HIPAA nedir?
HIPAA (Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası), Korunan Sağlık Bilgisi (PHI) olarak bilinen bireysel olarak tanımlanabilir sağlık bilgilerinin gizliliğini ve güvenliğini korumaya yönelik ulusal standartlar belirleyen bir ABD federal yasasıdır.
Diğer adlarıyla: HIPAA, Health Insurance Portability and Accountability Act
HIPAA'nın Güvenlik Kuralı, kapsama giren kuruluşlardan ve iş ortaklarından elektronik PHI'nın (ePHI) gizliliğini, bütünlüğünü ve kullanılabilirliğini güvence altına almak için yönetimsel, fiziksel ve teknik güvenceleri uygulamalarını ister. Teknik güvenceler erişim denetimlerini, denetim denetimlerini, bütünlük denetimlerini ve iletim güvenliğini içerir; hem bekleme halindeki hem de aktarım sırasındaki veriler için adreslenebilir uygulama spesifikasyonu olarak şifreleme belirtilir.
Gizlilik Kuralı, PHI'ya kimin hangi koşullar altında erişebileceğini düzenler ve en az ayrıcalığın sağlık hizmetleri karşılığı olan "asgari gerekli" standardını belirler. Kuruluşlar PHI erişimini yalnızca belirli bir amaç için gerekli olanla sınırlamalıdır. İhlaller ciddi cezalar gerektirir: para cezaları, ihlal kategorisi başına yılda 1,5 milyon dolara kadar ihlal başına 100 ila 50.000 dolar arasında değişir; kasıtlı ihmal cezai suçlamalara neden olabilir.
Pratikte HIPAA uyumu, sağlık kuruluşlarının hassas bilgilerin nasıl paylaşıldığını (hem dahili hem de dış ortaklarla) dikkatle denetlemesini gerektirir. Sağlık sistemleri için şifrelenmemiş kimlik bilgilerini e-posta ile göndermek, veritabanı parolalarını düz metin olarak paylaşmak veya kalıcı sohbet kanallarında erişim anahtarları bırakmak uyum riskleri yaratır. Şifreleme ve erişim denetimleri gereksinimleri, bu sistemlere erişmek için kullanılan kimlik bilgileri dahil olmak üzere ePHI'ya dokunan her sisteme uzanır.
Vaulted HIPAA nasıl kullanır
Vaulted, HIPAA uyumunun gerekli olduğu sağlık ortamlarında kimlik bilgilerini ve hassas verileri paylaşmak için güvenli bir kanal sağlar. BT ekipleri ePHI içeren sistemler için veritabanı kimlik bilgileri, sistem parolaları veya API anahtarları paylaşması gerektiğinde, Vaulted'ın istemci taraflı AES-256-GCM şifrelemesi, verilerin tarayıcıyı terk etmeden şifrelenmesini güvence altına alır. Sıfır bilgi sunucusu hiçbir zaman düz metni görmez, kendiliğinden yok olan bağlantılar asgari gerekli ilkesiyle örtüşen zaman sınırlı erişimi zorunlu kılar ve isteğe bağlı parola koruması ek bir erişim denetimi katmanı ekler.