Modalità con cui Thales aiuta le aziende a rispettare le leggi Health Insurance Portability and Accountability Act (HIPAA) e HITECH (Health Information Technology for Economic and Clinical Health) Act
L'Health Insurance Portability and Accountability Act (HIPAA) è una legge federale statunitense che ha creato standard nazionali per proteggere le informazioni sanitarie sensibili dei pazienti dalla divulgazione senza il consenso o la conoscenza del paziente. Il Dipartimento della salute e dei servizi umani degli Stati Uniti d'America (HHS) ha emanato la legge HIPAA Privacy Rule per implementare i requisiti dell'HIPAA. La legge HIPAA Security Rule protegge un sottoinsieme di informazioni coperte dalla Privacy Rule.
Le norme e i regolamenti della legge HIPAA stabiliscono tre tipi di misure di sicurezza necessarie per la conformità:
Emanato come parte dell’ARRA (American Recovery and Reinvestiment Act) del 2009, l'HITECH Act espande il set di requisiti dell’HIPAA richiedendo la notifica di violazioni dei dati “non protetti” (non crittografati) sulla salute delle persone, compresi quelli di soci aziendali, fornitori ed entità correlate.
Le Regole HIPAA interessano le entità coperte e i soci d'affari:
La legge HIPAA è stata emanata dal Congresso degli Stati Uniti nel 1996. Da allora la legge è stata aggiornata più volte, come nel 2009 con l'approvazione dell'Health Information Technology for Economic and Clinical Health Act (HITECH), che ha aggiunto una nuova struttura di sanzioni per le violazioni e ha reso i soci d'affari direttamente responsabili per le violazioni dei dati attribuibili alla mancata conformità alla Security Rule.
Le sanzioni per la mancata conformità all'HIPAA variano in base al livello di negligenza percepito e possono variare da 100 a 50.000 dollari per singola violazione, con una sanzione massima di 1,9 milioni di dollari per anno solare. Le violazioni possono anche comportare il carcere da uno a dieci anni per i responsabili.
Thales aiuta le aziende a rispettare la legge HIPAA soddisfacendo i requisiti essenziali per la salvaguardia delle informazioni sanitarie protette (PHI) in base a tre diverse sezioni della legge.
Le entità coperte devono effettuare una valutazione accurata e approfondita dei rischi per le PHI e i soci d'affari devono salvaguardarle in modo consono.
1.A Condurre:
"...una valutazione dei rischi per la riservatezza e l'integrità delle informazioni sanitarie elettroniche protette..."
CipherTrust Data Discovery and Classification individua dati sensibili, strutturati e non, nel cloud e on-premise. I modelli integrati permettono un'identificazione rapida dei dati regolati, il rilevamento dei rischi per la sicurezza e l'individuazione di lacune relative alla conformità.
8. b. 1:
"Un'entità coperta può consentire a un'impresa associata di creare, ricevere, conservare o trasmettere ePHI se... l'impresa associata salvaguarderà adeguatamente le informazioni."
Protezione dei dati a riposo:
CipherTrust Cloud Key Manager può ridurre i rischi di terze parti mantenendo in sede, sotto il pieno controllo dell'istituto finanziario, le chiavi che proteggono i dati sensibili conservati da fornitori cloud di terze parti nell'ambito dei sistemi BYOK (Bring Your Own Keys).
CipherTrust Transparent Encryption offre una completa separazione dei ruoli amministrativi, in cui solo gli utenti autorizzati e i processi possono visualizzare i dati non crittografati. A meno che non venga fornito un motivo valido per accedere ai dati, i dati sensibili archiviati in un cloud di terze parti non saranno accessibili in chiaro a utenti non autorizzati.
Le Data Security Solution di Thales offrono la gamma più completa di protezione dei dati, come Data Protection on Demand (DPoD) di Thales che fornisce elevata disponibilità e backup integrati per i servizi HSM Cloud Luna e CipherTrust Key Management basati su cloud e per le appliance di crittografia di rete HSE che offrono opzioni di azzeramento.
Le entità coperte devono implementare salvaguardie tecniche per proteggere l'accesso alle informazioni protette, autenticare le persone e le entità che accedono alle PHI e crittografare queste ultime sia quando sono a riposo che in transito.
A. 1:
"Consentire l'accesso alle PHI solo alle persone o ai programmi software a cui sono stati concessi i diritti di accesso"
Le soluzioni di gestione delle identità e degli accessi OneWelcome di Thales limitano l'accesso degli utenti interni ed esterni in base ai loro ruoli e al loro contesto. Con il supporto di un'autenticazione (MFA) avanzata, politiche di accesso e politiche di autorizzazione granulari contribuiscono a garantire che all'utente giusto sia concesso l'accesso alla risorsa giusta al momento giusto, riducendo al minimo il rischio di accesso non autorizzato.
Il modulo OneWelcome di Thales per la gestione del consenso e delle preferenze consente alle aziende di raccogliere il consenso dei consumatori finali in modo che le istituzioni finanziarie possano avere una chiara visibilità dei dati consentiti, permettendo loro di gestire l'accesso ai dati che sono autorizzati a utilizzare
CipherTrust Transparent Encryption crittografa i dati sensibili e applica politiche di gestione granulari dell'accesso da parte di utenti privilegiati, che possono essere implementate in base a utente, processo, tipo di file, ora del giorno e altri parametri. Offre una completa separazione dei ruoli, in cui solo gli utenti autorizzati e i processi possono visualizzare i dati non crittografati.
