Como a Thales ajuda as organizações a cumprir a Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA, Health Insurance Portability and Accountability Act) e a Lei de Tecnologia de Informação de Saúde para a Saúde Económica e Clínica (HITECH, Health Information Technology for Economic and Clinical Health)
A Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA) é uma lei federal dos EUA que criou normas nacionais para proteger as informações de saúde confidenciais dos doentes contra a divulgação sem o consentimento ou o conhecimento do doente. O Departamento de Saúde e Serviços Humanos dos EUA (HHS, Department of Health and Human Services) emitiu a Regra de Privacidade HIPAA para implementar os requisitos da HIPAA. A Regra de Segurança da HIPAA protege um subconjunto de informações abrangidas pela Regra de Privacidade.
As regras e regulamentos da HIPAA estabelecem três tipos de medidas de segurança necessárias para a conformidade:
Promulgada como parte da Lei Americana de Recuperação e Reinvestimento (ARRA, American Recovery and Reinvestment Act) de 2009, a Lei HITECH expande o conjunto de requisitos de conformidade da HIPAA em matéria de encriptação, exigindo a divulgação de violações de dados de registos de saúde pessoais “desprotegidos” (não encriptados), incluindo os de parceiros comerciais, fornecedores e entidades relacionadas.
As Regras da HIPAA aplicam-se às entidades abrangidas e aos parceiros comerciais:
A HIPAA foi promulgada pelo Congresso dos EUA em 1996. A lei foi atualizada várias vezes desde então, como em 2009 com a aprovação da Lei de Tecnologia da Informação em Saúde para a Saúde Económica e Clínica (HITECH), que adicionou uma nova estrutura de sanções para infrações e tornou os Parceiros Comerciais diretamente responsáveis por violações de dados atribuíveis ao não cumprimento da Regra de Segurança.
As coimas por não conformidade com a HIPAA variam com base no nível de negligência percebido e podem variar desde 100 $ a 50 000 $ por infração individual, com uma coima máxima de 1,9 milhões de $ por ano civil. As infrações podem também resultar em penas de prisão entre um a dez anos para os indivíduos responsáveis.
A Thales ajuda as organizações a cumprir a HIPAA, ao abordar os requisitos essenciais para salvaguardar as informações de saúde protegidas (ISP) ao abrigo de três secções diferentes da lei.
As entidades abrangidas devem efetuar uma avaliação exata e exaustiva dos riscos para as ISP e os parceiros comerciais devem salvaguardar adequadamente as informações de saúde protegidas.
1.A Efetuar...:
"... avaliações de riscos para a confidencialidade e integridade das informações de saúde eletrónicas protegidas..."
A CipherTrust Data Discovery and Classification identifica dados confidenciais estruturados e não estruturados no local e na nuvem. Os modelos incorporados permitem a rápida identificação de dados regulamentados, destacam os riscos de segurança e ajudam a descobrir lacunas na conformidade.
8. b. 1:
"Uma entidade abrangida pode permitir que um parceiro comercial crie, receba, mantenha ou transmita ISP eletrónicas se ... o parceiro comercial salvaguardar adequadamente a informação."
Proteger os dados em repouso:
O CipherTrust Cloud Key Manager pode reduzir os riscos de terceiros ao manter no local, sob o controlo total da instituição financeira, as chaves que protegem os dados confidenciais alojados por fornecedores de cloud terceiros ao abrigo de sistemas "bring your own keys" (BYOK).
O CipherTrust Transparent Encryption oferece uma separação completa das funções administrativas onde apenas utilizadores e processos autorizados podem ver dados não encriptados. A menos que seja fornecida uma razão válida para aceder aos dados, os dados confidenciais armazenados numa nuvem de terceiros não estarão acessíveis em texto não encriptado a utilizadores não autorizados.
As soluções Data Security da Thales oferecem a gama mais abrangente de proteção de dados — tais como a Thales Data Protection on Demand (DPoD) que fornece alta disponibilidade e cópias de segurança incorporadas aos seus serviços baseados na nuvem HSM Luna Cloud e CipherTrust Key Management — às aplicações de encriptação de rede HSE que fornecem opções para reposição.
As entidades abrangidas devem implementar salvaguardas técnicas para proteger o acesso à informação protegida, autenticar as pessoas e entidades que acedem às ISP e encriptar as ISP em repouso e em trânsito.
