HIPAA-Banner

HIPAA | HITECH Einhaltung der Datensicherheit

Die CipherTrust Data Security Platform von Thales stellt Lösungen für Zugriffskontrolle und Verschlüsselung bereit, mit denen Hilfe Unternehmen die HIPAA- und HITECH-Bestimmungen erfüllen können.

HIPAA

Test

Die HIPAA-Sicherheitsregel schreibt vor, dass Unternehmen aus dem Gesundheitswesen angemessene Schutzmaßnahmen ergreifen müssen, um die Sicherheit geschützter elektronischer Gesundheitsinformationen laut US-Recht (electronic protected health information, ePHI) zu gewährleisten. Der HITECH Act wiederum, der die Bestimmungen zur Verschlüsselung des HIPAA erweitert, verlangt die fristgerechte Meldung von Datenschutzverletzungen.

Bei der Einhaltung von HIPAA und HITECH stellen insbesondere die Bestimmungen der Datenschutzregeln für viele Unternehmen eine besondere Herausforderung dar. Der Einsatz von Verschlüsselungslösungen, die Patientendaten nicht nur vor bestimmten definierten Arten der Nutzung – und im Rahmen des unzulässigen elektronischen Datenaustausches – schützen, stellt IT-Verantwortliche nachweislich vor erhebliche Probleme. Eine erfolgreiche Bereitstellung muss nicht nur sicher sein und diesen Transaktionsstandards entsprechen, sondern auch im Rahmen des IT-Frameworks des Unternehmens umsetzbar sein.

Die Lösungen von Thales unterstützen Unternehmen dabei, diese Probleme bei der Einhaltung von Bestimmungen anzugehen, indem Sie folgenden technischen Schutzmaßnahmen für ePHI bereitstellen:

  • Datenerkennung und -klassifizierung
  • Datenzugriffskontrolle
  • Verschlüsselung und Tokenisierung (Pseudonymisierung) von Data-at-Rest
  • Verschlüsselung von Data-in-Motion
  • Schlüsselverwaltung
  • Aufbewahrung und Überwachung von Protokollen der Benutzerzugriffe
  • Einsatz von Hardware-Sicherheitsmodulen (HSM) zur Ausführung von Verschlüsselungsprozessen und zum Schutz kryptographischer Schlüssel
  • Bestimmungen
  • Einhaltung von Vorschriften

Der US-amerikanische Health Insurance Portability and Accountability Act (HIPAA)

Die HIPAA-Sicherheitsregel verlangt von den betroffenen Unternehmen, technische Maßnahmen für den Schutz aller geschützter elektronischer Gesundheitsinformationen (Electronic Protected Healthcare Information, ePHI) zu ergreifen. Das bezieht sich insbesondere auf Verschlüsselung, Zugriffskontrolle, die Verwaltung kryptographischer Schlüssel, Risikomanagement sowie die Prüfung und Überwachung von ePHI-Daten. Die HIPAA-Sicherheitsregel zählt Beispiele für Verschlüsselungsmethoden auf, die die jeweiligen Unternehmen einsetzen können, sowie welche Faktoren bei der Umsetzung einer HIPAA-Verschlüsselungsstrategie berücksichtigt werden müssen.

Health Information Technology for Economic and Clinical Health (HITECH) Act

Das HITECH Act ist Teil des American Recovery und Reinvestment Act (ARRA) aus dem Jahr 2009. Es geht hinsichtlich der Anforderungen noch einen Schritt weiter als das HIPAA und verlangt die Anzeige aller Datenschutzverletzungen „ungeschützter“, d. h. nicht verschlüsselter, persönlicher Gesundheitsakten (Personal Health Records, PHR). Darunter fallen auch Datenschutzverletzungen durch Geschäftspartner, Lieferanten und verbundenen Unternehmen.

HIPAA Omnibus Rule von 2013

Die „HIPAA Omnibus Rule“ aus dem Jahr 2013 macht Geschäftspartner offiziell für die Einhaltung der HIPAA-Sicherheitsrichtlinie haftbar.

