021-54410609
关于CHS
CHS成立于1975年,是业内最大的劳动力保健解决方案独立提供商。该公司为《财富》 500强公司提供现场健康保健服务,这些公司更愿意通过承担承保范围的资本责任为自己的员工投保。客户依靠CHS提供健康和生产力管理解决方案,包括现场初级保健,健康指导,职业健康和药房服务。
商业挑战
CHS通常会维护所有有资格为其每个客户参与医疗保健福利的雇员的信息。这导致处理大量高度敏感的个人数据,包括健康记录,临床信息和检查结果。数据的性质意味着CHS必须满足《健康保险携带和责任法案》(HIPAA)的要求。
CHS首席信息安全官约瑟夫·约翰逊(Joseph Johnson)评论说:“通常,HIPAA是我们管理客户数据的主要法规遵从性驱动因素,但我们有可能必须处理付款信息,因此要遵守《支付卡行业数据安全标准》( PCI DSS)也成为我们的首要任务。”
技术挑战
CHS寻找符合这些标准的解决方案。约翰逊回忆说:“围绕信息“有意义地使用”的要求正在促使更多的医疗组织使用电子健康记录(EHR),这是非常积极的,但确实带来了各种安全挑战。当前许多EHR应用程序都无法很好地保护数据安全,特别是静态数据的加密。
“我们评估了本机SQL TDE加密解决方案,但最终成本很高,实际上回报很少。最重要的是,某些EHR解决方案供应商不直接支持加密。”
他继续说:“我们研究了其他最终无法实现的解决方案,因为它们需要不受限制地访问我们应用程序的核心。因此,我们陷入了困境:解决方案太昂贵,甚至没有达到要求,或者它们无法与我们的封闭源应用程序环境进行交互。即使我们确实决定要使用一种可行的加密产品,看起来我们也必须部署一个完全独立的解决方案来处理密钥管理,或者仅仅为了密钥和证书交换而增加全职员工。
解决方案
“当我们发现Thales eSecurity解决方案时,我们感到非常兴奋;通过执行数据级加密,它完全避免了以任何方式修改应用程序的需求,仅此一项是一项巨大的胜利,因为我们不需要参与我们的开发或应用程序支持团队。“它不仅可以满足我们所有的加密需求,而且可以无缝地执行密钥管理。Thales eSecurity解决方案还使我们能够有效地实现基于角色的加密。这真的很重要,因为我们的某些环境是多租户的,并且我们的客户显然对数据隔离非常认真。能够提供这种级别的粒度和复杂性是我们决定购买Thales eSecurity解决方案的真正强大动力。”
CHS团队进行了概念验证,以验证组织所有利益相关者的期望。约翰逊说:“绝对没有问题,每个人都迅速批准了生产。” “一旦这样做,对在整个实时环境中实施加密的性能的影响就完全可以实现;几乎察觉不到。”
结果
“ EHR环境并非具有非常强大的访问管理功能。他们只是设计来不适应从业人员的不同角色,并明确控制谁可以获取特定记录。借助Thales eSecurity解决方案,我们可以准确地看到谁在尝试查看敏感数据,这使我们能够在整个环境中实施非常有效的基于角色的访问控制。我们已经能够缓解传统上困扰医疗保健行业的数据泄漏问题。” Johnson指出。
约翰逊赞赏易于部署和管理Thales eSecurity解决方案。他说:“做出购买决定后,我认为许多组织都忽略了在自己的环境中实施和维护安全性所花费的精力和成本。Thales如此高效地提供这种复杂性的能力消除了对初始和持续资源需求的所有担忧。”
他总结说:“我的同龄人最大的恐惧之一就是他们知道必须解决加密数据的问题,但是害怕投资于永远无法完全运行的解决方案。Thales采用的简化加密和密钥管理的方法消除了CHS的这种担忧。我们对安全性和保护数据完整性的坚定承诺:Thales eSecurity可以帮助我们准确交付所需的内容。”
使用基于角色的访问控制来保护EHR应用程序
业务需求:
符合HIPAA和PCI DSS要求
确定经济高效的加密解决方案
技术需求:
适应开源应用程序环境
避免与单独的加密和密钥管理解决方案相关的开销
提供逻辑数据隔离
Thales解决方案:
Vormetric透明数据加密
流量密钥管理
结果:
覆盖HIPAA和PCI标准的动态和静态数据
实施基于角色的访问控制
避免以数据为中心的安全模型对任何应用程序进行更改
最小的持续资源需求
揽阁信息可提供的部分安全产品和解决方案信息
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
-
数据库访问控制:揽阁LGPAC系统
-
通用HSM:Luna HSM、ProtectServer HSM
-
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!
联系我们
免费试用留言
客服电话