אז, אתם צריכים הסמכת אבטחת מידע עבור העסק שלכם?
הפעם אנו צוללים עמוק לתוך HIPAA ואל SOC 2.
לפני שנכנסים לדקויות, יש נושא אחד שצריך לטפל בו באופן מידי (ולאורך כל המאמר) – אם הארגון שלכם מסווג כישות מסווגת או שותף עסקי, אתם כפופים לכלל הפרטיות של HIPAA. זה אומר שיש מעט מרחב תמרון לקבלת החלטות. מדוע? ובכן, HIPAA COMPLIANCE הינו חוק פדרלי.
עם זאת, SOC 2, היא מסגרת ביטחונית וולונטרית. אבל זה לא אומר שאין יתרונות רבים ביישום כל אחד מהם או שניהם.
הנה מה שאתם צריכים לדעת במידה ותרצו להשוות בין השניים ולראות איזה מהם יועיל בצורה הטובה ביותר לארגון שלכם.
SOC 2 מול HIPAA: משחק בינגו
האם העסק שלך יכול לסמן וי שלוש פעמים ברציפות? למעשה, אם אחד מהמשפטים הבאים קשור לעסק שלכם, ייתכן שהגיע הזמן להבין מה אנחנו נותנים פה. הנה כמה שאלות כלליות (אך חשובות):
SOC 2 | HIPAA |
אתם ארגון שירות מבוסס ענן המאחסן או מעבד נתוני לקוחות רגישים. | הארגון שלכם מטפל במידע רפואי מוגן. |
אתם רוצים יתרון תחרותי מול שחקנים אחרים בשוק. | אתם ישות מכוסה או שותף עסקי ומטפל במידע רפואי מוגן. |
העסק שלכם ייהנה מסיכוני אבטחה מופחתים ומפיקוח אבטחה ברחבי הארגון. | אתם יכולים להפיק תועלת ממסגרת אבטחה שמשפרת את תרבות בטיחות המטופל / הלקוח ומניעת הפרות. |
אם אחד מהאמור לעיל חל על העסק שלכם, מזל טוב – הארגון שלכם צריך לחקור על SOC 2 או HIPAA COMPLIANCE. כדי להבין טוב יותר כל אחד מהם, הנה מבט מקרוב על SOC 2 וHIPAA- ומה המשמעות שלהם עבור העסק שלכם.
מזה SOC 2?
דוח SOC 2 כפוף לחמשת עקרונות הנאמנות של לשכת רואי החשבון האמריקאית ומטפל בבקרות אבטחת המידע של ארגון השירות. בקצרה, דוחות SOC 2 מוודאים שארגוני שירות לא רק מדברים אלא יש להם בקרות קונקרטיות, תהליכים, ומערכות המגנים על האופן שבו הם מאחסנים, מעבדים, ומשדרים נתוני לקוחות. תלוי איזה מהחמש עקרונות שירותי הנאמנות מתייחסת לארגון שלכם, דוח SOC 2יעריך את סביבת הבקרה הפנימית והמדיניות של החברה.
חמשת עקרונות שירותי הנאמנות הם אבטחה (קריטריון נפוץ) זמינות, סודיות, עיבוד, שלמות, ופרטיות. מתוך חמשת העקרונות הללו, עקרון שירותי הנאמנות הביטחוני הוא חובה.
אם כבר מדברים על חובה, בואו נסתכל על HIPAA.
מה זה HIPAA?
על מנת להבין את HIPPA, אתם חייבים להכיר קצת דבר קטן (לא כל כך קטן) שנקרא מידע רפואי מוגן (PHI. (PHI כולל כל מידע המאפשר זיהוי אישי הקשור לריפוי של אדם. זה כולל מידע בעבר, בהווה ובעתיד על שירותי בריאות או תשלום.
