pci-dss-overholdelse","status":"publish","type":"post","link":"https:\/\/webhostingprof.com\/no\/en-sammenligning-mellom-hipaa-og-pci-dss-overholdelse\/","title":{"rendered":"En sammenligning mellom HIPAA og PCI-DSS-overholdelse"},"content":{"rendered":"

Organisasjoner som opererer i visse bransjer forventes \u00e5 overholde
\nregulatoriske standarder for hvordan de h\u00e5ndterer spesifikke typer dataelementer. I
\ni USA er virksomheter i helsesektoren underlagt HIPAA-retningslinjene.
\nBedrifter i enhver bransje som behandler kredittkortbetalinger m\u00e5 overholde
\nPCI-DSS.<\/p>\n

Vi skal sammenligne disse to vanlige regelverkene og se p\u00e5
\nderes likheter og forskjeller.<\/p>\n

Hva er HIPAA?<\/h2>\n

 <\/p>\n

HIPAA<\/em> er forkortelsen for Health Insurance Portability and Accountability Act
\nav 1996. Det er en f\u00f8deral lov vedtatt av Kongressen i USA som er utformet
\nfor \u00e5 beskytte personvernet og sikkerheten til beskyttet helseinformasjon (PHI). Loven
\nbest\u00e5r av tre hovedregler. Vi vil f\u00f8rst og fremst v\u00e6re opptatt av detaljene
\nav HIPPA-sikkerhetsregelen da den gir rammeverket for konstruksjonen av en
\nkompatibelt IT-milj\u00f8.<\/p>\n

\u2022 HIPAA personvernregel<\/strong> \u2013 Denne regelen setter standardene for enkeltpersoners
\nmedisinske journaler og beskyttet helseinformasjon (PHI) er ivaretatt. De
\nregelen definerer grenser for hvordan disse dataene kan brukes og krever at organisasjoner
\nbeskytte deres privatliv. Personvernregelen gir ogs\u00e5 pasienter rettigheter mht
\nse og verifisere medisinske journaler.<\/p>\n

\u2022 HIPAA-sikkerhetsregel<\/strong> \u2013 Denne regelen fokuserer p\u00e5 elektronisk beskyttet helse
\ninformasjon (ePHI). Den definerer sikkerhetstiltak som m\u00e5 implementeres for \u00e5 beskytte
\nsikkerheten til ePHI som et selskap lagrer og behandler elektronisk. Vi
\nvil se n\u00e6rmere p\u00e5 denne regelen snart.<\/p>\n

\u2022 HIPAA Breach Notification Rule<\/strong> – Denne regelen skisserer forholdene som
\nkreve at en organisasjon gir melding om et brudd som involverer PHI eller
\nePHI. Dekkede enhetene m\u00e5 varsle personene som er ber\u00f8rt av bruddet
\nSecretary of Health and Human Services, og noen ganger media.<\/p>\n

HIPAA-sikkerhetsregelen<\/h2>\n

 <\/p>\n

HIPAA-sikkerhetsregelen gjelder kun for ePHI. Det gjelder helsepersonell,
\nhelseplaner, dekkede enheter og forretningsforbindelser som behandler, lagrer og
\noverf\u00f8re ePHI. Sikkerhetsregelen definerer f\u00f8lgende trinn som m\u00e5 tas
\nfor \u00e5 beskytte ePHI. Alle dekkede enheter og forretningsforbindelser er p\u00e5lagt \u00e5:<\/p>\n

\u2022 Sikre konfidensialitet, integritet og tilgjengelighet til ePHI;
\n\u2022 Identifisere og beskytte milj\u00f8et mot trusler mot sikkerheten til ePHI;
\n\u2022 Beskytt mot uautorisert bruk eller avsl\u00f8ring av ePHI;
\n\u2022 S\u00f8rge for at arbeidsstyrken deres overholder alle HIPAA-forskrifter.<\/p>\n

Administrative, fysiske og tekniske sikkerhetstiltak er definert i sikkerhetsregelen.
\nDisse sikkerhetstiltakene m\u00e5 implementeres n\u00e5r du designer et datamilj\u00f8
\nsom er HIPAA-kompatibel<\/a> .<\/p>\n

HIPAA sikkerhetsregler<\/h2>\n

 <\/p>\n

F\u00f8lgende er en oversikt over de tre typene sikkerhetstiltak p\u00e5lagt av HIPAA.<\/p>\n

