As organizações que operam em determinados sectores devem cumprir
normas regulamentares relativas à forma como tratam tipos específicos de elementos de dados. Em
Nos EUA, as empresas do sector da saúde estão sujeitas às directrizes da HIPAA.
As empresas de qualquer sector que processem pagamentos com cartão de crédito devem cumprir
PCI-DSS.
Vamos comparar estes dois quadros regulamentares comuns e analisar
as suas semelhanças e diferenças.
O que é a HIPAA?
HIPAA é o acrónimo de Health Insurance Portability and Accountability Act (Lei da Portabilidade e Responsabilidade dos Seguros de Saúde)
de 1996. Trata-se de uma lei federal aprovada pelo Congresso dos Estados Unidos da América que tem por objetivo
para proteger a privacidade e a segurança das informações de saúde protegidas (PHI). A lei
é composto por três regras principais. Vamos preocupar-nos sobretudo com os pormenores
da Regra de Segurança da HIPPA, uma vez que fornece o quadro para a construção de uma
ambiente informático compatível.
– Regra de privacidade da HIPAA – Esta regra define as normas segundo as quais os direitos dos indivíduos
os registos médicos e as informações de saúde protegidas (PHI) são salvaguardados. O
define limites sobre a forma como estes dados podem ser utilizados e exige que as organizações
proteger a sua privacidade. A Regra de Privacidade também dá aos doentes direitos relativamente a
ver e verificar os seus registos médicos.
– Regra de segurança HIPAA – Esta regra centra-se na saúde eletrónica protegida
informação (ePHI). Define as salvaguardas que devem ser aplicadas para proteger
a segurança do ePHI que uma empresa armazena e processa eletronicamente. Nós
analisará esta regra com mais pormenor em breve.
– Regra de notificação de violação da HIPAA – Esta regra define as condições que
exigem que uma organização forneça notificação de uma violação que envolva PHI ou
ePHI. As entidades abrangidas devem notificar os indivíduos afectados pela violação, a
Secretário da Saúde e dos Serviços Humanos e, por vezes, os meios de comunicação social.
A regra de segurança da HIPAA
A Regra de Segurança da HIPAA aplica-se apenas ao ePHI. Aplica-se aos prestadores de cuidados de saúde,
planos de saúde, entidades abrangidas e associados comerciais que processam, armazenam e
transmitir o ePHI. A Regra de Segurança define os seguintes passos que devem ser dados
para proteger o ePHI. Todas as entidades cobertas e associados comerciais são obrigados a:
– Assegurar a confidencialidade, integridade e disponibilidade do ePHI;
– Identificar e proteger o ambiente contra ameaças à segurança do ePHI;
– Proteger contra a utilização ou divulgação não autorizada de ePHI;
– Assegurar que a sua força de trabalho cumpre todos os regulamentos HIPAA.
As salvaguardas administrativas, físicas e técnicas são definidas na Regra de Segurança.
Estas salvaguardas devem ser implementadas aquando da conceção de um ambiente informático
que está em conformidade com a HIPAA.
Salvaguardas da Regra de Segurança da HIPAA
Segue-se uma análise dos três tipos de salvaguardas exigidas pela HIPAA.
As salvaguardas administrativas exigem:
– Desenvolver um processo que identifique os riscos para o ePHI e implementar medidas para
atenuá-las;
– Designar um responsável pelo desenvolvimento e implementação do ePHI
segurança;
– Definição de políticas baseadas em funções que limitam o acesso ao ePHI;
– Realização de avaliações programadas da infraestrutura para avaliar a segurança
medidas e alterá-las, se necessário;
– Fornecer formação em matéria de segurança a todos os empregados e contratantes que trabalham com
ePHI.
As protecções físicas incluem:
– Limitar o acesso físico aos dispositivos que contêm ePHI apenas a utilizadores autorizados;
– Implementação de políticas que especifiquem a forma como os dispositivos e suportes que contêm ePHI são
manuseados e destruídos.
As salvaguardas técnicas exigem:
– Implementação de controlos que limitem o acesso ao ePHI a pessoal autorizado;
– Desenvolvimento de controlos de auditoria para garantir que apenas o pessoal autorizado acede ao ePHI e
identificar tentativas de acesso não autorizado;
– Garantir a transmissão segura do ePHI com medidas técnicas como
encriptação;
– Definição de controlos de integridade para garantir que o ePHI não é modificado ou destruído.
O que é o PCI-DSS?
A norma de segurança de dados do sector dos cartões de pagamento (PCI-DSS) é uma norma de segurança
norma estabelecida em 2004 pela Visa, MasterCard e Discover Financial Services,
JCB International e American Express. Não se trata de uma lei, mas sim de um conjunto de doze
normas impostas pelo sector dos cartões de pagamento.
– Instalar e manter uma firewall para proteger os dados do titular do cartão de pessoas não autorizadas
acesso. A firewall deve ser revista semestralmente e actualizada de modo a ter em conta o tráfego
alterações.
– Altere todas as palavras-passe predefinidas fornecidas pelo fornecedor para cada peça de hardware e
software no ambiente regulamentado.
– Proteger os dados armazenados do titular do cartão, encriptando-os e retendo-os apenas durante o tempo necessário
é necessário, eliminando os dados obsoletos pelo menos trimestralmente.
– Encriptar os dados do titular do cartão sempre que estes sejam transmitidos através de redes públicas.