Datenerfassung und -klassifizierung

Beim Schutz sensibler Daten muss zunächst herausgefunden werden, wo im Unternehmen sich diese Daten befinden. Anschließend müssen diese Daten als sensibel klassifiziert und typisiert werden (z. B. PII, Finanzdaten, IP, HHI, vertrauliche Kundendaten usw.), damit Sie die am besten geeigneten Datenschutztechniken anwenden können. Außerdem ist es wichtig, die Daten regelmäßig zu überwachen und zu bewerten, damit neue Daten nicht übersehen werden und Ihr Unternehmen nicht gegen Bestimmungen verstößt.

CipherTrust Data Discovery and Classification von Thales erkennt schnell und präzise strukturierte sowie unstrukturierte Daten on-premises und in der Cloud. Diese Lösung unterstützt sowohl agentenlose als auch agentenbasierte Bereitstellungsmodelle. Sie verfügt über integrierte Templates, die eine schnelle Identifizierung regulierter Daten ermöglicht, Sicherheitsrisiken deutlich macht und dazu beiträgt, Lücken bei der Einhaltung von Bestimmungen aufzudecken. Ein straffer Workflow zeigt auf, wo die Sicherheitslücken liegen und reduziert die für deren Behebung aufgewendete Zeit. Detaillierte Berichte unterstützen Compliance-Programme und erleichtern die Kommunikation auf Geschäftsleitungsebene.

Leistungsstarke Zugriffsverwaltung und Authentifizierung

Die Zugriffsverwaltungs- und Authentifizierungslösungen von Thales bieten die erforderlichen Sicherheitsmechanismen und Berichtsfunktionen, die Unternehmen für die Einhaltung von Datensicherheitsvorschriften benötigen. Unsere Lösungen schützen sensible Daten, indem Sie geeignete Zugriffskontrollen durchsetzen, sobald Benutzer auf Anwendungen zugreifen, in denen sensible Daten gespeichert sind. Sie unterstützen eine große Bandbreite an Authentifizierungsmethoden sowie richtlinien- und rollenbasierten Zugriff und helfen Unternehmen dabei, das Risiko von Datenschutzverletzungen aufgrund kompromittierter oder gestohlener Zugangsdaten oder deren Missbrauch durch Insider zu senken.

Dank intelligentem Single-Sign-on und Step-up-Authentifizierung können Organisationen die Benutzerfreundlichkeit erhöhen. Endbenutzer müssen sich nur bei Bedarf authentifizieren. Unternehmen können mithilfe umfangreicher Berichtsfunktionen detaillierte Audit-Protokolle aller Zugriffs- und Authentifizierungsereignisse erstellen. So ist die Einhaltung zahlreicher Vorschriften gewährleistet.

Schutz sensibler Data-at-Rest

Die CipherTrust Data Security Platform ist eine integrierte Suite datenzentrierter Sicherheitsprodukte und -lösungen, die Erkennung, Schutz und Kontrolle von Daten auf einer einzigen Plattform vereint.

