小売薬局の規制要件に準拠

小売薬局は、PCI DSS基準に準拠するだけでなく、HIPAA/HITECHなどの他の規制に準拠する必要があり、州、連邦、および地域のデータ侵害に関する法令違反から組織を保護する必要があるという、気詰まりな状況にあります。Entrust nShield® HSMデータ保護ソリューションは、小売薬局が保存データの暗号化と暗号化された情報への安全なアクセス制御により、データの安全性を確保し、規制要件に準拠できるように支援します。

    課題

    PCI DSSコンプライアンス

    ペイメントカード業界のデータセキュリティスタンダード(PCI DSS)は、カード会員データを受け入れる、取得する、送信する、処理する、または保存するすべての組織が、すべての機密顧客情報を継続的に保護するために適切な手順を実行する必要があります。

    HIPAA/HITECHコンプライアンス

    HIPAAセキュリティルールでは、対象となる組織に対して、すべての電子個人医療情報(ePHI)を保護するための技術的な保護を実装し、暗号化、アクセス制御、暗号化キー管理、リスク管理、ePHI情報の監査と監視に具体的に言及する必要があります。

    HITECH法は、次に、コンプライアンス要件セットを拡張し、ビジネスアソシエイト、ベンダー、関連エンティティなどが、「保護されていない」(暗号化されていない)個人健康記録(PHR)のデータ侵害を開示する必要があります。最後に、2013年の「HIPAAオムニバスルール」は、HIPAAセキュリティルールへの準拠について、正式に責任を負うビジネスアソシエイトを対象としています。

    国際、連邦、および州の規制コンプライアンス

    個人情報の紛失に関するデータ侵害の通知要件は、米国の州政府だけでなく、世界中の国々によって制定されるようになってきています。データ侵害の開示に関する法律と通知要件は管轄によって異なりますが、失われたデータが暗号化された形式である場合、ほぼ例外なく「セーフハーバー」条項が含まれます。

    EPCSに対するDEAの要件には、データ要素のデジタル署名に使用される暗号化モジュールがFIPS 140-2レベル1以上で検証されていること、および薬局アプリケーションの秘密鍵を暗号化して保存する必要があることが含まれます。

    ソリューション

    Entrust nShield HSMキー管理

    Entrust nShield HSMと当社のテクノロジーパートナーのキー管理ソリューションにより、キー管理相互運用プロトコル(KMIP)互換ハードウェア、OracleおよびSQL Server TDEマスターキー、デジタル証明書など、環境およびデバイスの暗号化キーを一元管理できます。

    メリット

    すばやく簡単にインストール

    Entrust nShield HSMとテクノロジーパートナーのキー管理ソリューションは、物理、仮想、クラウド、ビッグデータのカード会員データ環境(CDE)のLinux、UNIX、Windowsサーバーなど、ほとんどの主要なオペレーティングシステムで動作します。

    システムパフォーマンスを低下させない

    Entrust nShield HSMソリューションを使用する場合、エンドユーザーエクスペリエンスに目に見える影響はないと顧客は報告しています。Entrust nShield HSMは、Intel® Advanced Encryption Standard New Instructions(Intel® AES-NI)やSPARC Niagara Cryptoなどのハードウェア暗号化アクセラレーションを利用して、データの暗号化と復号化を高速化するファイルシステムまたはボリュームマネージャーの最適な場所で、暗号化と復号化の操作を実行します。

    参考資料

    調査とホワイトペーパー: コールファイアホワイトペーパー: AWSでのPCI DSS 3.0コンプライアンスのための暗号化とアクセス制御の使用

    環境をクラウドコンピューティングに移行する予定の組織にとって、コンプライアンスとセキュリティは引き続き最重要課題です。 それに加えて、PCIコンプライアンスの実現は簡単な作業ではありません。