Cumplir con los requisitos reglamentarios de las farmacias minoristas

Las farmacias minoristas se encuentran en la incómoda posición de tener que cumplir no solo con estándares PCI DSS, sino también la necesidad de cumplir con otras regulaciones como HIPAA/HITECH, así como proteger a sus organizaciones de la violación de los estatutos de filtración de datos estatales, federales y locales. Las soluciones de protección de datos de HSM de Entrust nShield® ayudan a las farmacias minoristas a proteger sus datos y cumplir con los requisitos normativos mediante el cifrado de datos en reposo y controles de acceso seguro a la información cifrada.

    Desafíos

    Cumplimiento de PCI DSS

    Los estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS) exigen que todas las organizaciones que aceptan, adquieren, transmiten, procesan o almacenan datos de titulares de tarjetas deben tomar las medidas adecuadas para proteger continuamente toda la información confidencial de los clientes.

    Cumplimiento de HIPAA/HITECH

    La regla de seguridad de HIPAA requiere que las organizaciones cubiertas implementen salvaguardas técnicas para proteger toda la Información Electrónica Personal de Salud (ePHI), haciendo referencia específica al cifrado, controles de acceso, administración de claves de cifrado, administración de riesgos, auditoría y monitoreo de la información ePHI.

    La ley HITECH amplía el conjunto de requisitos de cumplimiento, requiriendo la divulgación de violaciones de datos de registros de salud personales (PHR) "no protegidos" (no cifrados), incluidos los de socios comerciales, proveedores y entidades relacionadas. Finalmente, la “Norma Ómnibus HIPAA” de 2013 formalmente responsabiliza a los socios comerciales por el cumplimiento de la Norma de seguridad de HIPAA.

    Cumplimiento normativo internacional, federal y estatal

    Los requisitos de notificación de violación de datos sobre la pérdida de información personal han sido establecidos cada vez más por naciones de todo el mundo, así como por gobiernos estatales de EE. UU. Las leyes de divulgación de información y los requisitos de notificación varían según la jurisdicción, pero casi universalmente incluyen una cláusula de "puerto seguro" si la pérdida de datos se realizó en forma cifrada.

    Los requisitos de la DEA para EPCS incluyen que el módulo criptográfico utilizado para firmar digitalmente elementos de datos esté validado al menos con FIPS 140-2 Nivel 1 y que la clave privada de la aplicación de farmacia debe almacenarse cifrada.

    Soluciones

    Gestión de claves de HSM de Entrust nShield

    Los HSM de Entrust nShield y nuestras soluciones de gestión de claves de socios tecnológicos permiten la gestión centralizada de claves de cifrado para entornos y dispositivos, incluido el hardware compatible con el Protocolo de interoperabilidad de gestión de claves (KMIP), claves maestras TDE de Oracle y SQL Server y certificados digitales.

    Beneficios

    Rápido y fácil de instalar

    Los HSM de Entrust nShield y las soluciones de gestión de claves de socios tecnológicos funcionan con la mayoría de los principales sistemas operativos, incluidos los servidores Linux, UNIX y Windows en entornos físicos, virtuales, en la nube y de macrodatos, Cardholder Data Environment (CDE).

    No ralentiza el rendimiento del sistema

    Los clientes generalmente informan que no hay un impacto perceptible en la experiencia del usuario final cuando usan las soluciones HSM de Entrust nShield. Los HSM de Entrust nShield realizan operaciones de cifrado y descifrado en la ubicación óptima del sistema de archivos o administrador de volumen aprovechando la aceleración criptográfica del hardware, como Intel® Advanced Encryption Standard-New Instructions (Intel® AES-NI) y SPARC Niagara Crypto, para acelerar el cifrado y descifrado de datos.

    Recursos

    Investigación y documentos técnicos: Un informe técnico de Coalfire: Uso de cifrado y control de acceso para el cumplimiento de PCI DSS 3.0 en AWS

    El cumplimiento y la seguridad siguen siendo las principales preocupaciones de las organizaciones que planean trasladar su entorno a la computación en la nube. Además de eso, lograr el cumplimiento de PCI no es una tarea sencilla.

    Chatea ahora