Compliance mit regulatorischen Anforderungen für Apotheken

Apotheken befinden sich in der unangenehmen Position, nicht nur die PCI DSS-Standards, sondern auch andere Vorschriften wie HIPAA/HITECH einhalten zu müssen. Zusätzlich müssen sie ihre Organisationen vor Verstößen gegen landes-, bundesrechtliche und lokale Datenschutzbestimmungen schützen. Entrust nShield® HSM-Datenschutzlösungen unterstützen Apotheken dabei, ihre Daten zu sichern und regulatorische Anforderungen durch Verschlüsselung ruhender Daten und sichere Zugriffskontrollen auf die verschlüsselten Informationen einzuhalten.

    Herausforderungen

    PCI DSS-Compliance

    Der Payment Card Industry Data Security Standard (PCI DSS) schreibt vor, dass alle Organisationen, die Karteninhaberdaten akzeptieren, erwerben, übermitteln, verarbeiten oder speichern, entsprechende Maßnahmen ergreifen müssen, um alle vertraulichen Kundendaten kontinuierlich zu schützen.

    HIPAA/HITECH-Compliance

    Gemäß HIPAA Security Rule müssen betroffene Organisationen technische Maßnahmen zum Schutz aller elektronischen personenbezogenen Gesundheitsdaten (Electronic Personal Healthcare Information, ePHI) implementieren, wobei speziell auf Verschlüsselung, Zugriffskontrollen, Verwaltung von Verschlüsselungsschlüsseln, Risikomanagement, Audits und Überwachung von ePHI-Informationen Bezug genommen wird.

    Der HITECH Act erweitert die Compliance-Anforderungen, indem er die Offenlegung von Datenschutzverletzungen von „ungeschützten“ (unverschlüsselten) persönlichen Gesundheitsakten (Personal Health Records, PHR) vorschreibt, einschließlich solcher von Geschäftspartnern, Anbietern und angeschlossenen Unternehmen. Schließlich macht die „HIPAA Omnibus Rule“ von 2013 Geschäftspartner formell für die Einhaltung der HIPAA Security Rule verantwortlich.

    Einhaltung internationaler, bundes- und landesrechtlicher Vorschriften

    Die Anforderungen an die Meldung von Datenschutzverletzungen bei Verlust von persönlichen Daten wurden in zunehmendem Maße von Ländern rund um den Globus sowie von US-Regierungsbehörden erlassen. Die Gesetze zur Offenlegung von Datenschutzverletzungen und die Anforderungen an die Meldung variieren je nach Gerichtsbarkeit, beinhalten aber fast immer eine „Safe Harbor“-Klausel, wenn der Datenverlust Daten in verschlüsselter Form betrifft.

    Zu den Anforderungen der DEA an EPCS gehört, dass das kryptographische Modul, das zum digitalen Signieren der Datenelemente verwendet wird, mindestens nach FIPS 140-2 Level 1 validiert sein muss und dass der private Schlüssel der Apothekenanwendung verschlüsselt gespeichert werden muss.

    Lösungen

    Entrust nShield HSM-Schlüsselverwaltung

    Entrust nShield HSMs und die Schlüsselverwaltungslösungen unserer Technologiepartner ermöglichen die zentrale Verwaltung von Verschlüsselungsschlüsseln für Umgebungen und Geräte, einschließlich KMIP-kompatibler (Key Management Interoperability Protocol) Hardware, Oracle- und SQL Server TDE-Hauptschlüsseln und digitalen Zertifikaten.

    Vorteile von Elliptic Curve Cryptography

    Schnelle und einfache Installation

    Entrust nShield HSMs und Schlüsselverwaltungslösungen von Technologiepartnern sind mit den meisten gängigen Betriebssystemen kompatibel, darunter Linux, UNIX und Windows-Server in physischen, virtuellen, Cloud- und Big Data Cardholder Data Environments(CDE)-Umgebungen.

    Keine Beeinträchtigung der Systemleistung

    Kunden berichten normalerweise von fehlenden Auswirkungen auf die Endbenutzererfahrung bei Verwendung von Entrust nShield HSM-Lösungen. Entrust nShield HSMs führen Ver- und Entschlüsselungsvorgänge an der optimalen Stelle des Dateisystems oder des Volume-Managers durch und nutzen dabei die Vorteile der kryptographischen Hardwarebeschleunigung wie Intel® Advanced Encryption Standard-New Instructions (Intel® AES-NI) und SPARC Niagara Crypto, um die Ver- und Entschlüsselung von Daten zu beschleunigen.

    Ressourcen

    Forschung und Whitepaper: Ein Whitepaper von Coalfire: Verwendung der Verschlüsselung und Zugriffskontrolle für die PCI DSS 3.0-Compliance in AWS

    Compliance und Sicherheit sind nach wie vor die Hauptanliegen von Unternehmen, die ihren Umstieg auf das Cloud Computing planen. Außerdem ist die PCI-Compliance keine einfache Aufgabe.