1

Soluções Symark e

a HIPAA

2

Legislação HIPAA“Health Information Portability and Accountability Act”- Lei introduzida em 1996- Objetivos Primários:

• Garantir aos trabalhadores assistência na área de saúde• Reduzir as fraudes e abusos na área de saúde• Reforçar os padrões para segurança das informações• Garantir a segurança e a privacidade das informações

Prazo Final das Exigências de “Privacidade”: Abril 2003Prazo Final das Exigências de “Segurança”: ainda em definiçãoEstas exigências controlam a proteção dos dados dos pacientes de

acessos não autorizados, assim como a disponibilização dos dados 24/7, se necessário.

Impacto sobre fornecedores da área de saúde e terceiros, dentro da “cadeia de parcerias” que compartilha dados dos pacientes.

3

HIPAA Cinco Categorias Primárias

Procedimentos Administrativos » Certificação, cadeia de acordos de parceria de confiança, plano de

contingência, mecanismo formal para processar registros

Proteção Física» Controles de Mídia, acesso físico, treinamento de conscientização

da segurança

Serviços de Segurança Técnica» Accesso, auditoria, controles de autorização; autenticação de

dados & entitades

Mecanismos de Segurança Técnica» Controles de Comunicação/Rede

Assinatura Eletrônica (opcional)» Assinatura Digital

4

Soluções Symark e Visão Geral das Exigências da HIPAA

Os produtos PowerBroker® e PowerPassword® da Symark fornecem os serviços e mecanismos de segurança técnica para o atendimento à HIPAA.

5

A Symark Protege Ambientes UNIXAtendendo à HIPAA

Login para o host

Tarefas Admin

Aplicações Admin

Aplicações/comandos

Diretórios/Arquivos

Gerenciamento de Senhas

Autenticação Autorização

PowerPassword PowerBroker

6

PowerBroker & PowerPassword Fornecem o Atendimento à HIPAA para Ambientes

UNIX

Administradores UNIX podem restringir o acesso aos dados do paciente:» O PowerPassword fornece para cada UserID senhas de nível de segurança C2

(Departamento de Defesa) assegurando forte autenticação de usuário» O PowerPassword fornece para cada UserID os mais granulares controles de

acesso via login• Dia da semana, data, hora• Para hosts/servidores específicos• A partir de locais específicos (endereços IP, nomes de hosts)• Usando métodos específicos (rsh, rlogin, telnet, rexec)

» Uma vez que o usuário tenha acessado o sistema, o PowerBroker restringe tarefas UNIX executadas individualmente

• Tarefas que exigem privilégios root específicos• Tarefas que exigem outros privilégios de conta especiais (ex., oracle)• Tarefas que podem ser executadas apenas em hosts específicos e/ou em

determinados dias/horários• Tarefas onde não são permitidos acessos a diretórios e dados específicos

7

Tanto o PowerPassword como o PowerBroker asseguram a monitoração de usuários UNIX» O PowerBroker e o PowerPassword fornecem logs de auditoria detalhados

• Eventos de senha/login• Cada requisição, aceitação e rejeição de tarefas, incluindo input de

usuários (keystroke)

Pontos fracos da rede podem ser protegidos» O PowerPassword possibilita o travamento de contas, e notificação após

tentativas de login pré-definidas que tenham sido mal-sucedidas» O PowerPassword auxilia na identificação de contas orfãs, expiradas, e

contas temporárias» O PowerPassword pode confinar o acesso a partir de servidores de

aplicações com brechas de segurança reconhecidas

PowerBroker & PowerPassword Fornecem o Atendimento à HIPAA para Ambientes

UNIX

8

PowerBroker & PowerPassword Simplicam a Administração UNIX

Administração UNIX simplificada (maior eficiência)» O PowerBroker e o PowerPassword provêem gerenciamento

centralizado para autenticação e autorização UNIX

Suporta várias plataformas UNIX/Linux disponíveis• 13 fabricantes, + de 30 versões

Suporta e estende ambientes NIS, NIS+, e LDAP

9

PowerBroker & PowerPassword:Exemplos de Aplicações HIPAA

Cenário PowerPassword PowerBroker

Administrador HIPAA criando contas UNIX em sistemas com dados de pacientes

•Restringe o acesso root para hosts específicos caso o admin HIPAA não seja um sysadmin•Autenticação de senhas de nível C2 asseguram a autenticação de entidade para usuários tanto internos como externos

•Assinala privilégios para habilitar o admin HIPAA a criar e gerenciar contas em sistemas com dados de pacientes•Restringe o acesso admin apenas para tarefas específicas, ex.acesso a dados do paciente•Registra em Log todas as tarefas de criação de contas

Backup do Sistema •Restringe os admins para o login apenas nos hosts dos quais eles são responsáveis pelo backup

•Habilita apenas privilégios de backup, sem exigir acesso root ou super-usuário•Pode realizar o backup, mas não pode visualizar dados dos pacientes

Acesso administrativo a aplicações de Bancos de Dados e Faturamento

•Restringe o login para servidores de bancos de dados•Proteção de nível C2 para login/password administrativos

•Delega tarefas para oracle, sybase, etc. sem fornecer privilégios administrativos totais (ex., leitura, gravação, cópia, mover, alterar esquema de dados); ex. prevenir o dba de acessar inadvertidamente registros de pacientes

10

Cenário PowerPassword PowerBroker

Acesso a aplicações de terceiros (ex., exames, faturamento)

•Fornece controle de login específico por departamento, cargo, etc., apenas para servidores específicos conforme necessário•Registra em Log todos os eventos de login a hosts sensíveis

•Delega privilégios específicos conforme exigido sem acesso super-usuário ou capacidade de acessar dados dos pacientes (ex., atualização do software, ajuste de configurações)•Registra em Log todos os inputs de usuários e outputs do sistema

Auditoria HIPAA dos Acessos a Dados dos Pacientes

•Registra em Log todos os eventos de login e senha

•Registra em Log todas as requisições, aceitações e rejeições de tarefas UNIX, ao nível de input de usuário e output de sistema

PowerBroker & PowerPassword:Exemplos de Aplicações HIPAA

11

Background Symark

• Experts em Segurança UNIX/Linux.

• Fundada em 1985.

• Ampla base instalada de clientes multinacionais.

• Alianças Técnicas com: HP, IBM, Sun

• Filiada a LISA, SANS e CSI.