  • Erkennen: Ein Unternehmen muss in der Lage sein, Daten dort zu erkennen, wo sie sich befinden, und diese zu klassifizieren. Diese Daten können in unterschiedlichen Formen vorliegen: Dateien, Datenbanken, Big Data, und sie können on-premises, in der Cloud oder als Sicherungskopien gespeichert sein. Datensicherheit und die Einhaltung von Vorgaben beginnt damit, gefährdete sensible Daten zu finden, bevor Hacker oder Prüfer dies tun. Mithilfe der CipherTrust Data Security Platform erhalten Unternehmen mittels effizienter Datenerkennung, -klassifizierung und Risikoanalysen einen vollständigen Überblick über Ihre sensiblen Daten on-premises und in der Cloud.
  • Schützen: Sobald ein Unternehmen weiß, wo sich seine sensiblen Daten befinden, können Schutzmaßnahmen wie Verschlüsselung oder Tokenisierung ergriffen werden. Damit sensible Daten erfolgreich durch Verschlüsselung und Tokenisierung gesichert werden können, müssen die entsprechenden kryptographischen Schlüssel ebenfalls vom Unternehmen gesichert, verwaltet und kontrolliert werden. Die CipherTrust Data Security Platform stellt umfangreiche Datensicherheitsfunktionen bereit. Dazu gehören Verschlüsselung auf Dateiebene mit Zugriffskontrollen, Verschlüsselung auf Anwendungseben, Datenbankverschlüsselung, statische Datenmaskierung, Tokenisierung ohne Vault mit richtlinienbasierter dynamischer Datenmaskierung sowie Tokenisierung mit Vault zur Unterstützung einer Vielzahl an Anwendungsfällen im Zusammenhang mit Datenschutz.
  • Kontrolle: Das Unternehmen ist verpflichtet, den Zugriff auf seine Daten zu kontrollieren und die kryptographischen Schlüssel zentral zu verwalten. Alle Bestimmungen und Vorschriften zur Datensicherheit verlangen von Unternehmen, dass sowohl berechtigten als auch unbefugten Zugriff auf Daten und kryptographische Schlüssel erkennen, kontrollieren und melden. Die CipherTrust Data Security Platform bietet robuste Schlüsselverwaltung für Unternehmen unabhängig vom Cloud-Anbieter und für verschiedene hybride Cloud-Umgebungen. So können kryptographische Schlüssel zentral verwaltet und Sicherheitsrichtlinien erstellt werden, damit Unternehmen sensible Daten in der Cloud, on-premises und in hybriden Umgebungen kontrollieren und schützen können.
  • Überwachen: Schließlich muss das Unternehmen auch den Zugriff auf sensible Daten überwachen, um laufende oder kürzlich stattgefundene Angriffe böswilliger Insider, privilegierte Nutzer, ATPs und sonstige Cyberbedrohungen zu erkennen. Die Protokolle und Berichte von CipherTrust Security Intelligence optimieren die Compliance-Berichterstattung und beschleunigen die Erkennung von Bedrohungen mithilfe führender SIEM-Systeme (Security Information and Event Management). Diese Lösung ermöglicht eine sofortige automatische Eskalation und Reaktion auf unberechtigte Zugriffsversuche und stellt alle Daten bereit, die zur Erstellung von Verhaltensmustern erforderlich sind, um verdächtige Nutzungen durch autorisierte Benutzer zu identifizieren.

Schutz sensibler Data-in-Motion

Die High Speed Encryptors (HSE) von Thales bieten eine netzwerkunabhängige Verschlüsselung für Data-in-Motion (Ebene 2, 3 und 4), die die Sicherheit der Daten auf dem Weg von Standort zu Standort oder von on-premises zur Cloud und zurück gewährleistet. Mit unseren HSE-Lösungen können Kunden Daten, Videos, Sprach- und Metadaten besser vor Lauschangriffen, Überwachung und offenem und verborgenen Abfangen schützen.

Schutz kryptographischer Schlüssel

Luna-HSM von Thales bieten eine gehärtete, manipulationssichere Umgebung unter anderem für sichere kryptographische Verarbeitung, Schlüsselerstellung und -schutz sowie Verschlüsselung. Luna-HSM sind in drei nach FIPS 140-2 zertifizierten Formfaktoren erhältlich und unterstützen zahlreiche unterschiedliche Bereitstellungsszenarien.

Außerdem können Sie mit Luna-HSM:

  • Schlüssel für Root- und Zertifizierungsstellen erstellen und schützen und so PKI in unterschiedlichen Anwendungsfällen unterstützen
  • Ihren Anwendungscode signieren, damit sichergestellt ist, dass Ihre Software sicher, unverändert und authentisch bleibt.
  • digitale Zertifikate für die Berechtigungsprüfung und Authentifizierung proprietärer elektronischer Geräte für IoT-Anwendungen und sonstige Netzwerkbereitstellungen erstellen.

Zugehörige Ressourcen

Sichern Sie Ihre digitalen Bestände, halten Sie gesetzliche und branchenspezifische Bestimmungen ein und schützen Sie den Ruf Ihres Unternehmens. Erfahren Sie, wie Thales Sie dabei unterstützen kann.

SafeNet Trusted Access Brings Security to Authentication and Access - Product Review

SafeNet Trusted Access Brings Security to Authentication and Access - Product Review

Product review of SafeNet Trusted Access. Explore the options of authentication security that STA offers, to bridge the MFA, SSO and access management worlds in a single, well-integrated package. Discover how your business can bring security to access management.

