个人可识别健康数据由于其敏感性,一直被视为个人数据的特殊类别,并且必然受到严格的数据保护法规的管辖。在美国,1996 年《健康保险流通与责任法案》(HIPAA)和2009 年《经济与临床健康信息技术法案》(HITECH)是两项共同保护患者个人健康信息的法规。
受HIPAA和 HITECH约束的医疗保健组织因不遵守规定而面临每年高达 150 万美元的监管罚款,违规行为可能带来严重后果。随着黑客继续利用勒索软件和网络钓鱼等网络攻击瞄准医疗保健行业,以电子方式存储的受保护健康信息(PHI) 尤其容易受到攻击。医疗保健领域的数据泄露、数据泄露和数据盗窃事件经常成为媒体头条新闻。
为了帮助实施合规计划,网络安全技术部门拥有多种不同类型的数据安全解决方案。其中,数据丢失防护(DLP) 软件已成为合规策略的重要组成部分,以确保数据隐私和信息安全。以下是 DLP 工具如何帮助实现 HIPAA 合规性。
HIPAA 简要概述
卫生与公众服务部 (HHS)民权办公 手机号码数据 室(OCR) 负 失预防可帮助实现 责执行 HIPAA。该法规概述了 PHI 的合法使用和披露,并保证其隐私、安全性和完整性。
PHI 是指任何个人信息,例如姓名、地址、社会安全号码、医疗记录等,这些信息一旦被知晓,就能够识别出受 HIPAA 约束的组织的患者或客户。与 GDPR 不同,HIPAA 不具有域外效力,这意味着它仅适用于美国境内。
电子数据属于特殊电子受保护健康信息 (ePHI) 类别,该类别已包含在HIPAA 安全规则中。HIPAA 的这一附录涉及医疗技术领域的进步。
需要遵守 HIPAA 的公司有两种类型:
涵盖实体——包括收集、创建或传输 PHI 的任何 为什么品牌内容对家政服 组织(医疗保健提供者、健康保险提供者等)
业务伙伴– 在提供受保实体承包的服务时接触 PHI 的组织或个人。例如,会计师为受保实体提供服务,并在提供这些服务时需要访问 PHI。
随着 HITECH 的推出,HIPAA 获得了进一步的发展,该法案引入了基于违规的分级罚款,大大提高了 OCR 可以施加的处罚。同时,HITECH 法律约束业务伙伴保护物理和电子 PHI。
符合 HIPAA 要求的 DLP
DLP 的工作原理是监控、检测和阻止敏感数据离开组织的端点、云服务(包括 SaaS 应用)和其他出口点。不同解决方案的功能有所不同。为了帮助实现 HIPAA 合规性,请至少寻找以下功能:
能够扫描和识别系统上的 PHI,以全面 克罗地亚商业指南 了解敏感 失预防可帮助实现 数据资产,包括从多种文件类型中提取元数据以协助数据分类。
通过补救措施(例如加密或删除静态数据)执行安全策略。
内容感知可根据上下文扫描通过云应用程序、USB 驱动器或电子邮件离开端点的数据,并确保传输中的数据不会违反 HIPAA 规则。
最终用户(无论是人为错误还是内部威胁)是数据泄露和泄露事件的重要来源,这些事件会导致因违反 HIPAA 而遭受巨额罚款。保护这些最终用户每天与之交互的端点系统上的敏感信息的 DLP 工具特别有用。
1. PHI 监控和报告
DLP 解决方案允许公司实时监控 ePHI。CoSoSys的 Endpoint Protector等软件提供预定义的 HIPAA 配置文件,其中包括 FDA 认可的药物、制药公司、ICD-10 和 ICD-9 代码和诊断词典的数据库以及个人身份信息(PII),例如健康保险号、社会安全号、地址等。
使用这些政策,可以持续监控敏感的健康数据,无论这些数据是存储在员工终端还是在传输中。根据调查结果,可以设置控制措施来限制传输。
2. 阻止 PHI 的互联网传输
HIPAA 要求所有 PHI 都必须得到保护,并且只能在需要知道的情况下才能访问。除非经过加密或传输到安全的授权渠道,否则 PHI 不能离开组织场所。随着未经授权的第三 失预防可帮助实现 方服务越来越多地用于数据传输,无论是通过流行的即时通讯应用程序、电子邮件、云存储还是一次性网络传输服务,不合规的风险都很高。
这就是 DLP 解决方案发挥作用的地方。它们不仅通过预定义的策略监控 PHI,还可以有效控制数据移动。通过在传输文档之前对其进行扫描,DLP 工具可以识别策略定义的敏感数据并阻止这些传输。DLP 甚至可以检测电子邮件正文(即 Outlook、Gmail)中受 HIPAA 保护的内容。
3. 限制对 PHI 的访问
通过其电子取证功能,DLP 软件可以扫描公司网络上的所有端点并确定 PHI 的存储位置。如果在未经授权人员的计算机上发现 PHI,则可以采取删除或加密等补救措施。
通过这种方式,公司可以限制有权访问 PHI 的人数,这有助于执行 HIPAA 的知情规则。知情规则正式称为最低必要标准。该规则类似于最小特权原则,因为它规定 PHI 访问权限应仅限于那些需要访问信息以履行其工作职责的人。
4. 控制便携式设备上 PHI 的传输
敏感数据被盗用的另一种简单方法是使用便携式设备。DLP 解决方案使公司能够根据设备类型或序列号等标准限制或完全阻止其使用。还可以为设备分配各种信任和访问权限级别。有些设备可能被允许只读访问,而其他设备则可以拥有完全访问权限。
5. 确保 PHI 加密
即使是授权员工使用的受信任设备,也存在 PHI 丢失或被盗的风险,因为 USB 本身的便携性就存在风险。为了确保便携式设备被遗忘或被盗等事件不会危及 HIPAA 合规性,一些 DLP 解决方案可以自动加密传输到 USB 驱动器上的数据。
虽然 DLP 解决方案是全面、成功的 HIPAA 和 HITECH 合规战略的重要组成部分,但您应使用传统安全工具(如防病毒软件、防火墙等)以及更先进的现代解决方案(如加密和移动设备管理)来补充 DLP
无论您的组织必须遵守 HIPAA 来保护 PHI,还是遵守 PCI DSS 来保护信用卡号,DLP 都已成为任何合规工作流程的必备解决方案。您不仅可以避免高额罚款,而且 DLP 工具的主要优点之一是它们如何提高客户的信任度,让您始终充分保护他们的机密数据。