Administrative sikkerhetstiltak krever:<\/h3>\n

 <\/p>\n

\u2022 Utvikle en prosess som identifiserer risiko for ePHI og iverksette tiltak for
\ndempe dem;
\n\u2022 Utpeke en fokal som er ansvarlig for \u00e5 utvikle og implementere ePHI
\nsikkerhet;
\n\u2022 Definere rollebaserte retningslinjer som begrenser tilgangen til ePHI;
\n\u2022 Utf\u00f8re planlagte vurderinger av infrastrukturen for \u00e5 evaluere sikkerheten
\ntiltak og endre dem om n\u00f8dvendig;
\n\u2022 Gi sikkerhetsoppl\u00e6ring for alle ansatte og entrepren\u00f8rer som jobber med
\nePHI.<\/p>\n

Fysiske sikkerhetstiltak inkluderer:<\/h3>\n

 <\/p>\n

\u2022 Begrense fysisk tilgang til enheter som inneholder ePHI til kun autoriserte brukere;
\n\u2022 Implementere retningslinjer som spesifiserer hvordan enheter og medier som inneholder ePHI er
\nh\u00e5ndtert og \u00f8delagt.<\/p>\n

Tekniske sikkerhetstiltak krever:<\/h3>\n

 <\/p>\n

\u2022 Implementering av kontroller som begrenser tilgang til ePHI til autorisert personell;
\n\u2022 Utvikle revisjonskontroller for \u00e5 sikre at kun autorisert personell har tilgang til ePHI og
\nidentifisere uautoriserte tilgangsfors\u00f8k;
\n\u2022 Sikre sikker overf\u00f8ring av ePHI med tekniske tiltak som f.eks
\nkryptering;
\n\u2022 Definere integritetskontroller for \u00e5 sikre at ePHI ikke blir modifisert eller \u00f8delagt.<\/p>\n

Hva er PCI-DSS?<\/h2>\n

 <\/p>\n

Payment Card Industry Data Security Standard (PCI-DSS) er en sikkerhet
\nstandard etablert i 2004 av Visa, MasterCard, Discover Financial Services,
\nJCB International og American Express. Det er ikke en lov, men snarere et sett p\u00e5 tolv
\nstandarder h\u00e5ndhevet av betalingskortindustrien.<\/p>\n

\u2022 Installer og vedlikehold en brannmur for \u00e5 beskytte kortholderdata mot uautoriserte
\nadgang. Brannmuren m\u00e5 gjennomg\u00e5s halv\u00e5rlig og oppdateres for \u00e5 adressere trafikk
\nEndringer.
\n\u2022 Endre alle standardpassord som leveres av leverand\u00f8ren for hver maskinvare og
\nprogramvare i det regulerte milj\u00f8et.
\n\u2022 Beskytt lagrede kortholderdata ved \u00e5 kryptere dem og bare beholde dem s\u00e5 lenge de
\ner n\u00f8dvendig, og sletter foreldede data minst kvartalsvis.
\n\u2022 Krypter kortholderdata n\u00e5r de overf\u00f8res p\u00e5 tvers av offentlige nettverk.
\n\u2022 Distribuer og oppdater regelmessig antivirusprogrammer p\u00e5 alle maskiner som har tilgang
\nkortholderdata.
\n\u2022 Utvikle og vedlikeholde sikre systemer og applikasjoner og oppdatere dem med
\nsikkerhetsoppdateringer.
\n\u2022 Begrense tilgangen til kortholderdata etter behov. Kun brukere som trenger
\ndataene for \u00e5 utf\u00f8re jobben deres b\u00f8r ha tillatelse til \u00e5 f\u00e5 tilgang til dem.
\n\u2022 Tilordne en unik ID til alle med datamaskintilgang for sporing og
\noverv\u00e5king av tilgang til kortholderdata.
\n\u2022 Begrense fysisk tilgang til kortholders datasystemer med overv\u00e5king og
\nloggingsprosedyrer.
\n\u2022 Overv\u00e5ke og spore all tilgang til regulerte nettverksressurser og kortholderdata
\n\u00e5 lage et revisjonsspor for \u00e5 demonstrere samsvar.
\n\u2022 Test sikkerhetssystemer og prosesser regelmessig, inkludert utf\u00f8relse kvartalsvis
\ns\u00e5rbarhetsskanninger.
\n\u2022 Utvikle og vedlikeholde en informasjonssikkerhetspolicy for alt personell.<\/p>\n