Thales Converged Badge Solutions - Solution Brief

Thales Converged Badge Solutions - Solution Brief

In today’s ever increasing digital world, protecting critical data and ensuring the identity of those accessing data is essential. The standard measures once thought to be strong enough are simply insufficient when compared to the sophistication and persistence of today’s...

Data Security Compliance and Regulations - eBook

Data Security Compliance and Regulations - eBook

This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.

Thales CipherTrust Data Discovery and Classification - Product Brief

Thales CipherTrust Data Discovery and Classification - Product Brief

Review the capabilities of data discovery and classification of sensitive data, which is integrated with the CipherTrust Manager management console.

CipherTrust Transparent Encryption - White Paper

CipherTrust Transparent Encryption - White Paper

Enterprise digital transformation and increasingly sophisticated IT security threats have resulted in a progressively more dangerous environment for enterprises with sensitive data, even as compliance and regulatory requirements for sensitive data protection rise. With attacks...

CipherTrust Transparent Encryption - Product Brief

CipherTrust Transparent Encryption - Product Brief

CipherTrust Transparent Encryption delivers data-at-rest encryption with centralized key management, privileged user access control, and detailed data access audit logging that helps organizations meet compliance and best practice requirements for protecting data, wherever it...

The Key Pillars for Protecting Sensitive Data in Any Organization - White Paper

The Key Pillars for Protecting Sensitive Data in Any Organization - White Paper

Traditionally organizations have focused IT security primarily on perimeter defense, building walls to block external threats from entering the network. However, with today’s proliferation of data, evolving global and regional privacy regulations, growth of cloud adoption, and...

The Enterprise Encryption Blueprint - White Paper

The Enterprise Encryption Blueprint - White Paper

You’ve been tasked with setting and implementing an enterprise wide encryption strategy, one that will be used to guide and align each Line of Business, Application Owner, Database Administrator and Developer toward achieving the goals and security requirements that you define...

Thales Luna Network HSM - Product Brief

Thales Luna Network HSM - Product Brief

Secure your sensitive data and critical applications by storing, protecting and managing your cryptographic keys in Thales Luna Network Hardware Security Modules (HSMs) - high-assurance, tamper-resistant, network-attached appliances offering market-leading performance.

Unshare and Secure Sensitive Data - Encrypt Everything - eBook

Unshare and Secure Sensitive Data - Encrypt Everything - eBook

Business critical data is flowing everywhere. The boundaries are long gone. As an enterprise-wide data security expert, you are being asked to protect your organization’s valuable assets by setting and implementing an enterprise-wide encryption strategy. IT security teams are...

SafeNet High Speed Encryption 솔루션 최상의 데이터 전송 보안을 제공합니다.

High Speed Encryption Solutions - Solution Brief

Networks are under constant attack and sensitive assets continue to be exposed. More than ever, leveraging encryption is a vital mandate for addressing threats to data as it crosses networks. Thales High Speed Encryption solutions provide customers with a single platform to ...

Andere wichtige Datenschutz- und Sicherheitsvorschriften

DSGVO

VERORDNUNG
JETZT AKTIV

Die DSGVO ist vielleicht die bisher umfassendste Datenschutznorm und betrifft jede Organsation, die personenbezogene Daten von EU-Bürgern verarbeitet - unabhängig davon, wo die Organisation ihren Sitz hat.

PCI-DSS

MANDAT
JETZT AKTIV

Jede Organisation, die eine Rolle bei der Verarbeitung von Kredit- und Debitkartenzahlungen spielt, muss die strengen PCI-DSS-Anforderungen für die Verarbeitung, Speicherung und Übermittlung von Konteninformationen erfüllen.

Gesetze zur Benachrichtigung bei Datenverletzungen

VERORDNUNG
JETZT AKTIV

Vorschriften zur Benachrichtigung bei Datenschutzverletzungen nach dem Verlust personenbezogener Daten wurden von Ländern rund um den Globus erlassen. Sie variieren je nach Gerichtsbarkeit, enthalten aber fast immer eine "Safe-Harbour"-Klausel.