D:
"Verificare che la persona o l'entità che richiede l'accesso alle ePHI sia effettivamente quella che ha effettuato la richiesta".
SafeNet Trusted Access è una soluzione di gestione degli accessi basata sul cloud che fornisce un'autenticazione a più fattori commerciale, off-the-shelf, con la più ampia gamma di metodi e fattori di forma di autenticazione hardware e software.
2. ii:
"Implementare un meccanismo per crittografare e decrittografare le informazioni sanitarie elettroniche protette."
CipherTrust Data Security Platform offre diverse funzionalità per la protezione dei dati a riposo in file, volumi e database. Tra queste:
I Luna Hardware Security Module (HSM) proteggono le chiavi crittografiche e forniscono un ambiente FIPS 140-2 livello 3 temprato e a prova di manomissioni per un’elaborazione crittografica, una generazione e protezione delle chiavi e una crittografia sicure. Gli HSM Luna sono disponibili on-premise, nel cloud as-a-service e in ambienti ibridi.
E. 1:
"Implementare misure tecniche di sicurezza per proteggere le PHI trasmesse su... una rete".
Gli High Speed Encryptor (HSE) di Thales offrono una crittografia di rete indipendente dei dati in movimento (livelli 2, 3 e 4) garantendo la sicurezza dei dati durante gli spostamenti tra siti oppure da ambienti on-premise al cloud e viceversa. Le nostre soluzioni di crittografia di rete consentono ai clienti di proteggere meglio dati, video, file vocali e metadati da spionaggio, sorveglianza e intercettazione esplicita o sotto copertura, il tutto senza compromettere le prestazioni.
Le informazioni sanitarie possono non essere considerate PHI se non sono informazioni sanitarie che consentono l'identificazione individuale.
A:
"De-identificazione delle informazioni sanitarie protette. Le informazioni sanitarie che non identificano un individuo... non sono informazioni sanitarie che consentono l'identificazione individuale."
CipherTrust Tokenization consente la pseudonimizzazione delle informazioni sensibili nei database, mantenendo la capacità di analizzare i dati aggregati senza esporre dati sensibili durante l'analisi o nei report.
Product review of SafeNet Trusted Access. Explore the options of authentication security that STA offers, to bridge the MFA, SSO and access management worlds in a single, well-integrated package. Discover how your business can bring security to access management.
In today’s ever increasing digital world, protecting critical data and ensuring the identity of those accessing data is essential. The standard measures once thought to be strong enough are simply insufficient when compared to the sophistication and persistence of today’s...
This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.
The crucial first step in privacy and data protection regulatory compliance is to understand what constitutes sensitive data, where it is stored, and how it is used. If you don't know what sensitive data you have, where it is, and why you have it, you cannot apply effective...
Enterprise digital transformation and increasingly sophisticated IT security threats have resulted in a progressively more dangerous environment for enterprises with sensitive data, even as compliance and regulatory requirements for sensitive data protection rise. With attacks...
Safeguarding sensitive data requires much more than just securing a data center’s on-premises databases and files. The typical enterprise today uses three or more IaaS or PaaS providers, along with fifty or more SaaS applications, big data environments, container technologies,...
Traditionally organizations have focused IT security primarily on perimeter defense, building walls to block external threats from entering the network. However, with today’s proliferation of data, evolving global and regional privacy regulations, growth of cloud adoption, and...
You’ve been tasked with setting and implementing an enterprise wide encryption strategy, one that will be used to guide and align each Line of Business, Application Owner, Database Administrator and Developer toward achieving the goals and security requirements that you define...
Secure your sensitive data and critical applications by storing, protecting and managing your cryptographic keys in Thales Luna Network Hardware Security Modules (HSMs) - high-assurance, tamper-resistant, network-attached appliances offering market-leading performance and...
Business critical data is flowing everywhere. The boundaries are long gone. As an enterprise-wide data security expert, you are being asked to protect your organization’s valuable assets by setting and implementing an enterprise-wide encryption strategy. IT security teams are...
Networks are under constant attack and sensitive assets continue to be exposed. More than ever, leveraging encryption is a vital mandate for addressing threats to data as it crosses networks. Thales High Speed Encryption solutions provide customers with a single platform to ...
Forse lo standard sulla privacy dei dati più completo fino ad oggi, il GDPR interessa qualsiasi organizzazione che elabora i dati personali dei cittadini dell'UE, indipendentemente da dove ha sede l'organizzazione.
Qualsiasi organizzazione che svolge un ruolo nell'elaborazione dei pagamenti con carta di credito e debito deve rispettare i severi requisiti di conformità PCI DSS per l'elaborazione, l'archiviazione e la trasmissione dei dati dell'account.
I requisiti di notifica della violazione dei dati a seguito della perdita di informazioni personali sono stati adottati dalle nazioni in tutto il mondo. Variano in base alla giurisdizione, ma includono quasi universalmente una clausola di "approdo sicuro".