אם השם לא הסגיר אותו אז נאמר את המובן מאליו – מידע רפואי מוגן הוא מוגן. אבל לא רק על ידי כל ארגון, אלא על פי החוק הפדרלי. משמעות הדבר היא שאם ארגון כלשהו מטפל ב-PHI פיזית או אלקטרונית, הם כפופים לכלל הפרטיות. אם אתם כפופים לכלל הפרטיות, ,HIPAA compliance נדרשת על פי חוק, ובלעדיו, אתם צפויים לקנסות די כבדים (ואישומים פליליים אפשריים).
מי צריך compliance HIPAA?
כלל הפרטיות מכתיב אילו ארגונים מחויבים על פי חוק לHIPAA. ארגונים אלה מתחלקים לשתי קטגוריות: ישויות מכוסות (CE) ושותפים עסקיים (BA) טעות נפוצה היא שתאימות HIPAA חלה רק על אלה שנמצאים בתוך תעשיית הבריאות. עם זאת, זה רחוק מהאמת. אם העסק שלכם מסווג כתווית CE או BA, זה אתם.
אבל עבור קומפליינס קריטי שכזה, יש הרבה יותר מדי שטח אפור לגבי מי מסווג כCE ומי לא. לכן יישבנו את העובדות ואיתרנו מי צריך להיות compliant HIPAA?
מי צריך compliance SOC 2?
באופן כללי, SOC 2 מושך עסקים עם מוצרים מבוססי – ענן שרוצים לקבע מדיניות ובקרות איתנות של Infosec . זאת בעיקר בשל העובדה כי זה או מתבקש על ידי לקוחות פוטנציאליים או לתת להם יתרון תחרותי. עם זאת, המציאות היא שעסקים כבר לא יכולים להרשות לעצמם להיות בהגנה כשמדובר באבטחת נתוני לקוחות.SOC 2 מאפשר לארגונים לבסס תרבות אבטחה ולזהות ולצמצם טוב יותר איומי אבטחה.
העקרונות המנחים: 5 עקרונות האמון מול כללי HIPAA
SOC 2 מונחה על ידי חמשת עקרונות האמון שפותחו על ידי המוסד האמריקאי לרואי חשבון (AICPA) ומכסה את הקטגוריות הבאות: זמינות, אבטחה, שלמות העיבוד, סודיות, ופרטיות. הנה סקירה מהירה של מה שאתם צריכים לדעת
1. אבטחה | עיקרון זה מכסה את InfoSec וכיצד להגן על נתונים באמצעות בקרות אבטחה. |
2. זמינות | עקרון הזמינות בודק עד כמה הפלטפורמה שלך אמינה, כולל שירות לקוחות וזמן פעולה. |
3. שלמות העיבוד | זה קובע את הדיוק של מערכות העיבוד של פלטפורמה ואת מרווח השגיאות. |
4. סודיות | עקרון הסודיות בודק את מידת היעילות של בקרות הגישה והאם הנתונים מוגבלים לאנשים מורשים בלבד. |
5. פרטיות | עיקרון זה מנחה את התהליך שבו ארגונים משיגים, מאחסנים, ומעבירים את הנתונים הרגישים. |
מתוך חמשת העקרונות הללו, עסקים יכולים לבחור אילו עקרונות רלוונטיים לעסק שלהם לפני הביקורת. זה מאפשר לעסקים להתאים את הSOC 2 שלהם ולהתמקד בצרכים עסקיים ספציפיים. עם זאת, מתוך חמשת העקרונות יש "קריטריונים משותפים" שכל העסקים חייבים לדבוק בהם על מנת להיות צייתנים לSOC 2 וזה נופל תחת "עקרון הביטחון".
