EPCS-Verordnung der FDA/DEA
Compliance mit der EPCS-Verordnung (Electronic Prescriptions for Controlled Substances)
Die EPCS-Verordnung (Electronic Prescribing of Controlled Substances) stellt eine Überarbeitung der DEA-Bestimmungen dar und bietet die Möglichkeit, Rezepte für geregelte Stoffe elektronisch auszustellen sowie elektronische Rezepte zu empfangen, abzugeben und zu archivieren. Die Anwendung für elektronische Rezepte muss ein sicheres Verfahren zur Authentifizierung des Benutzers beinhalten.
Entrust kann Organisationen helfen, diese Bestimmungen einzuhalten durch:
- FIPS-zertifizierten Schutz der privaten Schlüssel;
- Branchenführende Erfahrung in der Entwicklung und Implementierung von PKI-Lösungen;
- Eine sichere Umgebung für die Ausführung sensibler kryptographischer Prozesse.
Regelung
Die EPCS-Verordnung der DEA
Die EPCS-Verordnung (Electronic Prescriptions for Controlled Substances) stellt eine Überarbeitung der DEA-Bestimmungen dar und bietet die Möglichkeit, Rezepte für geregelte Stoffe elektronisch auszustellen. Die Verordnung ermöglicht zudem Apotheken, elektronische Rezepte zu empfangen, abzugeben und zu archivieren.
Zu den DEA-Anforderungen für EPCS gehören:
(16) The digital signature functionality must meet the following requirements:
(i) The cryptographic module used to digitally sign the data elements required by part 1306 of this chapter must be at least FIPS 140–2 Security Level 1 validated. FIPS 140–2 is incorporated by reference in Section 1311.08.
....
(iii) The electronic prescription application's private key must be stored encrypted on a FIPS 140–2 Security Level 1 or higher validated cryptographic module using a FIPS-approved encryption algorithm. FIPS 140-2 ist durch Bezugnahme in Absatz 1311.08 enthalten.
Darüber hinaus heißt es in „§1311.205 Pharmacy application requirements“ in der gleichen DEA-Publikation:
(b) Die Apothekenanwendung muss die folgenden Anforderungen erfüllen:
(4) For pharmacy applications that digitally sign prescription records upon receipt, the digital signature functionality must meet the following requirements:
(i) The cryptographic module used to digitally sign the data elements required by part 1306 of this chapter must be at least FIPS 140–2 Security Level 1 validated. FIPS 140–2 is incorporated by reference in Section 1311.08.
....
(iii) The pharmacy application's private key must be stored encrypted on a FIPS 140–2 Security Level 1 or higher validated cryptographic module using a FIPS-approved encryption algorithm. FIPS 140-2 ist durch Bezugnahme in Absatz 1311.08 enthalten.
Compliance
Sichere Schlüsselverwaltung
Entrust nShield® Hardware-Sicherheitsmodule (HSMs) sind nach FIPS 140-2 zertifizierte, manipulationssichere Geräte, die die privaten Signaturschlüssel der Benutzer schützen.
Schutz der Funktionalität der digitalen Signatur
Zusätzlich zum Schutz Ihrer sensiblen Schlüssel bieten die nShield HSMs auch eine sichere Umgebung für die Ausführung Ihrer proprietären Anwendungen. Die CodeSafe-Option ermöglicht das Entwickeln und Ausführen von digitalen Signaturfunktionen innerhalb der FIPS 140-2 Level 3-Grenzen von nShield, wie von der EPCS-Verordnung gefordert.
Kontrollen autorisierter Benutzer
Richten Sie eine sichere und skalierbare PKI ein, die eine sichere Authentifizierung von Benutzern und Geräten für die Teilnahme am Verschreibungsnetzwerk ermöglicht. Die Verwendung von nShield HSMs zur Sicherung des Prozesses der Ausstellung von Zertifikaten und zur proaktiven Verwaltung von Signaturschlüsseln schafft eine hochsichere Grundlage für digitale Sicherheit.
Ressourcen
Broschüren: Broschüre zur Entrust nShield HSM-Produktfamilie
Entrust nShield HSMs bieten eine sicherheitsgehärtete, manipulationssichere Umgebung für sichere kryptographische Verarbeitung, Schlüsselerstellung und -schutz, Verschlüsselung und vieles mehr. Die Entrust nShield-HSMs sind in drei „FIPS 140-2“-zertifizierten Formfaktoren erhältlich und unterstützen eine Vielzahl von Einsatzszenarien.
Verwandte Lösungen
HIPAA | HITECH
Für die Sicherheit elektronischer Gesundheitsdaten und die rechtzeitige Offenlegung von Datenschutzverletzungen