• Hem
  • Blogg
  • En jämförelse mellan efterlevnad av HIPAA och PCI-DSS
  • Blogg
  • En jämförelse mellan efterlevnad av HIPAA och PCI-DSS

En jämförelse mellan efterlevnad av HIPAA och PCI-DSS

Organisationer som är verksamma inom vissa branscher förväntas följa
lagstadgade standarder för hur de hanterar specifika typer av dataelement. I
I USA omfattas företag inom hälso- och sjukvårdssektorn av HIPAA-riktlinjerna.
Företag i alla branscher som hanterar kreditkortsbetalningar måste följa
PCI-DSS.

Vi kommer att jämföra dessa två gemensamma regelverk och titta på
deras likheter och skillnader.

Vad är HIPAA?

 

HIPAA är förkortningen för Health Insurance Portability and Accountability Act (lagen om portabilitet och ansvarighet för sjukförsäkring)
1996. Det är en federal lag som antagits av kongressen i USA och som är utformad
att skydda integriteten och säkerheten för skyddad hälsoinformation (PHI). Lagstiftning
består av tre huvudregler. Vi kommer främst att intressera oss för detaljerna
av HIPPA Security Rule eftersom den utgör ramen för konstruktionen av en
IT-miljö som uppfyller kraven.

HIPAA Privacy Rule – Denna regel fastställer de standarder enligt vilka enskilda personers
medicinska journaler och skyddad hälsoinformation (PHI) skyddas. Den
regeln definierar begränsningar för hur dessa data får användas och kräver att organisationer
skydda deras privatliv. Sekretessreglerna ger också patienterna rättigheter när det gäller
granska och verifiera deras medicinska journaler.

HIPAA Security Rule – Denna regel fokuserar på elektronisk skyddad hälsa
information (ePHI). Den definierar skyddsåtgärder som måste genomföras för att skydda
säkerheten för den ePHI som ett företag lagrar och behandlar elektroniskt. Vi
kommer att titta närmare på denna regel inom kort.

HIPAA Breach Notification Rule – Denna regel beskriver de villkor som
kräva att en organisation underrättar om ett intrång som omfattar PHI eller
ePHI. Försäkrade enheter måste meddela de personer som berörs av överträdelsen,
Hälso- och sjukvårdsministern, och ibland media.

HIPAA:s säkerhetsregel

 

HIPAA:s säkerhetsregel gäller endast för ePHI. Det gäller för vårdgivare,
hälsoplaner, enheter som omfattas och affärspartners som behandlar, lagrar och
överföra ePHI. Säkerhetsregeln definierar följande steg som måste vidtas
för att skydda ePHI. Alla omfattade enheter och affärspartner är skyldiga att:

– Säkerställa sekretess, integritet och tillgänglighet för ePHI;
– Identifiera och skydda miljön från hot mot säkerheten för ePHI;
– Skydda mot obehörig användning eller obehörigt utlämnande av ePHI;
– Säkerställa att deras personal följer alla HIPAA-regler.

Administrativa, fysiska och tekniska skyddsåtgärder definieras i säkerhetsregeln.
Dessa skyddsåtgärder måste vidtas när en datormiljö utformas
som uppfyller kraven i HIPAA.

Skyddsåtgärder enligt HIPAA:s säkerhetsregel

 

Nedan följer en uppdelning av de tre typer av skyddsåtgärder som krävs enligt HIPAA.

Administrativa skyddsåtgärder krävs:

 

– Utveckla en process som identifierar risker för ePHI och genomföra åtgärder för att
mildra dem;
– Utse en kontaktperson som är ansvarig för att utveckla och implementera ePHI
säkerhet;
– Definiera rollbaserade policyer som begränsar åtkomsten till ePHI;
– Utföra schemalagda bedömningar av infrastrukturen för att utvärdera säkerheten
åtgärder och modifiera dem vid behov;
– Tillhandahålla säkerhetsutbildning för alla anställda och entreprenörer som arbetar med
ePHI.

Fysiska skyddsåtgärder inkluderar:

 

– Begränsa fysisk åtkomst till enheter som innehåller ePHI till endast behöriga användare;
– Implementera policyer som anger hur enheter och media som innehåller ePHI
hanteras och förstöras.

Tekniska skyddsåtgärder krävs:

 

– Implementera kontroller som begränsar åtkomsten till ePHI till behörig personal;
– Utveckla revisionskontroller för att säkerställa att endast behörig personal har tillgång till ePHI och
identifiera försök till obehörig åtkomst;
– Säker överföring av ePHI med tekniska åtgärder som t.ex.
kryptering;
– Definiera integritetskontroller för att säkerställa att ePHI inte ändras eller förstörs.

Vad är PCI-DSS?

 

Payment Card Industry Data Security Standard (PCI-DSS) är en säkerhetsstandard
Standard som infördes 2004 av Visa, MasterCard och Discover Financial Services,
JCB International och American Express. Det är inte en lag utan snarare en uppsättning av tolv
standarder som tillämpas av betalkortsbranschen.