A. 1:
"Facultar acesso às ISP apenas às pessoas ou programas de software aos quais foram concedidos direitos de acesso"
As soluções de identity & access management OneWelcome da Thales limitam o acesso de utilizadores internos e externos com base nas suas funções e contexto. Com o apoio de uma autenticação forte (MFA), as políticas de acesso granular e as políticas de autorização refinadas ajudam a garantir que o utilizador certo tem acesso ao recurso certo no momento certo, minimizando assim o risco de acesso não autorizado.
O módulo OneWelcome Consent & Preference Management da Thales permite às organizações recolher o consentimento dos consumidores finais, de modo a que as instituições financeiras possam ter uma visibilidade clara dos dados consentidos, permitindo-lhes assim gerir o acesso aos dados que estão autorizados a utilizar.
O CipherTrust Transparent Encryption encripta dados confidenciais e aplica políticas granulares de gestão de acesso para utilizadores com privilégios que podem ser aplicadas por utilizador, processo, tipo de ficheiro, hora do dia e outros parâmetros. Oferece uma separação completa de funções em que apenas os utilizadores e processos autorizados podem ver dados não encriptados.
D:
"Autenticar que a pessoa ou entidade que pretende aceder às ISP eletrónicas é a alegada pessoa".
O SafeNet Trusted Access é uma solução de gestão de acesso baseada na nuvem que fornece autenticação multifator comercial e pronta a utilizar com a mais vasta gama de métodos e formatos de autenticação de hardware e software.
2. ii:
"Implementar um mecanismo para encriptar e desencriptar informações de saúde eletrónicas protegidas".
A CipherTrust Data Security Platform oferece vários recursos para proteger dados em repouso em ficheiros, volumes e bases de dados. Incluindo:
Os Hardware Security Modules Luna (HSM) protegem chaves criptográficas e fornecem um ambiente FIPS 140-2 Nível 3 reforçado e inviolável para processamento criptográfico seguro, geração e proteção de chaves, encriptação e muito mais. Os HSM Luna estão disponíveis no local, na nuvem como um serviço e em ambientes híbridos.
E. 1:
"Implementar medidas técnicas de segurança para proteger as informações de saúde protegidas que são transmitidas através de ... uma rede"
Os High Speed Encryptors (HSE) da Thales fornecem encriptação de dados em movimento independente da rede (camadas 2, 3 e 4), garantindo que os dados estão seguros à medida que se deslocam de um local para outro ou do local para a nuvem e vice-versa. As nossas soluções de encriptação de rede permitem que os clientes protejam melhor os dados, o vídeo, a voz e os metadados contra escutas, vigilância e interceção aberta e discreta — sem comprometer o desempenho.
As informações de saúde podem não ser consideradas informações de saúde protegidas (ISP) se não forem informações de saúde que podem identificar um indivíduo.
A:
"Desidentificação de informações de saúde protegidas. As informações de saúde que não identificam um indivíduo ... não são informações de saúde capazes de identificar um indivíduo".
O CipherTrust Tokenization permite a pseudonimização de informações confidenciais em bases de dados, mantendo a capacidade de analisar dados agregados, sem expor dados confidenciais durante a análise ou nos relatórios.
Ensure HIPAA compliance and implement HIPAA Privacy & Security Rules for comprehensive protection of patient health information, with our data security solutions. The Health Insurance Portability and Accountability Act (HIPAA) is a US federal law that created national...
Regulations, such as HIPAA and GDPR, and global standards such as ISO 27799:2016 on health informatics, raise the bar for healthcare and life sciences organizations, obligating the protection of sensitive personal data and levying substantial fines for not doing so. Learn how...
Talvez o padrão de privacidade de dados mais abrangente até o momento, o GDPR afeta qualquer organização que processa dados pessoais de cidadãos da UE - independentemente de onde a organização está sediada.
Qualquer organização que desempenhe uma função no processamento de pagamentos com cartão de crédito e débito deve cumprir os rígidos requisitos de conformidade do PCI DSS para o processamento, armazenamento e transmissão de dados da conta.
Os requisitos de notificação de violação de dados após a perda de informações pessoais foram promulgados por países em todo o mundo. Eles variam de acordo com a jurisdição, mas quase universalmente incluem uma cláusula de “porto seguro”.