Likheter mellom HIPAA og PCI-DSS<\/h2>\n

 <\/p>\n

Det er mange likheter mellom disse to settene med regulatoriske standarder. De
\nlikheter inkluderer:<\/p>\n

\u2022 H\u00e5ndheve b\u00f8ter og straffer for organisasjoner som ikke overholder
\nforskrifter;
\n\u2022 Begrense fysisk tilgang til systemer som inneholder regulerte data;
\n\u2022 Kryptering av regulerte data n\u00e5r de overf\u00f8res over \u00e5pne eller offentlige nettverk;
\n\u2022 Implementere tiltak som begrenser tilgang til regulerte data til autoriserte
\npersonale;
\n\u2022 Overv\u00e5ke bruken av systemer som lagrer regulerte data for \u00e5 lage et revisjonsspor;
\n\u2022 Utf\u00f8re planlagte vurderinger av IT-milj\u00f8et for \u00e5 h\u00e5ndtere eventuelle nye
\ns\u00e5rbarheter.<\/p>\n

Forskjeller mellom HIPAA og PCI-DSS<\/h2>\n

 <\/p>\n

Det er ogs\u00e5 noen betydelige forskjeller mellom HIPAA og PCI-DSS. En
\nEn vesentlig forskjell er m\u00e5ten PCI og HIPAA definerer beskyttelsestiltakene p\u00e5
\nsom m\u00e5 tas for \u00e5 beskytte regulerte data. HIPAA gir mer fleksibilitet
\np\u00e5 m\u00e5ten en organisasjon beskytter ePHI p\u00e5. For eksempel gir PCI-DSS mandat a
\nbrannmur brukes til \u00e5 beskytte nettverksressurser. HIPAA krever systemer \u00e5 v\u00e6re
\nbeskyttet, men spesifiserer ikke hvordan dette skal gj\u00f8res.<\/p>\n

En annen forskjell er hvordan alvorlighetsgraden av b\u00f8ter og straffer fastsettes
\nn\u00e5r organisasjoner ikke er i samsvar med regelverket.<\/p>\n

HIPAA<\/h2>\n

 <\/p>\n

\u2022 Niv\u00e5 1<\/strong> : Et brudd som den dekkede enheten var uvitende om og ikke kunne
\nrealistisk har unng\u00e5tt;
\n\u2022 Niv\u00e5 2<\/strong> : Et brudd som den dekkede enheten burde v\u00e6rt klar over, men
\nkunne ikke ha unng\u00e5tt selv med en rimelig mengde forsiktighet;
\n\u2022 Niv\u00e5 3<\/strong> : Et brudd p\u00e5f\u00f8rt som et direkte resultat av “forsettlig fors\u00f8mmelse” av HIPAA
\nRegler der det er gjort fors\u00f8k p\u00e5 \u00e5 rette opp bruddet;
\n\u2022 Niv\u00e5 4<\/strong> : Et brudd p\u00e5 HIPAA-reglene som utgj\u00f8r forsettlig fors\u00f8mmelse der nei
\ndet er gjort fors\u00f8k p\u00e5 \u00e5 rette opp bruddet innen 30 dager.<\/p>\n

B\u00f8ter for manglende overholdelse ilegges i henhold til disse niv\u00e5ene:<\/p>\n

\u2022 Niv\u00e5 1<\/strong> : Minimumsbot p\u00e5 $100 per brudd p\u00e5 opptil $50 000
\n\u2022 Niv\u00e5 2<\/strong> : Minimumsbot p\u00e5 1000 USD per brudd p\u00e5 opptil 50 000 USD
\n\u2022 Niv\u00e5 3<\/strong> : Minimumsbot p\u00e5 $10 000 per brudd p\u00e5 opptil $50 000
\n\u2022 Niv\u00e5 4<\/strong> : Minimumsbot p\u00e5 $50 000 per overtredelse<\/p>\n

PCI-DSS<\/h2>\n

 <\/p>\n

B\u00f8ter for manglende overholdelse av PCI-DSS varierer fra $5 000 til $100 000 per m\u00e5ned
\nbasert p\u00e5 st\u00f8rrelsen p\u00e5 selskapet og omfanget og varigheten av overtredelsene. Fire
\nselgerniv\u00e5er er definert basert p\u00e5 antallet Visa-transaksjoner over 12
\nm\u00e5neder. Niv\u00e5ene bestemmer mengden vurdering og sikkerhetsvalidering
\nenheten m\u00e5 utf\u00f8re for \u00e5 opprettholde PCI-DSS-samsvar<\/a> .<\/p>\n

