1 soluções symark e a hipaa. 2 legislação hipaa “health information portability and...
TRANSCRIPT
1
Soluções Symark e
a HIPAA
2
Legislação HIPAA“Health Information Portability and Accountability Act”- Lei introduzida em 1996- Objetivos Primários:
• Garantir aos trabalhadores assistência na área de saúde• Reduzir as fraudes e abusos na área de saúde• Reforçar os padrões para segurança das informações• Garantir a segurança e a privacidade das informações
Prazo Final das Exigências de “Privacidade”: Abril 2003Prazo Final das Exigências de “Segurança”: ainda em definiçãoEstas exigências controlam a proteção dos dados dos pacientes de
acessos não autorizados, assim como a disponibilização dos dados 24/7, se necessário.
Impacto sobre fornecedores da área de saúde e terceiros, dentro da “cadeia de parcerias” que compartilha dados dos pacientes.
3
HIPAA Cinco Categorias Primárias
Procedimentos Administrativos » Certificação, cadeia de acordos de parceria de confiança, plano de
contingência, mecanismo formal para processar registros
Proteção Física» Controles de Mídia, acesso físico, treinamento de conscientização
da segurança
Serviços de Segurança Técnica» Accesso, auditoria, controles de autorização; autenticação de
dados & entitades
Mecanismos de Segurança Técnica» Controles de Comunicação/Rede
Assinatura Eletrônica (opcional)» Assinatura Digital
4
Soluções Symark e Visão Geral das Exigências da HIPAA
Os produtos PowerBroker® e PowerPassword® da Symark fornecem os serviços e mecanismos de segurança técnica para o atendimento à HIPAA.
5
A Symark Protege Ambientes UNIXAtendendo à HIPAA
Login para o host
Tarefas Admin
Aplicações Admin
Aplicações/comandos
Diretórios/Arquivos
Gerenciamento de Senhas
Autenticação Autorização
PowerPassword PowerBroker
6
PowerBroker & PowerPassword Fornecem o Atendimento à HIPAA para Ambientes
UNIX
Administradores UNIX podem restringir o acesso aos dados do paciente:» O PowerPassword fornece para cada UserID senhas de nível de segurança C2
(Departamento de Defesa) assegurando forte autenticação de usuário» O PowerPassword fornece para cada UserID os mais granulares controles de
acesso via login• Dia da semana, data, hora• Para hosts/servidores específicos• A partir de locais específicos (endereços IP, nomes de hosts)• Usando métodos específicos (rsh, rlogin, telnet, rexec)
» Uma vez que o usuário tenha acessado o sistema, o PowerBroker restringe tarefas UNIX executadas individualmente
• Tarefas que exigem privilégios root específicos• Tarefas que exigem outros privilégios de conta especiais (ex., oracle)• Tarefas que podem ser executadas apenas em hosts específicos e/ou em
determinados dias/horários• Tarefas onde não são permitidos acessos a diretórios e dados específicos
7
Tanto o PowerPassword como o PowerBroker asseguram a monitoração de usuários UNIX» O PowerBroker e o PowerPassword fornecem logs de auditoria detalhados
• Eventos de senha/login• Cada requisição, aceitação e rejeição de tarefas, incluindo input de
usuários (keystroke)
Pontos fracos da rede podem ser protegidos» O PowerPassword possibilita o travamento de contas, e notificação após
tentativas de login pré-definidas que tenham sido mal-sucedidas» O PowerPassword auxilia na identificação de contas orfãs, expiradas, e
contas temporárias» O PowerPassword pode confinar o acesso a partir de servidores de
aplicações com brechas de segurança reconhecidas
PowerBroker & PowerPassword Fornecem o Atendimento à HIPAA para Ambientes
UNIX
8
PowerBroker & PowerPassword Simplicam a Administração UNIX
Administração UNIX simplificada (maior eficiência)» O PowerBroker e o PowerPassword provêem gerenciamento
centralizado para autenticação e autorização UNIX
Suporta várias plataformas UNIX/Linux disponíveis• 13 fabricantes, + de 30 versões
Suporta e estende ambientes NIS, NIS+, e LDAP
9
PowerBroker & PowerPassword:Exemplos de Aplicações HIPAA
Cenário PowerPassword PowerBroker
Administrador HIPAA criando contas UNIX em sistemas com dados de pacientes
•Restringe o acesso root para hosts específicos caso o admin HIPAA não seja um sysadmin•Autenticação de senhas de nível C2 asseguram a autenticação de entidade para usuários tanto internos como externos
•Assinala privilégios para habilitar o admin HIPAA a criar e gerenciar contas em sistemas com dados de pacientes•Restringe o acesso admin apenas para tarefas específicas, ex.acesso a dados do paciente•Registra em Log todas as tarefas de criação de contas
Backup do Sistema •Restringe os admins para o login apenas nos hosts dos quais eles são responsáveis pelo backup
•Habilita apenas privilégios de backup, sem exigir acesso root ou super-usuário•Pode realizar o backup, mas não pode visualizar dados dos pacientes
Acesso administrativo a aplicações de Bancos de Dados e Faturamento
•Restringe o login para servidores de bancos de dados•Proteção de nível C2 para login/password administrativos
•Delega tarefas para oracle, sybase, etc. sem fornecer privilégios administrativos totais (ex., leitura, gravação, cópia, mover, alterar esquema de dados); ex. prevenir o dba de acessar inadvertidamente registros de pacientes
10
Cenário PowerPassword PowerBroker
Acesso a aplicações de terceiros (ex., exames, faturamento)
•Fornece controle de login específico por departamento, cargo, etc., apenas para servidores específicos conforme necessário•Registra em Log todos os eventos de login a hosts sensíveis
•Delega privilégios específicos conforme exigido sem acesso super-usuário ou capacidade de acessar dados dos pacientes (ex., atualização do software, ajuste de configurações)•Registra em Log todos os inputs de usuários e outputs do sistema
Auditoria HIPAA dos Acessos a Dados dos Pacientes
•Registra em Log todos os eventos de login e senha
•Registra em Log todas as requisições, aceitações e rejeições de tarefas UNIX, ao nível de input de usuário e output de sistema
PowerBroker & PowerPassword:Exemplos de Aplicações HIPAA
11
Background Symark
• Experts em Segurança UNIX/Linux.
• Fundada em 1985.
• Ampla base instalada de clientes multinacionais.
• Alianças Técnicas com: HP, IBM, Sun
• Filiada a LISA, SANS e CSI.