Независимо от того, являетесь ли вы застрахованным субъектом (CE) или деловым партнером (BA), вы должны соблюдать требования Закона о мобильности и подотчетности медицинского страхования (HIPAA) и стандарта безопасности данных индустрии платежных карт (PCI DSS). Чтобы обеспечить соответствие этим требованиям, организациям здравоохранения всех размеров и сложности следует рассмотреть возможность реализации стратегии токенизации данных. Наличие токенизации данных не только снизит общую стоимость, связанную с соответствием HIPAA и PCI DSS, но и улучшит состояние безопасности вашей организации.
Что такое токенизация данных?
Токенизация данных — это процесс замены конфиденциальных данных (таких как номера первичных учетных записей (PAN), электронная личная медицинская информация (ePHI) и непубличная личная информация (NPPI)) уникальным значением, которое не является конфиденциальным. Это нечувствительное значение действует как уникальный идентификатор и является токеном для конфиденциальной записи. Токенизация может использоваться как постоянное значение и использоваться многими конечными пользователями. Это позволяет пользователям взаимодействовать с токенизированными данными напрямую, без необходимости расшифровывать и повторно шифровать данные каждый раз, когда они получают доступ к информации.
Каковы преимущества токенизации?
Одним из наиболее распространенных преимуществ использования токенизации данных является сокращение объема проверок и проверок соответствия для организации. Это также приводит к снижению затрат на нормативно-правовое обеспечение соответствия и позволяет усилиям организации по обеспечению соответствия уделять больше внимания другим областям конфиденциальных и ограниченных данных.
Еще одним преимуществом является снижение риска несанкционированного доступа. Фактический токен не содержит внешнего значения или значения, поэтому с ним связан очень небольшой риск. Это очень ценно, учитывая, что раскрытие конфиденциальных данных посторонним лицам может привести к нарушениям законодательства и нормативных актов и штрафам, а также к потенциальной эксплуатации данных клиента или пациента.
Кроме того, внедрение токенизации данных предполагает обучение сотрудников тому, как данные будут представлены и использованы. Обучение, наряду с ежедневным использованием токенов, может помочь сотрудникам глубже понять важность защиты данных и, таким образом, лучше подготовить их к выявлению недостатков контроля, которые существуют в других областях бизнеса.
Каковы некоторые руководящие принципы для реализации?
Американский национальный институт стандартов (ANSI) первоначально разработал стандарт ANSI x9.119, который касается как токенизации данных, так и шифрования данных. Документ разделен на две части, часть 2 ANSI x9.119 посвящена токенизации данных.
PCI также разработала документ руководства по токенизации, в котором содержится сводная информация о том, как токенизация данных держателя карты (CHD), таких как PAN, может повлиять на соответствие продавца требованиям стандарта PCI DSS.
Как токенизация может помочь вам соответствовать PCI DSS 3.1?
Токенизация данных может помочь организациям соответствовать следующим требованиям контроля в PCI DSS 3.1:
Требование 2.4. Вести перечень компонентов системы, которые входят в сферу применения PCI DSS.
Благодаря внедрению токенизации данных число систем и пользователей, входящих в область применения, может быть значительно сокращено. Токенированные данные не соответствуют требованиям CHD, определенным PCI. Глоссарий PCI 3.1 определяет CHD как «Как минимум, данные держателя карты состоят из полной PAN. Данные о держателе карты также могут отображаться в виде полного PAN плюс любое из следующего: имя держателя карты, срок действия и / или код обслуживания ».
Требование 9.3 Контроль физического доступа персонала на местах в уязвимые зоны
Поскольку токены данных не соответствуют требованиям CHD, области обработки конфиденциальных данных могут быть значительно сокращены. Это может быть особенно полезно в отделах обработки данных, в которых приобретенные записи могут заменить CHD токенами.
Требование 11.3 Тестирование на проникновение
PCI DSS версии 3.1 расширил требования к тестированию на проникновение в соответствии с требованием 11.3. Тестирование должно проводиться внутри, снаружи и против любых средств контроля, ограничивающих объем. Как только токенизация данных будет реализована, контроль может быть проверен и объем теста на проникновение может быть уменьшен. Тесты на проникновение являются ресурсоемкими, поэтому сокращение количества систем, входящих в объем, сделает наиболее эффективным тест на проникновение.
Как токенизация может помочь вам соблюдать правило безопасности HIPAA?
Токенизация ePHI может помочь снизить стоимость необходимого уведомления о нарушении. Один токен не представляет ePHI, и поэтому, если токен украден, можно утверждать, что ни один ePHI не был украден. Сокращение зоны действия ePHI во всей организации с использованием токенизации снизит затраты на соответствие требованиям для CE или BA.
Объем анализа пробелов (обзор средств контроля организации) по правилу безопасности HIPAA можно уменьшить, внедрив процесс токенизации. CE отвечают за любой из своих ePHI, хранящихся в их BA, поэтому CE могут быть более удобны при проверках контроля, зная, что их BA получают доступ только к своим токенам, а не к своим прямым ePHI.
Токенизация данных ePHI также может помочь вашей организации воспользоваться следующими ссылками на HIPAA:
164.308 (a) (3) (i) Внедрить политику и процедуры для обеспечения того, чтобы все члены ее рабочей силы имели надлежащий доступ к электронной защищенной медицинской информации.
164.308 (a) (4) (ii) (B) Внедрение политики и процедур для предоставления доступа к электронной защищенной медицинской информации.
164.312 (a) (1) Внедрить технические политики и процедуры для электронных информационных систем, которые поддерживают электронную защищенную медицинскую информацию, чтобы разрешить доступ только тем лицам или программам, которым был предоставлен доступ.
164.312 (c) (2) Внедрить электронные механизмы, подтверждающие, что электронная защищенная медицинская информация не была изменена или уничтожена несанкционированным образом.
164.312 (e) (1) Принять технические меры безопасности для защиты от несанкционированного доступа к электронной защищенной медицинской информации, которая передается по сети электронных коммуникаций.
Спасибо за внимание! Если у вас возникли вопросы, пожелания или предложения по сотрудничеству жду вас в Телеграм.