发布日期:2024-12-13 浏览次数:
《健康保险流通与责任法案》(HIPAA)是美国联邦法律,制定了国家标准,以保护敏感的患者健康信息,防止在未经患者同意或知情的情况下泄露。美国卫生与公众服务部(HHS)颁布了 HIPAA 隐私规则,以实施 HIPAA 的要求。HIPAA 安全规则保护隐私规则所涵盖的一小部分信息。
HIPAA 规则和条例列出了合规所需的三种安全保障措施:
行政保障主要涉及进行持续风险评估的要求,以识别 PHI 完整性的潜在漏洞和风险。
物理保障措施集中于应实施的措施,以防止未经授权访问 PHI 并保护数据免受火灾和其他环境危害
技术保障措施涉及在电子网络上传输 PHI 时必须实施的控制措施,以确保数据安全
作为 2009 年美国复苏与再投资法案 (ARRA) 的一部分,HITECH 法案扩展了 HIPAA 加密合规性要求集,要求披露“未受保护的”(未加密的)个人健康记录数据泄露情况,包括业务伙伴、供应商和相关实体的数据泄露。
HIPAA 规则适用于涵盖的实体和业务伙伴:
涵盖实体涵盖所有创建、接收、维护、传输或访问受保护的个人健康信息 (PHI) 的医疗保健提供者,其中包括健康计划、健康保险组织、医院、诊所、药房、医生和牙医等。
业务伙伴包括可能代表受保实体创建、接收、维护、传输或访问 ePHI 的第三方服务提供商。示例包括 IT 承包商或云存储供应商。
HIPAA 由美国国会于 1996 年颁布。此后,该法案经过多次更新,例如 2009 年通过的《经济与临床健康信息技术法案》(HITECH),增加了新的违规处罚结构,并规定业务合作伙伴对因不遵守安全规则而导致的数据泄露负有直接责任。
违反 HIPAA 规定的处罚根据疏忽程度而有所不同,每次违规的罚款金额从 100 美元到 5 万美元不等,每年最高罚款金额为 190 万美元。违规行为还可能导致责任人被判处 1 至 10 年监禁。
通过满足该法律三个不同部分下保护受保护的健康信息 (PHI) 的基本要求,帮助组织遵守 HIPAA。
涵盖的实体必须对 PHI 的风险进行准确、彻底的评估,而业务伙伴则需要适当地保护 PHI。
我们通过以下方式帮助组织:
| HIPAA 要求: | 解决方案: |
1.A 行为...: “...对受保护的电子健康信息的机密性和完整性的风险评估...” |
|
8.b.1: “如果……业务伙伴能够适当保护信息,则涵盖实体可以允许业务伙伴创建、接收、维护或传输电子 PHI。” | 保护静态数据:
|
涵盖的实体必须实施技术保障措施,以确保对受保护信息的访问安全、对访问 PHI 的个人和实体进行身份验证、并对静态和传输中的 PHI 进行加密。
我们通过以下方式帮助组织:
| HIPAA 要求: | 解决方案: |
| A.1: “仅允许被授予访问权限的人员或软件程序访问 PHI” |
|
D: “验证寻求访问电子 PHI 的个人或实体是否是其所声称的个人或实体。” | SafeNet Trusted Access是一种基于云的访问管理解决方案,它提供商业的、现成的多因素身份验证,以及最广泛的硬件和软件身份验证方法和形式因素。 |
2.ii: “实施一种加密和解密受保护的电子健康信息的机制。” | CipherTrust 数据安全平台提供多种功能来保护文件、卷和数据库中的静态数据。其中包括:
Luna HSM(硬件安全模块)可保护加密密钥,并提供经过 FIPS 140-2 Level 3 强化的防篡改环境,用于安全加密处理、密钥生成和保护、加密等。Luna HSM 可在本地、云中以服务形式以及混合环境中使用。 |
E.1: “实施技术安全措施来保护通过网络传输的 PHI” | Thales高速加密器 (HSE)提供独立于网络的动态数据加密(第 2、3 和 4 层),确保数据在站点间或从本地到云再到云端的移动过程中是安全的。我们的网络加密解决方案可让客户更好地保护数据、视频、语音和元数据免遭窃听、监视以及公开和秘密拦截,同时不会影响性能。 |
如果健康信息不是可个人识别的健康信息,则可能不会被视为 PHI。
我们通过以下方式帮助组织:
| HIPAA 要求: | 解决方案: |
A: “对受保护的健康信息进行去识别化。无法识别个人的健康信息……不是可个人识别的健康信息。” | CipherTrust Tokenization允许对数据库中的敏感信息进行假名化,同时保持分析汇总数据的能力,而不会在分析期间或报告中暴露敏感数据。 |
作为Thales的合作伙伴,揽阁信息与您一同解决合规性要求的各类问题,欢迎联系揽阁信息获取更多信息。
揽阁信息 · 值得您信赖的信息安全顾问!
沪公网安备31011202021337号 网站地图
友情链接: Thales官网 芯片产品网站 服务热线
