Market Ovrvw HIPAA/German
Transcrição
Market Ovrvw HIPAA/German
Glob@ @lCerts Marktübersicht: Briefing für IT-Sicherheitspersonal in der Gesundheitsfürsorge HIPAA: Standards für Datenschutz und elektronische Transaktionen Einführung: Bei den Anforderungen des HIPAA (Healthcare Insurance Portability Accountability Act von 1996) handelt es sich um eine umfassende Reihe von Verpflichtungen, die alle Aspekte von der manuellen Handhabung von Formularen bis hin zu InternetSicherheitsanforderungen abdecken. Es gibt kein einzelnes Produkt und keine Universallösung, die allen Anforderungen gerecht wird — aber je weniger Benutzerschulungsaufwand und Gemeinkosten eine Lösung erfordert, desto leichter lässt sich Konformität erreichen und aufrechterhalten. Die GlobalCertsTM Lösung ermöglicht dem Nutzer die transparente, sichere Übermittlung von E-Mails und Anhängen zur Erfüllung der Verschlüsselungsanforderungen, die der HIPAA für PHI (Protected Healthcare Information – Geschützte Patienteninformationen) stellt. Unsere Lösung für die Gewährleistung sicherer E-Mail bietet Ihrer Organisation die Möglichkeit, eine kostengünstige, wartungsfreundliche, auf Standards beruhende Lösung einzuführen. Schutz: “…das sichere Mitteilungssystem muss eine High-end-Verschlüsselung ermöglichen, die gewährleistet, dass Dokumente weder während der Übermittlung, noch, während sie in einem Server gespeichert sind, frei zugänglich sind...” Schutz: “…das sichere Mitteilungssystem muss eine High-endVerschlüsselung ermöglichen, die gewährleistet, dass Dokumente weder während der Übermittlung, noch, während sie in einem Server gespeichert sind, frei zugänglich sind...” Der SecureMail GatewayTM (SMG) schützt Ihre Dokumente mit High-end-Verschlüsselung. Er unterstützt S/MIMEv3.1 Verschlüsselung, die auf die folgenden, branchenweit akzeptierten, StandardVerschlüsselungsalgorithmen setzt: • • • Asynchron: RSA, DSA, DH Symmetrisch: Blowfish, Twofish, CAST, 3DES, DES, IDEA, RC2, RC4, RC5 Hashing: HMAC, MD2, MD4, MD5, MDC2, RIPEMD, SHA Der SecureMail GatewayTM verschlüsselt abgehende E-Mails und Anhänge und entschlüsselt eintreffende E-Mails und Anhänge unter Verwendung öffentlicher und privater Schlüssel. Diese kryptographischen Schlüssel entsprechen dem Digitalzertifikat-Verschlüsselungsstandard X.509v3.0. Empfänger können entweder die S/MIME Authentisierung auf Zertifikatbasis oder eine sichere Passwort-Authentisierung auf WebBasis – wenn sie nicht über ein digitales Zertifikat auf ihrem Desktop verfügen - verwenden. Beachten Sie, dass alle Schlüssel und SecureMessengerTM Mitteilungen (Mitteilungen, die an andere als S/MIME Empfänger versandt werden) permanent sicher im verschlüsselten 3DES (Triple DES) Format im SecureMail GatewayTM gespeichert werden. Alle Ver- und Entschlüsselungsoperationen sind für den Anwender transparent. Angesichts immer kürzerer Transaktionszeiten und schmaler Gewinnspannen in der Kreditbereitstellungsbranche ist es für Kreditgeber wesentlich, Strategien zu entwickeln, um ihre Umschlagzeiten zu reduzieren und ihre Betriebskosten zu senken. Identifizierung: “… eine akzeptable Methode, die (bestehenden oder bevorstehenden) behördlichen Auflagen gerecht wird und gewährleistet, dass Absender und Empfänger einander kennen...” Identifizierung: “…eine akzeptable Methode, die (bestehenden oder bevorstehenden) behördlichen Auflagen gerecht wird und gewährleistet, dass Absender und Empfänger einander kennen...” Der SecureMail