– Installera och underhålla en brandvägg för att skydda kortdata från obehöriga
tillgång. Brandväggen måste ses över två gånger per år och uppdateras för att hantera trafik
förändringar.
– Ändra alla standardlösenord som leverantören tillhandahåller för all maskinvara och
programvara i den reglerade miljön.
– Skydda lagrade kortinnehavaruppgifter genom att kryptera dem och endast lagra dem så länge de behövs
behövs, och rensa bort inaktuella uppgifter minst en gång i kvartalet.
– Kryptera kortinnehavarnas uppgifter när de överförs via offentliga nätverk.
– Installera och regelbundet uppdatera antivirusprogram på alla datorer som har åtkomst till
kortinnehavaruppgifter.
– Utveckla och underhålla säkra system och applikationer och uppdatera dem med
säkerhetsuppdateringar.
– Begränsa åtkomsten till kortinnehavaruppgifter till att gälla endast vid behov. Endast användare som behöver
data för att utföra sitt arbete bör vara behöriga att få tillgång till dem.
– Tilldela ett unikt ID till alla med datoråtkomst för spårning och
övervaka tillgången till kortinnehavarnas uppgifter.
– Begränsa fysisk åtkomst till system för kortinnehavardata med övervakning och
förfaranden för loggning.
– Övervaka och spåra all åtkomst till reglerade nätverksresurser och kortinnehavardata
att skapa ett verifieringskedja för att visa efterlevnad.
– regelbundet testa säkerhetssystem och säkerhetsprocesser, inklusive kvartalsvisa tester
sårbarhetsskanningar.
– Utveckla och upprätthåll en policy för informationssäkerhet för all personal.

Likheter mellan HIPAA och PCI-DSS

 

Det finns många likheter mellan dessa två uppsättningar av regleringsstandarder. Den
likheter inkluderar:

– Verkställa böter och straffavgifter för organisationer som inte följer
bestämmelser;
– Begränsning av fysisk åtkomst till system som innehåller reglerade uppgifter;
– Kryptering av reglerade data när de överförs via öppna eller offentliga nätverk;
– Implementera åtgärder som begränsar åtkomsten till reglerade data till behöriga
personal;
– Övervaka användningen av system som lagrar reglerade uppgifter för att skapa en verifieringskedja;
– Utföra schemalagda utvärderingar av IT-miljön för att hantera eventuella nya
sårbarheter.

Skillnader mellan HIPAA och PCI-DSS

 

Det finns också några betydande skillnader mellan HIPAA och PCI-DSS. En
den väsentliga skillnaden ligger i hur PCI och HIPAA definierar skyddsåtgärderna
som måste vidtas för att skydda reglerade data. HIPAA ger större flexibilitet
i hur en organisation skyddar ePHI. PCI-DSS kräver t.ex. en
brandvägg användas för att skydda nätverksresurser. HIPAA kräver att system ska vara
skyddas men anger inte hur detta ska åstadkommas.

En annan skillnad är hur stränga böter och påföljder bestäms
när organisationer inte följer regelverket.

HIPAA

 

Nivå 1: En överträdelse som den täckta enheten var omedveten om och inte kunde
kunnat undvika på ett realistiskt sätt;
Nivå 2: En överträdelse som den täckta enheten borde ha varit medveten om men
inte hade kunnat undvikas även med rimliga försiktighetsåtgärder;
Nivå 3: En överträdelse som skett som en direkt följd av “avsiktlig försummelse” av HIPAA
Regler där ett försök har gjorts att rätta till överträdelsen;
Nivå 4: En överträdelse av HIPAA-reglerna som utgör avsiktlig försummelse där ingen
försök har gjorts att rätta till överträdelsen inom 30 dagar.

Böter för bristande efterlevnad tas ut i enlighet med dessa nivåer:

Nivå 1: Minimiböter på 100 USD per överträdelse upp till 50 000 USD
Nivå 2: Minimiböter på 1 000 USD per överträdelse upp till 50 000 USD
Nivå 3: Minimiböter på 10 000 USD per överträdelse upp till 50 000 USD
Nivå 4: Minimiböter på 50 000 USD per överträdelse

PCI-DSS

 

Böter för bristande efterlevnad av PCI-DSS varierar från 5 000 USD till 100 000 USD per månad
baserat på företagets storlek och överträdelsernas omfattning och varaktighet. Fyra
Handlarnivåer definieras baserat på antalet Visa-transaktioner över 12
månader. Nivåerna avgör hur omfattande bedömning och säkerhetsvalidering en
måste utföra för att upprätthålla PCI-DSS-överensstämmelse.

Nivå 1 gäller för handlare som hanterar över sex miljoner Visa-transaktioner per år
år med någon metod för godkännande av kreditkort.

Nivå 2 betecknar handlare som hanterar mellan en och sex miljoner Visa
transaktioner per år med någon metod för godkännande av kreditkort.

Nivå 3 är för handlare som hanterar mellan 20 000 och en miljon Visa e-
handelstransaktioner per år.

Nivå 4 gäller för handlare som hanterar mindre än 20 000 e-handelsviseringar
transaktioner och enheter som hanterar upp till en miljon Visa-transaktioner av alla
typ.

Kan en IT-infrastruktur uppfylla kraven i båda regelverken?

 

Ja, det kan det. Många organisationer måste följa HIPAA och PCI-DSS.
Företag som är verksamma inom hälso- och sjukvårdssektorn och som också hanterar kreditkortsbetalningar
måste se till att patientuppgifter och kortinnehavaruppgifter hålls säkra genom att följa
med båda uppsättningarna av bestämmelser. I många fall är processerna och förfarandena
som implementerats för att skydda en typ av data kommer att vara tillräckligt för att skydda både EPHI och
information om kortinnehavare.

Företag som omfattas av dessa lagstadgade standarder kan implementera en
infrastruktur själva eller arbeta med erfarna tredjepartsleverantörer som kan
säkerställa efterlevnad. Hur de än går tillväga är det viktigt att undvika
potentiellt höga böter, och den skada på anseendet som följer av utebliven
efterlevnad.

Andel

Prenumerera

För den senaste autentiska forskningen och nyheter om de bästa värdarna för din webbplats!

Nästa inlägg

Relaterade inlägg: