Tại mỹ, bất kỳ doanh nghiệp nào duy trì hoặc truyền ePHI đều phải tuân thủ HIPAA. Securetrust cung cấp một dải toàn diện các dịch vụ và công nghệ giúp doanh nghiệp mọi doanh nghiệp đều có thể tuân thủ đạo luật HIPAA.

$250.15

tiền phạt cho mỗi bản ghi bị đánh cắp

33%

các bản ghi y tế bị xâm phạm liên quan đến thông tin người dùng/ tài chính

Hầu hết

các cuộc tấn công vào ngành y tế tập trung vào các tập đoàn và mạng nội bộ.

Tổng quan

  • Bổ sung cho các nhà cung cấp dịch vụ y tế, các doanh nghiệp bắt buộc phải tuân thủ HIPAA, bao gồm cả các bên ký kết hợp đồng và các công ty liên quan bên thứ ba thực hiện dịch vụ đại diện cho các nhà cung cấp bảo hiểm y tế và dịch vụ y tế.

    HIPAA đề cao ba thành phần liên quan đến bảo vệ dữ liệu: Quy tắc bảo mật, Quy tắc riêng tư và Quy tắc thông báo vi phạm SecureTrust cung cấp một bộ dịch vụ và giải pháp HIPAA tuỳ chỉnh hoạt động với nhau để bảo vệ thông tin y tế (PHI) và chỉ ra các yêu cầu của HIPAA. Chúng tôi tập trung vào dịch vụ giúp bạn tạo ra các chương trình tuân thủ tập trung vào các yêu cầu quản trị, kỹ thuật và vật lý của HIPAA.


  • Quy tắc bảo mật

    Quy tắc này bắt buộc việc kiểm soát kỹ thuật, vật lý, quản trị cần thiết để bảo mật các thông tin ý tế điện tử (ePHI), bất kể nó được tao ra, duy trì, lưu trữ hay truyền đi. trong số các yêu cầu: các đối tượng liên quan hoặc nằm trong phải thực hiện đánh giá rủi ro và ngăn chặn các truy cập trái phép.

  • Quy tắc riêng tư

    Quy tắc này chỉ ra các sự phòng vệ cho việc kiểm soát thông tin y tế cá nhân, bất kể nó thuộc dạng nào: lời nói, viết tay hay điện tử. Rộng hơn, nó đặt giới hạn cho việc lộ thông tin người bệnh mà không có sự cho phép của họ và nói rõ quyền của người bệnh đối với dữ liệu của họ.

  • Quy tắc thông báo vi phạm

    Quy tắc này yêu cầu các đơn vị và doanh nghiệp liên quan, khi xảy ra vi phạm dữ liệu ePHI, phải thông báo cho những cá nhân bị ảnh hưởng, cho thư ký của Bộ Y tế & Dịch vụ Nhân sinh Hoa Kỳ (HHS), và trong một số trường hợp, cả các phương tiện thông tin truyền thông - trừ khi họ chứng mình được sự vi phạm có rủi ro thấp thông qua đánh giá rủi ro.

Hậu quả

  • Văn phòng quyền công dân (OCR), thuộc HHS đã điều tra và giải quyết hơn 25,000 trường hợp bằng cách yêu cầu thay đổi trong thực tiễn và kế hoạch hành động khắc phục. OCR đã giải quyết và áp dụng phạt dân sự 55 trường hợp với tổng số tiền phạt trung bình 1.43 triệu đô mỗi trường hợp, bao gồm nhiều loại doanh nghiệp như chuỗi dược quốc gia, các trung tâm y tế lớn, các kế hoạch y tế nhóm, chuỗi bệnh viện và các nhà cung cấp nhỏ ngày 31/03/2018.

    Vấn đề tuân thủ bị điều tra nhiều nhất là:

    • Sử dụng trái phép và lộ PHI
    • Thiếu sự bảo vệ cho PHI
    • Thiếu sự cho phép bệnh nhân truy cập vào dữ liệu PHI
    • Thiếu sự quản trị bảo vệ cho ePHI
    • Sử dụng hoặc bị lộ nhiều hơn mức tối thiểu cho PHI

Giải pháp

  • SecureTrust cung cấp một danh mục toàn tiện giúp mọi loại doanh nghiệp hưởng ứng với đạo luật HIPAA. Chúng tôi phù hợp để giúp các chương trình tuân thủ tập trung vào các yêu cầu kỹ thuật, vật lý và quản trị của HIPAA.