GatewayTM ermöglicht eine HIPAA-konforme Authentisierung von Absender und Empfänger. Bei der Authentisierung des Absenders werden existierende Netzwerk- und Mail-SystemBerechtigungsnachweise und Authentisierungsmethoden angewandt; der SMG verwendet ein Implicit-Trust-Modell, um für Ihre internen Nutzer abgehende E-Mails zu verschlüsseln und eintreffende E-Mails zu entschlüsseln. Bei der Empfänger-Authentisierung wird einer der folgenden Mechanismen eingesetzt: • Externe registrierte Empfänger (Inhaber von X.509 Zertifikaten) authentisieren sich mit ihrem bestehenden (lokal gespeicherten) X.509 Zertifikat; • • Externe nicht registrierte Nutzer (die kein X.509 Zertifikat besitzen) authentisieren sich mit der sicheren Mitteilung — die verschlüsselt auf Ihrem SMG gespeichert und über eine sichere Web-Verbindung abgerufen wird Passphrases können von Ihrem Administrator oder Ihren Nutzern festgelegt und Empfängern entweder über eine simple Frage/Hinweis- oder mittels einer protokollfremden Methode (Post, Fax, Telefon) übermittelt werden. Ein wichtiger Aspekt ist, dass SecureMessengerTM dem Absender einer E-Mail die Möglichkeit bietet, eine Passphrase zu wählen, um einen anonymen (nicht registrierten) Empfänger zwecks Abrufen von Mitteilungen zu authentisieren. Dieser Passphrase-Auswahlprozess erfolgt, wenn Ihr Absender die Time-to-live- und Bestätigung-SendenEinstellungen der Mitteilung wählt, sowie die Option, die Einstellungen des anonymen Empfängers für die zukünftige Kommunikation zu speichern. Mitteilungs-Authentisierung: “…Verifizierung, dass die versandte Mitteilung, sowie eventuelle Anhänge, mit der eingegangenen Mitteilung identisch ist (Verkapselung von Mitteilung und Anhang)…” Benutzerfreundlich: “… das System muss sich in unser bestehendes E-MailSystem integrieren lassen und echte Benutzertransparenz bieten – im Idealfall sollte es sensible Mitteilungen identifizieren und automatisch verschlüsseln...” Mitteilungs-Authentisierung: “…Verifizierung, dass die versandte Mitteilung, sowie eventuelle Anhänge, mit der eingegangenen Mitteilung identisch ist (Verkapselung von Mitteilung und Anhang)…” Der SecureMail GatewayTM unterstützt durch die Verwendung digitaler Signaturen ein hohes Maß an Integrität der Mitteilung. Eine digitale Signatur erfolgt bei jeder abgehenden, verschlüsselten E-Mail (sowohl an registrierte, als auch an anonyme Nutzer). Bei diesen Signaturen wird der private Schlüssel des Absenders verwendet, um eine kryptographische Prüfsumme des Mitteilungsinhalts anzulegen, die nur mittels des entsprechenden öffentlichen Schlüssels des Absenders überprüft werden kann. Dieser Prozess der Validierung der Signatur wird automatisch bei allen S/MIME Standard-Client-Anwendungen und über den Mitteilungs-Zustellmechanismus des SecureMessengerTM durchgeführt. Benutzerfreundlich: “…das System muss sich in unser bestehendes E-Mail-System integrieren lassen und echte Benutzertransparenz bieten – im Idealfall sollte es sensible Mitteilungen identifizieren und automatisch verschlüsseln...” Die SecureMail GatewayTM Komponente lässt sich nahtlos in das bestehende E-Mail-System einer Organisation integrieren, unabhängig davon, ob es sich dabei um Microsoft Exchange, IBM Lotus/Domino, Novell GroupWise oder um ein UNIX-basiertes System handelt. Der SecureMail GatewayTM unterstützt dank seiner Secure-ContentKonfiguration nahtlose Mitteilungsidentifizierung, Flagging und die automatische Verschlüsselung sensibler