Comment Thales aide les organisations à se conformer à la loi HIPAA (Health Insurance Portability and Accountability Act) et à la loi HITECH (Health Information Technology for Economic and Clinical Health)
Le Health Insurance Portability and Accountability Act (HIPAA) est une loi fédérale américaine qui a créé des normes nationales visant à protéger les informations sensibles sur la santé des patients contre la divulgation à leur insu ou sans leur consentement. Le ministère américain de la santé et des services sociaux (HHS) a publié la règle de confidentialité de l’HIPAA pour mettre en œuvre les exigences de l’HIPAA. La règle de sécurité de l’HIPAA protège un sous-ensemble d’informations couvertes par la règle de confidentialité.
Les règles et règlements de l’HIPAA définissent trois types de mesures de sécurité nécessaires pour assurer la conformité :
Promulguée dans le cadre de l’American Recovery and Reinvestment Act (ARRA) de 2009, la loi HITECH élargit l’ensemble des exigences de conformité de la loi HIPAA en matière de chiffrement, exigeant la divulgation des violations de données des dossiers médicaux personnels « non protégés » (non chiffrés), y compris ceux des associés de l’entreprise, des fournisseurs et des entités liées.
Les règles de l’HIPAA s’appliquent aux entités couvertes et aux associés de l’entreprise :
La loi HIPAA a été adoptée par le Congrès américain en 1996. La loi a été mise à jour à plusieurs reprises depuis, notamment en 2009 avec l’adoption de la loi HITECH (Health Information Technology for Economic and Clinical Health Act), qui a ajouté une nouvelle structure de sanctions en cas d’infraction et a rendu les associés de l’entreprise directement responsables des violations de données imputables au non-respect de la règle de sécurité.
Les sanctions en cas de non-respect de la loi HIPAA varient en fonction du degré de négligence perçu et peuvent aller de 100 à 50 000 dollars par infraction individuelle, avec une sanction maximale de 1,9 million de dollars par année civile. Les infractions peuvent également entraîner une peine d’emprisonnement de un à dix ans pour les personnes responsables.
Thales aide les organisations à se conformer à la loi HIPAA en répondant aux exigences essentielles en matière de protection des informations de santé protégées (PHI) dans le cadre de trois sections différentes de la loi.
Les entités couvertes doivent procéder à une évaluation précise et approfondie des risques pour les PHI et les associés de l’entreprise doivent protéger les PHI de manière appropriée.
1.A Effectuer... :
« ...une évaluation des risques pour la confidentialité et l’intégrité des informations de santé électroniques protégées... »
La solution CipherTrust Data Discovery and Classification identifie les données sensibles structurées et non structurées sur site et dans le cloud. Des modèles intégrés permettent une identification rapide des données réglementées, mettent en évidence les risques de sécurité et aident à détecter les lacunes en matière de conformité.
8. b. 1 :
« Une entité couverte peut autoriser un associé commercial à créer, recevoir, conserver ou transmettre des PHI électroniques si ... l’associé commercial protège les informations de manière appropriée. »
Protection des données au repos :
CipherTrust Cloud Key Manager peut réduire les risques liés aux prestataires tiers en maintenant sur place, sous le contrôle total de l’institution financière, les clés qui protègent les données sensibles hébergées par des fournisseurs de cloud tiers dans le cadre de systèmes « apportez vos propres clés » (BYOK)..
CipherTrust Transparent Encryption offre une séparation complète des rôles administratifs où seuls les utilisateurs et les processus autorisés peuvent voir les données non chiffrées. À moins qu’une raison valable d’accéder aux données ne soit fournie, les données sensibles stockées dans un cloud tiers ne seront pas accessibles en clair aux utilisateurs non autorisés.
Les solutions de sécurité des données de Thales offrent la gamme la plus complète de protection des données, comme la protection des données à la demande (Data Protection on Demand - DPoD) de Thales, qui fournit une haute disponibilité et une sauvegarde intégrées à ses services HSM Cloud Luna et CipherTrust Key Management basés sur le cloud, jusqu’aux dispositifs de chiffrement de réseau HSE qui offrent des options de réduction à zéro.
Les entités couvertes doivent mettre en place des mesures de protection techniques pour sécuriser l’accès aux informations protégées, authentifier les personnes et les entités accédant aux PHI et chiffrer les PHI au repos et en transit.
A. 1 :
« Autoriser l’accès aux PHI aux seuls personnes ou programmes logiciels auxquels des droits d’accès ont été accordés »
Les solutions de gestion des identités et des accès OneWelcome de Thales limitent l’accès des utilisateurs internes et externes en fonction de leur rôle et du contexte. Soutenues par une authentification forte (MFA), des politiques d’accès granulaires et des politiques d’autorisation fines permettent de s’assurer que le bon utilisateur a accès à la bonne ressource au bon moment, minimisant ainsi le risque d’accès non autorisé.
Le module de gestion du consentement et des préférences OneWelcome de Thales permet aux organisations de recueillir le consentement des consommateurs finaux afin que les institutions financières puissent avoir une visibilité claire des données consenties, leur permettant ainsi de gérer l’accès aux données qu’elles sont autorisées à utiliser.