    Chuẩn bị

    SecureTrust HIPAA Compliance Pre-Assessment được thiết kế để xác định góc độ phù hợp của doanh nghiệp của bạn với các chuẩn HIPAA. Các chuyên gia tư vấn của chúng tôi có vai trò đánh giá môi trường doanh nghiệp của bạn với những việc đã thực hiện thành công hoặc không, để giúp bạn hiểu được bức tranh tuân thủ thực sự.

    Ước lượng mức độ tuân thủ

    SecureTrust HIPAA Risk Assessment giúp bạn xác định sự bảo vệ cần thiết để đạt tuân thủ HIPAA. Securetrust giúp bạn tìm ra khoảng cách tuân thủ hiện tại giữa mô hình bảo mật của bạn với các yêu cầu của HIPAA. Đánh giá tuỳ chỉnh, mở rộng cá nhân giúp bao phủ toàn bộ các đơn vị và doanh nghiệp liên quan, bao gồm xác định các tài sản và hệ thống IT, đánh giá các kiểm soát và framework và xem lại các nhà cung cấp bên thứ ba và chương trình phản ứng với sự cố.

    Chỉ ra khoảng cách và lỗ hổng

    SecureTrust HIPAA Compliance Readiness Service giúp bạn chỉ ra khoảng cách tuân thủ HIPAA từ đó các rủi ro cụ thể có thể được phân loại, thống kê và cân nhắc việc khắc phục hay chấp nhận nó.

    Các công nghệ bảo mật hỗ trợ

    HIPAA yêu cầu toàn bộ các đơn vị và doanh nghiệp tương ứng triển khai các kiểm soát kỹ thuật để chuẩn bị cho kiểm tra và bảo vệ ePHI nhạy cảm, dù chúng được lưu hay truyền. Một số cách chúng tôi có thể giúp bạn bao gồm:

  • Data Loss Prevention

    Cho phép bạn phát hiện và phân loại dữ liệu nhạy cảm và ngăn chặn chúng bị thất thoát.

    Secure Web Gateway

    Kích hoạt truy cập an toàn và hữu ích trong khi đảm bảo tuân thủ, giảm tối đa mất dữ liệu và loại bỏ rủi ro mã độc.

    File Integrity Monitoring

    Chỉ ra chuẩn HIPAA Security Rule mà các tham chiếu cụ thể "toàn vẹn" và các báo cáo ePHI không thể bị thay thế hoặc bị huỷ bỏ.

    Network Access Control

    Đảm bảo các thiết bị được quản trị hoặc không quản trị kết nối tới mạng tuân thủ với chính sách và không phát tán mã độc.

    Web Application Firewall

    Bảo vệ ứng dụng web khỏi các kẻ tấn công từ bên ngoài, kẻ có thể sử dụng lỗ hổng như SQL Injection để đánh cắp thông tin bệnh nhân.

    SIEM

    Giúp doanh nghiệp có cái nhìn về hiểm hoạ trong mạng doanh nghiệp và cải thiện quá trình tuân thủ thông qua ghi log, giám át và phân tích các sự kiện.

    Security Awareness Education

    Đào tạo nhân sự và đối tác hiểu về các hiểm hoạ và thực hiện theo các thực tiễn tốt nhất để bảo mật, bao gồm quản trị mật khẩu và cách sử dụng web và các công cụ đa phương tiện một cách an toàn.

    Penetration Testing

    Xác định và quản trị những lỗ hổng tiềm tàng trong mạng, ứng dụng và cơ sở dữ liệu của bạn.

  • Quản trị và tự động

    TrustKeeper Compliance Manager giúp bạn quản trị và tự động tập trung các kiểm soát, chính sách và quy trình trong nhiều framework tuân thủ, bao gồm cả HIPAA. Compliance Manager được cung cấp thông qua cổng quản trị TrustKeeper, cung cấp một cái nhìn thời gian thực vào tình trạng tuân thủ và bảo mật và cung cấp khả năng truy cập vào tất cả các dịch vụ của bạn. Thông qua bảng điều khiển, bạn có thể gửi yêu cầu hỗ trợ, xem lịch sử sự kiện, chạy báo cáo và quản trị tài khoản bất kỳ lúc nào.

Tài nguyên