Mitteilungen (einschließlich solcher, die PHI-Daten enthalten). Weitere Informationen über diese Konfiguration erhalten Sie von GlobalCertsTM. Der SecureMail GatewayTM bietet eine anwenderfreundliche “point-andtype” Methode für die Zuordnung von Mitteilungen auf der Grundlage individueller Mitteilungen, wobei der Benutzer die Möglichkeit hat, Mitteilungen zu verschlüsseln, die nicht unbedingt bestimmte PHIInformationen enthalten müssen, jedoch vertrauliche PHI-Daten enthalten könnten. Ihre Organisation kann festlegen, welche Schlüsselwörter für diese Zuordnung sicherer Mitteilungen verwendet werden sollen. Um diese Funktion nutzen zu können, muss keinerlei Desktop-Software installiert werden und die Systemadministratoren müssen keine Client-DesktopAnwendungen pflegen. Erweiterbarkeit der Business-Lösung: “…die Lösung muss sich in unsere bestehenden Unternehmenspraktiken integrieren lassen und die Möglichkeit bieten, zukünftige Netzwerk- und User-Erweiterungen zu unterstützen...” Universeller Zugang: “… das System muss unseren Geschäftspartnern — sowie unseren Patienten — eine problemlose Kommunikationsmethode bieten, ohne dass ein Empfänger eine spezielle Software benötigt. Die Empfänger müssen in der Lage sein, Mitteilungen auf die gleiche, sichere Weise zu beantworten…” Erweiterbarkeit der Business-Lösung: “…die Lösung muss sich in unsere bestehenden Unternehmenspraktiken integrieren lassen und die Möglichkeit bieten, zukünftige Netzwerk- und User-Erweiterungen zu unterstützen...” Der SecureMail GatewayTM ist mit allen auf Standards beruhenden Content Filtering, Archivierungs-, Antiviren-, Anti-Spam- und E-MailÜberwachungs- und –Managementdiensten kompatibel. Der SMG lässt sich problemlos in einen bestehenden externen SMTP Message-RelayAgent integrieren. Jeder derzeit von Ihren Systemadministratoren verwaltete SMTP Message-Relay-Agent kann verwendet werden, es sei denn, GlobalCertsTM wird direkt mit Gerätemanagement, Überwachung und Aufsicht beauftragt. Im Durchschnitt nehmen Installation, Konfiguration und Einrichtung des SecureMail GatewayTM beim Kunden etwa 90 Minuten in Anspruch. Die Administratorschulung ist Teil des Grundeinrichtungspakets. Mit genauen und vollständigen Informationen Ihrer Systemadministratoren zur Vorbereitung der Installation lassen sich die Installationszeiten beträchtlich verringern. Universeller Zugang: “…das System muss unseren Geschäftspartnern — sowie unseren Patienten — eine problemlose Kommunikationsmethode bieten, ohne dass ein Empfänger eine spezielle Software benötigt. Die Empfänger müssen in der Lage sein, Mitteilungen auf die gleiche, sichere Weise zu beantworten…” Der SecureMail GatewayTM unterstützt mit der SecureMessengerTM Funktion die Verschlüsselung von E-Mails an jeden Empfänger im Internet, sogar wenn er nicht über ein X.509 Zertifikat verfügt. Er bietet diesen Empfängern die Möglichkeit, Mitteilungen auf die gleiche sichere Weise zu beantworten und auch Anhänge zu versenden. SecureMessengerTM verwenden eine nahtlose E-Mail-/Web-Schnittstelle, um sichere Mitteilungen mit externen Nutzern auszutauschen, die an ihrem Ende des Kommunikationsweges nicht über ein sicheres E-MailSystem oder ein digitales Zertifikat verfügen. Der SecureMail GatewayTM arbeitet auch mit X.509 Zertifikaten, die nicht aus dem Firmennetzwerk der Organisation stammen. Bei der gesamten E-Mail-Kommunikation zwischen Ihrer Organisation und externen Nutzern wird, sofern möglich, eine standardkonforme S/MIMEv3.1 Kryptographie eingesetzt. Alle externen registrierten Nutzer mit einem standardkonformen X.509 Zertifikat können nahtlos mit Ihren internen Nutzern kommunizieren. Die Möglichkeit, E-Mail-Empfänger, die über existierende X.509 Zertifikate verfügen, zu registrieren, wird vom SecureMail GatewayTM in vollem Umfang unterstützt. Der SecureMail GatewayTM lässt sich problemlos managen und warten. Er erfordert eine minimale Administration von X.509 Zertifikaten. Der SMG zwingt Administratoren nicht, Zertifikatmanagement-Aktivitäten durchzuführen. Es fallen keinerlei Gemeinkosten für das Zertifikatmanagement an, es gibt keine komplexen Prozesse für die Ausstellung von Zertifikaten, keine manuellen ZertifikatAustauschprozesse und keine schwergewichtigen Benutzerregistrierungsverfahren. Bereit für das Web: “…Nutzer müssen in der Lage sein, ihre E-Mails auf ihrem Web-Gerät oder ihrem Internet-Handy zu lesen und zu beantworten, ohne Zertifikate oder Schlüssel erwerben oder austauschen zu müssen...” Support: “…unsere Organisation erwartet hervorragenden Kundenund technischen Support…” Bereit für das Web: “…Nutzer müssen in der Lage sein, ihre E-Mails auf ihrem Web-Gerät oder ihrem Internet-Handy zu lesen und zu beantworten, ohne Zertifikate oder Schlüssel erwerben oder austauschen zu müssen...” Mit dem SecureMail GatewayTM können Nutzer ihre E-Mail auf jedem sicheren Standard-Web-Gerät und auf jedem sicheren internetfähigen Standard-Mobiltelefon lesen. Sie sind in der Lage, so problemlos zu antworten, als säßen sie an ihrem eigenen PC. Zukünftige HIPAA Unterstützung: “…wir müssen in der Lage sein, Änderungen zu berücksichtigen, die eventuell erforderlich sind, um den Regelungen gerecht zu werden, denen HIPAA unterliegt….” GlobalCertsTM beobachtet alle Vorschriftenänderungen, die vom USGesundheitsministerium erwogen oder durchgeführt werden, sehr genau. Der SecureMail GatewayTM lässt sich auf alle Änderungen einstellen, die erforderlich sein könnten, um eine weitere Konformität mit dem Health Insurance Portability and Accountability Act von 1996 (HIPAA) und seinen Sicherheitsvorschriften zu gewährleisten, seien es solche, die derzeit vorgeschlagen und umgesetzt werden oder solche, die für die Zukunft geplant sind. Support: “…unsere Organisation erwartet hervorragenden Kundenund technischen Support…” Support: “…unsere Organisation erwartet hervorragenden Kundenund technischen Support…” Der Erfolg unserer Kunden ist unsere wichtigste Mission. Technische Unterstützung ist von 9.00 bis 16.00 Uhr EST sofort verfügbar. Außerhalb der normalen Geschäftszeiten und an Wochenenden werden die GlobalCertsTM Techniker vom GlobalCertsTM Callcenter informiert. Im Anschluss an die Benachrichtigung wenden die GlobalCertsTM Techniker sich an Sie, prüfen die Schwere des technischen Problems und legen die geeigneten Maßnahmen fest. Fragen werden nicht gestellt. Tun Sie den ersten Schritt in Richtung nahtloser, sicherer E-Mail Der SecureMail GatewayTM macht den Versand sicherer Mitteilungen an jedermann, an jedem Ort einfach. Zehntausende Benutzer schützen täglich ihre E-Mail mit der in der Praxis bewährten GlobalCertsTM Lösung. Wenden Sie sich an uns, um zu erfahren, weshalb der SecureMail GatewayTM sich im Gesundheitswesen rasch zum Standard für sichere E-Mail-Übermittlung entwickelt, und lassen Sie uns Ihrer Organisation helfen, Gesetzeskonformität zu erreichen. Einfach Die Zukunft sichern http://www.globalcerts.net