hipaa-banners

Conformité à la sécurité des données HIPAA | HITECH

La plateforme CipherTrust Data Security Platform de Thales fournit des solutions de contrôle d’accès aux données et de chiffrement qui aident les organisations à se conformer aux exigences HIPAA et HITECH.

HIPAA

Test

La règle de sécurité HIPAA exige des organisations de santé qu’elles utilisent des mesures de protection appropriées pour s’assurer que les informations électroniques protégées sur la santé (ePHI) restent sécurisées. La loi HITECH, qui élargit l’ensemble des exigences de conformité HIPAA en matière de chiffrement, exige la divulgation en temps utile des violations de données.

Pour de nombreuses organisations de santé, l’une des dispositions les plus décourageantes pour se conformer à l’HIPAA et à l’HITECH a été d’adhérer à la règle de confidentialité. L’application de solutions de chiffrement qui protègent les données des patients contre toutes les utilisations, à l’exception d’un ensemble défini, et dans le cadre des ensembles EDI interdits, s’est avérée être un défi informatique important. Une implémentation efficace doit non seulement être sécurisée et respecter ces normes de transaction, mais aussi être gérable dans le cadre informatique de l’entreprise.

Les solutions de Thales aident les organisations à relever ces défis de conformité en mettant en place des mesures de protection techniques pour les ePHI par le biais :

  • de la découverte et de la classification des données ;
  • d’un contrôle d’accès aux données ;
  • d’un chiffrement et d’une tokenisation (pseudonymisation) des données au repos ;
  • d’un chiffrement des données en transit ;
  • de la gestion des clés de chiffrement ;
  • de l’entretien et de la surveillance des journaux d’accès utilisateurs ;
  • de l’utilisation de modules de sécurité matériels pour exécuter les processus de chiffrement et protéger les clés de chiffrement.
  • Réglementation
  • Conformité

Le Health Insurance Portability and Accountability Act (HIPAA) des États-Unis

La règle de sécurité HIPAA exige que les entités couvertes mettent en place les mesures de protection techniques pour protéger toutes les informations électroniques protégées sur la santé (ePHI), avec une référence particulière pour le chiffrement, les contrôles d’accès, la gestion des clés de chiffrement, la gestion des risques, l’audit et la surveillance des informations ePHI. La règle de sécurité HIPAA énumère des exemples de méthodes de chiffrement que les entités couvertes peuvent utiliser, ainsi que les facteurs à prendre en compte lors de la mise en place d’une stratégie de chiffrement HIPAA.

Health Information Technology for Economic and Clinical Health (HITECH) Act

Promulguée dans le cadre de l’American Recovery and Reinvestment Act (ARRA) de 2009, la loi HITECH élargit l’ensemble des exigences de conformité HIPAA en matière de chiffrement, exigeant la divulgation des violations de données des dossiers médicaux personnels « non protégés » (non chiffrés), y compris ceux des associés de l’entreprise, des fournisseurs et des entités liées.

Règle HIPAA omnibus de 2013

La « Règle HIPAA omnibus » de 2013 tient les associés de l’entreprise formellement responsables du respect de la Règle de sécurité HIPAA.

Découverte et classification des données

La première étape de la protection des données sensibles consiste à trouver les données, quel que soit l’endroit où elles se trouvent au sein de l’organisation, à les classer comme sensibles et à les typer (p. ex. PII, financières, IP, HHI, confidentielles, etc.), afin de pouvoir appliquer les techniques de protection des données les plus appropriées. Il est également important de surveiller et d’évaluer régulièrement les données pour s’assurer que de nouvelles données ne sont pas négligées et que votre organisation ne tombe pas en défaut de conformité.

La solution de découverte et de classification des données CipherTrust de Thales identifie de manière efficace les données sensibles structurées et non structurées sur site et dans le cloud. Prenant en charge les modèles de déploiement sans agent et avec agent, cette solution fournit des modèles intégrés qui permettent une identification rapide des données réglementées, mettent en évidence les risques de sécurité et vous aident à découvrir les lacunes en matière de conformité. Un flux de travail rationalisé expose les angles morts de la sécurité et réduit le temps de remédiation. La génération de rapports détaillés soutient les programmes de conformité et facilite la communication avec les dirigeants.

Gestion des accès et authentification robustes

Les solutions de gestion des accès et d’authentification de Thales fournissent à la fois les mécanismes de sécurité et les fonctionnalités de génération de rapports dont les entreprises ont besoin pour se conformer aux réglementations sur la sécurité des données. Nos solutions protègent les données sensibles en mettant en application les contrôles d’accès appropriés lorsque les utilisateurs se connectent aux applications qui stockent les données sensibles. En prenant en charge une gamme étendue de méthodes d’authentification et un accès basé sur les rôles et axé sur les politiques, nos solutions aident les organisations à réduire les risques de violation de données dus à des identifiants compromis ou volés, ou à une utilisation abusive des identifiants par des initiés.

