Conformez-vous aux exigences réglementaires qui s’appliquent au secteur de l’industrie pharmaceutique.

Les pharmacies de détail sont dans la position inconfortable de devoir se conformer non seulement aux normes PCI DSS, mais aussi à d’autres réglementations telles que HIPAA/HITECH, tout en se prémunissant contre toute infraction aux lois nationales, fédérales et locales sur les violations de données. Les solutions de protection des données apportées par les HSM Entrust nShield® aident les pharmacies de détail à sécuriser leurs données et à satisfaire aux exigences réglementaires grâce au chiffrement des données au repos et à des contrôles d’accès sécurisés aux informations chiffrées.

    Défis

    Conformité PCI DSS

    La norme de sécurité des cartes de paiement (Payment Card Industry Data Security Standard ou PCI DSS) impose à toutes les organisations qui acceptent, acquièrent, transmettent, traitent ou stockent des données de titulaires de carte de prendre les mesures appropriées pour protéger en permanence toutes les informations sensibles des clients.

    Conformité HIPAA/HITECH

    La Règle de sécurité HIPAA (Health Insurance Portability and Accountability Act) exige des organisations concernées qu’elles mettent en œuvre des garanties techniques pour protéger toutes les informations de santé personnelles électroniques (ePHI), en faisant spécifiquement référence au chiffrement, aux contrôles d’accès, à la gestion des clés de chiffrement, à la gestion des risques, à l’audit et à la surveillance des informations ePHI.

    La loi HITECH (Health Information Technology for Economic and Clinical Health) élargit encore ces exigences de conformité, requérant la divulgation des violations de données des dossiers médicaux personnels « non protégés » (non chiffrés), y compris par des associés, des fournisseurs et des entités liées. Enfin, la « Règle HIPAA Omnibus » de 2013 tient les associés formellement responsables du respect de la Règle de sécurité HIPAA.

    Conformité aux réglementations internationales, fédérales et nationales

    Les pays du monde entier, de même que les gouvernements des États américains, imposent de plus en plus des exigences de notification des violations de données en cas de perte de renseignements personnels. Les lois régissant la divulgation des violations de données et les exigences de notification varient selon les juridictions, mais incluent presque universellement une clause « Safe Harbor » (sphère de sécurité) si les données perdues se présentaient sous forme chiffrée.

    Les exigences de l’agence fédérale américaine DEA (Drug Enforcement Administration) pour la prescription électronique de substances contrôlées (EPCS) imposent notamment que le module cryptographique utilisé pour signer numériquement les données soit au minimum validé FIPS 140-2 Niveau 1 et que la clé privée de l’application de pharmacie soit stockée sous forme chiffrée.

    Solutions

    Gestion des clés avec les HSM Entrust nShield

    Les HSM Entrust nShield et les solutions de gestion de clés de nos partenaires technologiques permettent une gestion centralisée des clés de chiffrement pour les environnements et les appareils, y compris le matériel compatible avec le protocole d’interopérabilité de gestion des clés (KMIP), les clés principales Oracle et SQL Server TDE et les certificats numériques.

    Avantages

    Installation simple et rapide

    Les HSM Entrust nShield et les solutions de gestion de clés de nos partenaires technologiques fonctionnent avec la plupart des principaux systèmes d’exploitation, y compris les serveurs Linux, UNIX et Windows dans des environnements de données de titulaires de cartes (CDE) physiques, virtuels, cloud et Big Data.

    Ne ralentit pas les performances du système

    Les clients ne signalent généralement aucun impact perceptible sur l’expérience de l’utilisateur final lorsqu’ils utilisent les solutions HSM Entrust nShield. Les HSM Entrust nShield effectuent des opérations de chiffrement et de déchiffrement à l’emplacement optimal du système de fichiers ou du gestionnaire de volumes en tirant parti de l’accélération cryptographique matérielle, comme Intel® Advanced Encryption Standard-New Instructions (Intel® AES-NI) et SPARC Niagara Crypto, pour accélérer le chiffrement et le déchiffrement des données.

    Ressources

    Recherches et livres blancs : livre blanc Coalfire : Utiliser le chiffrement et le contrôle d’accès pour la conformité PCI DSS 3.0 dans AWS

    La conformité et la sécurité restent des préoccupations majeures des organisations qui prévoient de migrer leur environnement vers le cloud computing. Du reste, atteindre la conformité PCI n’est pas une tâche simple.