\u2022 Niv\u00e5 1<\/strong> gjelder for kj\u00f8pmenn som behandler over seks millioner Visa-transaksjoner pr
\n\u00e5r med en hvilken som helst metode for aksept av kredittkort.<\/p>\n

\u2022 Niv\u00e5 2<\/strong> angir selgere som behandler mellom \u00e9n og seks millioner Visa
\ntransaksjoner per \u00e5r ved \u00e5 bruke en hvilken som helst metode for aksept av kredittkort.<\/p>\n

\u2022 Niv\u00e5 3<\/strong> er for selgere som behandler mellom 20 000 og \u00e9n million Visa e-
\nhandelstransaksjoner per \u00e5r.<\/p>\n

\u2022 Niv\u00e5 4<\/strong> gjelder for selgere som behandler mindre enn 20 000 e-handelsvisum
\ntransaksjoner og enheter som behandler opptil \u00e9n million Visa-transaksjoner av noen
\nsnill.<\/p>\n

Kan en IT-infrastruktur overholde begge regelverk?<\/h2>\n

 <\/p>\n

Ja det kan det. Mange organisasjoner m\u00e5 overholde HIPAA og PCI-DSS.
\nBedrifter som opererer i helsesektoren som ogs\u00e5 behandler kredittkortbetalinger
\nm\u00e5 s\u00f8rge for at pasientdata og kortholderdata holdes sikre ved \u00e5 overholde
\nmed begge regelverk. I mange tilfeller er prosessene og prosedyrene
\nimplementert for \u00e5 beskytte \u00e9n type data vil v\u00e6re tilstrekkelig til \u00e5 beskytte b\u00e5de ePHI og
\nkortholderinformasjon.<\/p>\n

Selskaper som er underlagt disse regulatoriske standardene kan implementere en overholdelse
\ninfrastruktur selv eller samarbeide med erfarne tredjepartsleverand\u00f8rer som kan
\nsikre overholdelse. Uansett hvordan de gj\u00f8r det, er overholdelse viktig \u00e5 unng\u00e5
\npotensielt h\u00f8ye b\u00f8ter, og omd\u00f8mmeskaden som f\u00f8lger med ikke-
\nsamsvar.<\/p>\n","protected":false},"excerpt":{"rendered":"

Organisasjoner som opererer i visse bransjer forventes \u00e5 overholde regulatoriske standarder for hvordan de h\u00e5ndterer spesifikke typer dataelementer. I i USA er virksomheter i helsesektoren underlagt HIPAA-retningslinjene. Bedrifter i enhver bransje som behandler kredittkortbetalinger m\u00e5 overholde PCI-DSS. Vi skal sammenligne disse to vanlige regelverkene og se p\u00e5 deres likheter og forskjeller. Hva er HIPAA?   …<\/p>\n

En sammenligning mellom HIPAA og PCI-DSS-overholdelse<\/span> Les mer »<\/a><\/p>\n","protected":false},"author":6,"featured_media":23861,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_lmt_disableupdate":"","_lmt_disable":"","site-sidebar-layout":"no-sidebar","site-content-layout":"page-builder","ast-global-header-display":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"default","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","footnotes":"","_glsr_average":0,"_glsr_ranking":0,"_glsr_reviews":0},"categories":[906],"tags":[],"modified_by":null,"_links":{"self":[{"href":"https:\/\/webhostingprof.com\/no\/wp-json\/wp\/v2\/posts\/24187"}],"collection":[{"href":"https:\/\/webhostingprof.com\/no\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/webhostingprof.com\/no\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/webhostingprof.com\/no\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/webhostingprof.com\/no\/wp-json\/wp\/v2\/comments?post=24187"}],"version-history":[{"count":0,"href":"https:\/\/webhostingprof.com\/no\/wp-json\/wp\/v2\/posts\/24187\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/webhostingprof.com\/no\/wp-json\/wp\/v2\/media\/23861"}],"wp:attachment":[{"href":"https:\/\/webhostingprof.com\/no\/wp-json\/wp\/v2\/media?parent=24187"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/webhostingprof.com\/no\/wp-json\/wp\/v2\/categories?post=24187"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/webhostingprof.com\/no\/wp-json\/wp\/v2\/tags?post=24187"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}