La prise en charge de l’identification unique et intelligente et de l’authentification renforcée permet aux organisations d’optimiser le confort des utilisateurs finaux, en veillant à ce qu’ils n’aient à s’authentifier qu’en cas de besoin. La génération de rapports étendue permet aux entreprises de produire une piste d’audit détaillée de tous les événements d’accès et d’authentification, ce qui leur permet de prouver leur conformité à une large gamme de réglementations.

Protection des données sensibles au repos

La plateforme CipherTrust Data Security Platform est une suite intégrée de produits et de solutions de sécurité axée sur les données qui unifie la découverte, la protection et le contrôle des données sur une seule plateforme.

  • Découvrir : une organisation doit être en mesure de découvrir les données où qu’elles se trouvent et de les classer. Ces données peuvent se présenter sous de nombreuses formes (fichiers, bases de données et big data) et elles peuvent reposer dans des dispositifs de stockage sur site, des environnements cloud et des dispositifs de sauvegarde. La sécurité des données et la conformité commencent par la découverte des données sensibles exposées avant les pirates et les auditeurs. La plateforme CipherTrust Data Security Platform permet aux organisations d’obtenir une visibilité complète des données sensibles sur site et dans le cloud grâce à une découverte, à une classification et à une analyse des risques efficaces des données.
  • Protéger : une fois qu’une organisation sait où se trouvent ses données sensibles, des mesures de protection telles que le chiffrement ou la tokenisation peuvent être appliquées. Pour que le chiffrement et la tokenisation parviennent à sécuriser les données sensibles, les clés cryptographiques elles-mêmes doivent être sécurisées, gérées et contrôlées par l’organisation. La plateforme CipherTrust Data Security Platform offre une gamme complète de fonctionnalités de sécurité des données, notamment le chiffrement au niveau des fichiers avec des contrôles d’accès, le chiffrement au niveau des applications, le chiffrement des bases de données, le masquage statique des données, la tokenisation sans coffre-fort avec le masquage dynamique des données basé sur des politiques, et la tokenisation avec coffre-fort pour prendre en charge une vaste gamme de cas d’utilisation de la protection des données.
  • Contrôler : l’organisation doit contrôler l’accès à ses données et centraliser la gestion des clés. Toutes les réglementations et tous les mandats relatifs à la sécurité des données exigent des organisations qu’elles soient en mesure de surveiller, de détecter, de contrôler et de signaler les accès autorisés et non autorisés aux données et aux clés de chiffrement. La plateforme CipherTrust Data Security Platform offre une gestion robuste des clés d’entreprise à travers plusieurs fournisseurs de services cloud et des environnements cloud hybrides pour gérer de manière centralisée les clés de chiffrement et configurer les politiques de sécurité afin que les organisations puissent contrôler et protéger les données sensibles dans le cloud, sur site et dans les environnements hybrides.
  • Surveiller : enfin, l’entreprise doit surveiller l’accès aux données sensibles pour identifier les attaques en cours ou récentes provenant d’initiés malveillants, d’utilisateurs privilégiés, d’APT et d’autres cybermenaces. Les journaux et les rapports CipherTrust Security Intelligence rationalisent la génération de rapports de conformité et accélèrent la détection des menaces à l’aide des principaux systèmes de gestion des informations et des événements de sécurité (SIEM). Cette solution permet une réaffectation automatisée immédiate des tentatives d’accès non autorisées et une réponse automatique immédiate à celles-ci et fournit toutes les données nécessaires pour créer les modèles de comportement requis afin d’identifier les utilisations suspectes par les utilisateurs autorisés.

Protection des données sensibles en transit

Les dispositifs de chiffrement haut débit High Speed Encryptors (HSE) de Thales offrent un chiffrement des données en transit indépendant du réseau (couches 2, 3 et 4), ce qui garantit la sécurité des données pendant leur transit d’un site à l’autre, d’une infrastructure sur site vers le cloud et inversement. Grâce à nos solutions HSE, les clients peuvent améliorer la protection de leurs données, de leurs vidéos, de leurs fichiers audio et de leurs métadonnées contre les écoutes, la surveillance et l’interception, explicite et déguisée – le tout à un coût abordable et sans compromis sur les performances.

Protection des clés cryptographiques

Les HSM Luna de Thales fournissent un environnement renforcé et inviolable pour des opérations cryptographiques (traitement, génération et protection des clés, chiffrement, et bien d’autres) sécurisées. Disponibles dans 3 facteurs de forme certifiés FIPS 140-2, les HSM Luna prennent en charge une vaste gamme de situations de déploiement.