CipherTrust Transparent Encryption chiffre les données sensibles et exécute des politiques de gestion des accès d’utilisateurs privilégiés granulaires pouvant être appliquées en fonction de l’utilisateur, du processus, du type de fichier, de l’heure de la journée et d’autres paramètres. Il offre une séparation complète des rôles où seuls les utilisateurs et les processus autorisés peuvent voir les données non chiffrées.
D :
« Vérifier au moyen de l’authentification que la personne ou l’entité qui demande l’accès aux PHI électroniques est bien celle qu’elle prétend être. »
SafeNet Trusted Access est une solution de gestion des accès basée sur le cloud qui fournit une authentification multifacteur commerciale, prête à l’emploi, assortie de la plus large gamme de méthodes d’authentification matérielles et logicielles et de formats.
2. ii :
« Mettre en œuvre un mécanisme de chiffrement et de déchiffrement des informations de santé électroniques protégées. »
La solution CipherTrust Data Security Platform offre de multiples fonctionnalités pour protéger les données au repos dans les fichiers, les volumes et les bases de données. Parmi elles, citons :
Les Luna Hardware Security Modules (HSM) protègent les clés de chiffrement et fournissent un environnement renforcé et inviolable de type FIPS 140-2 de niveau 3 pour des opérations cryptographiques (traitement, génération et protection des clés, chiffrement, et bien d’autres) sécurisées. Les HSM Luna sont disponibles sur site, dans le cloud en tant que service et dans des environnements hybrides.
E. 1 :
« Mettre en œuvre des mesures de sécurité techniques pour protéger les PHI transmises par ... un réseau »
Les dispositifs de chiffrement à haut débit, ou High Speed Encryptors (HSE), de Thales offrent un chiffrement des données en transit indépendant du réseau (couches 2, 3 et 4), ce qui garantit la sécurité des données pendant leur transit d’un site à l’autre, d’une infrastructure sur site vers le cloud et inversement. Nos solutions de chiffrement réseau permettent aux clients d’améliorer la protection de leurs données, de leurs vidéos, de leurs fichiers audio et de leurs métadonnées contre les écoutes, la surveillance et l’interception, explicite et déguisée, le tout sans compromis sur les performances.
Les informations de santé peuvent ne pas être considérées comme des PHI s’il ne s’agit pas d’informations de santé identifiables individuellement.
A :
« Dépersonnalisation des informations de santé protégées. Les informations sur la santé qui n’identifient pas une personne ... ne sont pas des informations de santé identifiables individuellement. »
CipherTrust Tokenization permet de pseudonymiser les informations sensibles dans les bases de données tout en conservant la possibilité d’analyser les données agrégées sans exposer les données sensibles pendant l’analyse ou dans des rapports.
Product review of SafeNet Trusted Access. Explore the options of authentication security that STA offers, to bridge the MFA, SSO and access management worlds in a single, well-integrated package. Discover how your business can bring security to access management.
In today’s ever increasing digital world, protecting critical data and ensuring the identity of those accessing data is essential. The standard measures once thought to be strong enough are simply insufficient when compared to the sophistication and persistence of today’s...
This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.
La première étape vers la conformité est de comprendre ce qui constitue les données sensibles, où elles sont stockées et comment elles sont utilisées. Si vous ne savez pas quelles données sensibles vous possédez, où elles résident et pourquoi elles sont là, vous ne pouvez pas...
Enterprise digital transformation and increasingly sophisticated IT security threats have resulted in a progressively more dangerous environment for enterprises with sensitive data, even as compliance and regulatory requirements for sensitive data protection rise. With attacks...
Safeguarding sensitive data requires much more than just securing a data center’s on-premises databases and files. The typical enterprise today uses three or more IaaS or PaaS providers, along with fifty or more SaaS applications, big data environments, container technologies,...
Traditionally organizations have focused IT security primarily on perimeter defense, building walls to block external threats from entering the network. However, with today’s proliferation of data, evolving global and regional privacy regulations, growth of cloud adoption, and...
You’ve been tasked with setting and implementing an enterprise wide encryption strategy, one that will be used to guide and align each Line of Business, Application Owner, Database Administrator and Developer toward achieving the goals and security requirements that you define...
Secure your sensitive data and critical applications by storing, protecting and managing your cryptographic keys in Thales Luna Network Hardware Security Modules (HSMs) - high-assurance, tamper-resistant, network-attached appliances offering market-leading performance and...
En tant qu’expert en matière de sécurité des données pour votre entreprise, vous devez protéger les données sensibles de votre organisation en développant et appliquant une stratégie de chiffrement à l’échelle de l’entreprise. Mais il est très difficile d’identifier où...
Networks are under constant attack and sensitive assets continue to be exposed. More than ever, leveraging encryption is a vital mandate for addressing threats to data as it crosses networks. Thales High Speed Encryption solutions provide customers with a single platform to ...
Le RGPD est peut-être la norme de confidentialité des données la plus complète à ce jour. Elle concerne toute organisation qui traite les données personnelles des citoyens de l'UE - quel que soit le lieu du siège de l'organisation.
Toute organisation qui joue un rôle dans le traitement des paiements par carte de crédit et de débit doit se conformer aux exigences strictes de conformité PCI DSS pour le traitement, le stockage et la transmission des données de compte.
Partout dans le monde, des nouvelles exigences en matière de notification des brèches de données ont vu le jour suite à la perte d'informations personnelles. Elles varient selon les juridictions mais comprennent presque toutes une clause de "safe harbour".