– Implementar e atualizar regularmente programas antivírus em todas as máquinas que acedem a
dados do titular do cartão.
– Desenvolver e manter sistemas e aplicações seguros e actualizá-los com
patches de segurança.
– Restringir o acesso aos dados do titular do cartão com base na necessidade de conhecimento. Apenas os utilizadores que necessitam de
os dados para fazer o seu trabalho devem ser autorizados a aceder aos mesmos.
– Atribuir uma identificação única a todas as pessoas com acesso ao computador para rastreio e
controlo do acesso aos dados do titular do cartão.
– Restringir o acesso físico aos sistemas de dados do titular do cartão com monitorização e
procedimentos de registo.
– Monitorizar e acompanhar todo o acesso a recursos de rede regulamentados e a dados do titular do cartão
para criar uma pista de auditoria que demonstre a conformidade.
– Testar regularmente os sistemas e processos de segurança, incluindo a realização de testes trimestrais
análises de vulnerabilidades.
– Desenvolver e manter uma política de segurança da informação para todo o pessoal.
Semelhanças entre HIPAA e PCI-DSS
Existem muitas semelhanças entre estes dois conjuntos de normas regulamentares. O
As semelhanças incluem:
– Aplicar coimas e sanções às organizações que não cumpram os
regulamentos;
– Limitar o acesso físico aos sistemas que contêm dados regulamentados;
– Encriptar os dados regulamentados quando os transmite através de redes abertas ou públicas;
– Implementação de medidas que limitem o acesso aos dados regulamentados a pessoas autorizadas
pessoal;
– Monitorizar a utilização de sistemas que armazenam dados regulamentados para criar uma pista de auditoria;
– Efetuar avaliações programadas do ambiente informático para abordar quaisquer novos
vulnerabilidades.
Diferenças entre HIPAA e PCI-DSS
Existem também algumas diferenças significativas entre a HIPAA e a PCI-DSS. Um
A diferença substancial está na forma como a PCI e a HIPAA definem as medidas de proteção
que devem ser tomadas para proteger os dados regulamentados. A HIPAA permite uma maior flexibilidade
na forma como uma organização protege o ePHI. Por exemplo, o PCI-DSS exige um
A firewall deve ser utilizada para proteger os recursos da rede. A HIPAA exige que os sistemas sejam
protegida, mas não especifica como é que isso deve ser feito.
Outra diferença reside na forma como é determinada a severidade das coimas e sanções
quando as organizações não estão em conformidade com os regulamentos.
HIPAA
– Nível 1: Uma infração de que a entidade abrangida não tinha conhecimento e não podia
ter evitado de forma realista;
– Nível 2: Uma infração de que a entidade abrangida deveria ter tido conhecimento, mas
não poderia ter evitado, mesmo com um cuidado razoável;
– Nível 3: Uma violação sofrida como resultado direto de “negligência intencional” da HIPAA
Regras em que foi feita uma tentativa de corrigir a infração;
– Nível 4: Uma violação das Regras da HIPAA que constitui negligência intencional quando não há
foi feita uma tentativa para corrigir a infração no prazo de 30 dias.
As coimas por incumprimento são cobradas de acordo com estes níveis:
– Nível 1: Coima mínima de $100 por infração até $50.000
– Escalão 2: Coima mínima de $1.000 por infração até $50.000
– Nível 3: Coima mínima de $10.000 por infração até $50.000
– Escalão 4: Coima mínima de 50 000 dólares por infração
PCI-DSS
As multas por não conformidade com o PCI-DSS variam de US$ 5.000 a US$ 100.000 por mês
com base na dimensão da empresa e no âmbito e duração das infracções. Quatro
os níveis de comerciante são definidos com base na quantidade de transacções Visa superiores a 12
meses. Os níveis determinam a quantidade de avaliação e validação de segurança que um
para manter a conformidade com o PCI-DSS.
– O Nível 1 aplica-se aos comerciantes que processam mais de seis milhões de transacções Visa por
ano utilizando qualquer método de aceitação de cartões de crédito.
– O nível 2 designa os comerciantes que processam entre um e seis milhões de cartões Visa
transacções por ano utilizando qualquer método de aceitação de cartões de crédito.
– O nível 3 destina-se aos comerciantes que processam entre 20 000 e um milhão de pedidos de pagamento eletrónico Visa.
transacções comerciais por ano.
– O nível 4 aplica-se aos comerciantes que processam menos de 20 000 vistos de comércio eletrónico
e as entidades que processam até um milhão de transacções Visa de qualquer
género.
Pode uma infraestrutura de TI cumprir os dois conjuntos de regulamentos?
Sim, pode. Muitas organizações têm de cumprir a HIPAA e a PCI-DSS.
Empresas que operam no sector da saúde e que também processam pagamentos com cartão de crédito
precisam de garantir que os dados dos doentes e os dados do titular do cartão são mantidos em segurança, cumprindo
com ambos os conjuntos de regulamentos. Em muitos casos, os processos e procedimentos
implementado para proteger um tipo de dados será suficiente para proteger tanto o ePHI como o
informações sobre o titular do cartão.
As empresas sujeitas a estas normas regulamentares podem implementar um sistema de
infra-estruturas próprias ou trabalhar com fornecedores terceiros experientes que possam
garantir a conformidade. Independentemente da forma como o fazem, é importante evitar o cumprimento
coimas potencialmente pesadas e os danos para a reputação que acompanham a não aplicação de coimas.
conformidade.