De plus, les HSM Luna :

  • Génèrent et protègent les clés racines et des autorités de certification, fournissant une prise en charge des infrastructures PKI dans de nombreux cas d’utilisation.
  • Signent le code de vos applications afin que vous puissiez avoir la garantie que vos logiciels restent sûrs, intacts et authentiques.
  • Créent des certificats numériques pour les appareils électroniques d’accréditation et d’authentification propriétaires pour les applications IdO et autres déploiements réseau.

Ressources associées

Sécurisez vos actifs numériques, respectez les normes réglementaires et sectorielles et protégez la réputation de votre organisation. Découvrez comment Thales peut vous aider.

SafeNet Trusted Access Brings Security to Authentication and Access - Product Review

SafeNet Trusted Access Brings Security to Authentication and Access - Product Review

Product review of SafeNet Trusted Access. Explore the options of authentication security that STA offers, to bridge the MFA, SSO and access management worlds in a single, well-integrated package. Discover how your business can bring security to access management.

Thales Converged Badge Solutions - Solution Brief

Thales Converged Badge Solutions - Solution Brief

In today’s ever increasing digital world, protecting critical data and ensuring the identity of those accessing data is essential. The standard measures once thought to be strong enough are simply insufficient when compared to the sophistication and persistence of today’s...

Data Security Compliance and Regulations - eBook

Data Security Compliance and Regulations - eBook

This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.

Thales CipherTrust Data Discovery and Classification - Product Brief

Thales CipherTrust Data Discovery and Classification - Fiche produit

La première étape vers la conformité est de comprendre ce qui constitue les données sensibles, où elles sont stockées et comment elles sont utilisées. Si vous ne savez pas quelles données sensibles vous possédez, où elles résident et pourquoi elles sont là, vous ne pouvez pas...

CipherTrust Transparent Encryption - White Paper

CipherTrust Transparent Encryption - White Paper

Enterprise digital transformation and increasingly sophisticated IT security threats have resulted in a progressively more dangerous environment for enterprises with sensitive data, even as compliance and regulatory requirements for sensitive data protection rise. With attacks...

CipherTrust Transparent Encryption - Product Brief

CipherTrust Transparent Encryption - Product Brief

Safeguarding sensitive data requires much more than just securing a data center’s on-premises databases and files. The typical enterprise today uses three or more IaaS or PaaS providers, along with fifty or more SaaS applications, big data environments, container technologies,...

The Key Pillars for Protecting Sensitive Data in Any Organization - White Paper

The Key Pillars for Protecting Sensitive Data in Any Organization - White Paper

Traditionally organizations have focused IT security primarily on perimeter defense, building walls to block external threats from entering the network. However, with today’s proliferation of data, evolving global and regional privacy regulations, growth of cloud adoption, and...

The Enterprise Encryption Blueprint - White Paper

The Enterprise Encryption Blueprint - White Paper

You’ve been tasked with setting and implementing an enterprise wide encryption strategy, one that will be used to guide and align each Line of Business, Application Owner, Database Administrator and Developer toward achieving the goals and security requirements that you define...

Luna Network HSM

Luna Network Hardware Security Module - Product Brief

Secure your sensitive data and critical applications by storing, protecting and managing your cryptographic keys in Thales Luna Network Hardware Security Modules (HSMs) - high-assurance, tamper-resistant, network-attached appliances offering market-leading performance and...

eBook – Le chiffrement intégral, guide pratique pour protéger vos données sensibles

eBook – Le chiffrement intégral, guide pratique pour protéger vos données sensibles

En tant qu’expert en matière de sécurité des données pour votre entreprise, vous devez protéger les données sensibles de votre organisation en développant et appliquant une stratégie de chiffrement à l’échelle de l’entreprise. Mais il est très difficile d’identifier où...

High Speed Encryption Solutions - Solution Brief

High Speed Encryption Solutions - Solution Brief

Networks are under constant attack and sensitive assets continue to be exposed. More than ever, leveraging encryption is a vital mandate for addressing threats to data as it crosses networks. Thales High Speed Encryption solutions provide customers with a single platform to ...

Autres réglementations de protection des données et sécurité importantes

RGPD

RÉGLEMENTATION
EN VIGUEUR

Le RGPD est peut-être la norme de confidentialité des données la plus complète à ce jour. Elle concerne toute organisation qui traite les données personnelles des citoyens de l'UE - quel que soit le lieu du siège de l'organisation.

PCI DSS

MANDAT
EN VIGUEUR

Toute organisation qui joue un rôle dans le traitement des paiements par carte de crédit et de débit doit se conformer aux exigences strictes de conformité PCI DSS pour le traitement, le stockage et la transmission des données de compte.

Lois sur la notification des brèches de données

RÉGLEMENTATION
EN VIGUEUR

Partout dans le monde, des nouvelles exigences en matière de notification des brèches de données ont vu le jour suite à la perte d'informations personnelles. Elles varient selon les juridictions mais comprennent presque toutes une clause de "safe harbour".