hipaa-배너

HIPAA | HITECH 데이터 보안 규정 준수

탈레스 데이터 보안 플랫폼은 조직의 HIPAA 및 HITECH 요건 준수를 지원하는 데이터 액세스 제어·암호화 솔루션을 제공합니다

HIPAA

테스트

HIPAA 보안 규정에 따르면 의료 기관은 ePHI(Electronic Protected Health Information, 개인 전자 보호 의료 정보)를 안전하게 유지할 수 있도록 적절한 보호 장치를 사용해야 하며, HIPAA 암호화 규정 준수 요건들을 확장하는 HITECH 법은 데이터 침해를 적시에 공개하도록 합니다.

HIPAA와 HITECH 규정에서도 많은 의료 기관이 가장 까다롭게 여기는 조항 중 하나는 개인정보 보호 규정입니다. 정의된 사용 유형을 제외한 모든 것에서(또, 금지된 EDI, 즉, 전자 자료 교환 유형들 내에서) 환자 데이터를 보호하는 암호화 솔루션을 적용하는 것은 핵심적인 IT 과제로 드러났습니다. 솔루션을 효과적으로 구현하려면 보안을 유지하면서 이러한 자료 교환 표준을 준수해야 할 뿐만 아니라, 기업 IT 프레임워크 내에서 관리할 수 있어야 합니다.

탈레스 솔루션은 다음과 같이 기술적으로 ePHI 보호를 구현하여 조직이 이러한 규정 준수 문제를 해결할 수 있도록 지원합니다.

  • 데이터 위치에 상관없이 암호화
  • 암호화 및 키 관리
  • 데이터 액세스 제어
  • 규정
  • 규정 준수

미국 HIPAA(Health Insurance Portability and Accountability Act)

HIPAA 보안 규정은 해당 조직이 모든 전자 개인 건강 관리 정보(ePHI, Electronic Personal Healthcare Information)를 보호하기 위한 기술적 보호 장치를 구현하도록 요구하는데, 여기에는 암호화, 접근 제어, 암호키 관리, 위험 관리, ePHI 정보 감사 및 모니터링이 구체적으로 언급되어 있습니다. HIPAA 보안 규정은 HIPAA 암호화 전략을 구현할 때 고려할 요소와 더불어, 해당 조직이 사용할 수 있는 암호화 방법의 예시를 열거합니다.

HITECH(Health Information Technology for Economic and Clinical Health)법

2009년 ARRA(American Recovery and Reinvestment Act, 미 경기부양책)의 일부로 제정된 HITECH 법안은 HIPAA 암호화 규정 준수 요건 목록을 확장하여 사업체의 직원, 공급업체, 관련 단체가 가진 데이터를 포함하여 ‘보호되지 않은(암호화되지 않은)' 개인 건강 기록의 데이터 유출을 공개하도록 요구합니다.

2013년 HIPAA 옴니버스 규정

2013년의 ‘HIPAA 옴니버스 규정’은 공식적으로 HIPAA 보안 규정 준수에 대한 책임을 사업체의 직원에게 부여합니다.

ePHI 암호화

Vormetric Transparent Encryption은 무단 액세스로부터 ePHI를 보호하기 위해 파일·볼륨 수준의 저장 데이터 암호화를 제공합니다. Vormetric 애플리케이션 암호화는 추가 보호 계층과 HIPAA/HITECH 규정 준수 기능을 더하여 이 솔루션을 이용하는 기관이 필드와 열 수준에서 내부 애플리케이션에 암호화 기능을 쉽게 구축하도록 지원합니다.

강력한 키 관리

Vormetric Key Management는 HIPAA 암호화 요건을 충족하며 안전한 통합 암호키 관리를 제공하여 키와 암호화된 데이터를 분리합니다. 이 솔루션을 이용하면 KMIP 호환 하드웨어, Oracle, SQL 서버 TDE 마스터키와 디지털 인증서를 포함한 기타 환경과 장치의 암호키를 중앙에서 관리할 수 있습니다.

데이터 액세스 제어

Vormetric 데이터 보안 플랫폼의 액세스 제어는 데이터 액세스를 승인된 직원과 프로그램으로 제한하여 데이터 유출 방지 범위를 확장합니다. 또한, 플랫폼 내 데이터 액세스 모니터링은 악의적인 내부자나 악성 코드에 의한 계정 자격 증명 손상으로 위협이 될 수 있는 계정을 식별하는 데 필요한 보안 인텔리전스 정보를 제공합니다.

  • 관련 자료
  • 기타 주요 데이터 보호 및 보안 지침

    GDPR

    규제
    활성화하기

    아마도 현재까지 가장 포괄적인 데이터 개인 정보 보호 표준인 GDPR은 조직 본사의 위치에 관계없이 EU 시민의 개인 데이터를 처리하는 모든 조직에 영향을 미칩니다.

    PCI DSS

    규정
    활성화하기

    신용 카드 및 직불 카드 결제 처리를 하든 모든 조직은 계정 데이터의 처리, 저장 및 전송을 위한 엄격한 PCI DSS 규정 요구 사항을 준수해야 합니다.

    데이터 침해 통지법

    규제
    활성화하기

    개인정보 유출에 따른 데이터 침해 통보 요건은 전 세계 각국에 의해 제정되었습니다. 이는 지역에 따라 상이하지만 거의 보편적으로 "세이프 하버(safe harbour)" 조항을 포함하고 있습니다.