מצד שני, מונחה על ידי ארבעה כללי ליבה שכולם עובדים יחד הן למען תאימות רגולטורית והן למען אבטחת נתונים בתחום הבריאות.ארבעת הכללים הללו אינם גמישים
או אופציונליים ומיושמים על מנת להגן טוב יותר על הPHI. להלן סקירה מהירה של ארבעת כללי HIPAA:
כלל הפרטיות | כלל הפרטיות מציע הנחיות מחמירות ודוגמה מובהקת כיצד להגן על הPHI. הוא גם מבחין מי צריך להיות תואם ומי לא. |
כלל האבטחה | כלל האבטחה קובע דרישות ובקרות מוגדרות שארגון חייב ליישם על מנת לעמוד ביעדים שנקבעו על ידי כלל הפרטיות. זה גם עוסק באופן ספציפי עםכל ה e-PHI שהוא PHI בצורה דיגיטלית. |
כלל ההודעה על הפרה | כלל זה קובע תהליך חובה שארגונים חייבים לבצע במקרה של הפרה או הפרת נתונים. |
כלל האומניבוס | כלל האומניבוס הוא נספח שמכתיב את מידת הכיסוי של גופים ושותפים עסקיים הצריכים להקים הסכם שותפים עסקיים (BAA). BAA מבטיח כי כל הצדדים המעורבים מודעים לאחריותם ולתפקידם בתאימות HIPPA. |
זהה את ההבדל של SOC 2 לעומת HIPAA
למרות ש-SOC 2 ו-HIPAA חולקים דרישות ובקרות דומות ההבדלים הם עצומים, במיוחד כאשר לוקחים בחשבון את הגמישות של SOC 2 הנה כמה הבדלים מרכזיים בין השניים כדי להבין טוב יותר את מטרתם.
1. פרצות והפרות נתונים
HIPAA: במקרה של פרצת נתונים, כלל ההודעה על פרצת HIPAA קובע שלבים מחייבים אשר ישויות מכוסות ושותפים עסקיים חייבים לעקוב. זה כולל הודעה לכל האנשים שהושפעו מהפרצה של הPHI. במקרה של פרצות חמורות יותר (500 אנשים או יותר) ארגונים מחויבים על פי חוק למסור הודעה לתקשורת בתוך 60 יום. גופים מכוסים חייבים גם להודיע על כך למזכיר.
SOC 2: SOC 2 אינו דורש כללים מחייבים כשמדובר בהודעה על פרצה, למרות שיש כמה המלצות באמצעות הנחיות והכשרות יעילות למודעות אבטחה.
2. המטרה
HIPAA:
HIPAA מסדיר באופן ספציפי כיצד ישויות מכוסות ושותפים עסקיים משיגים, מטפלים, מאחסנים, ומעבירים PHI. מטרתו העיקרית היא להגן על הPHI.
SOC 2:
SOC 2 הוא התנדבותי וגמיש יותר מאשר HIPAA והוא תהליך ביקורת המאפשר לארגונים לבדוק את המדיניות, המערכות, והבקרות של החברה שלהם על מנת להבטיח שהיא מאחסנת נתוני לקוח באופן מאובטח.
3. התהליך
HIPAA: או שאתם מצייתים לחוק או שלא. משמעות הדבר היא כי אתם לא יכולים להיות "מוסמכי" HIPPA. למרות שהמשרד לזכויות האזרח (OCR) יספק תמיכה שגרתית לנושאים חדשים המשפיעים על הבריאות. הOCR אחראי גם על חקירת הפרות ואכיפת תקנות. אבל עדיין, מה התהליך ואיך עסקים יכולים להבטיח שהם לא מורדים בשוגג ללא סיבה להבטחת HIPAA compliance.
SOC 2: התהליך של SOC 2 compliance הוא קצת יותר גמיש ועסקים יכולים לעבור ביקורת שנתית על בסיס הTSP הרלוונטי. היתרון המשמעותי ביותר של SOC 2 הוא שהביקורת תהיה ייחודית לארגון שלכם ולדרישות האבטחה הספציפיות שלו.
נקודת מפגש בין SOC 2 לHIPAA
אם אתם מוצר מבוסס ענן שבמקרה מתמודדים גם עם PHI, חשוב להתייחס לחפיפה בין SOC 2 וHIPAA. אישור SOC 2 יבטיח שלארגון שלכם יש את בקרות האבטחה הדרושות ומדיניות להגנה על נתונים יחד עם כל אחד מחמשת עקרונות הTSP הרלוונטיים.
עם זאת, SOC 2 אינו יכול להחליף HIPPA. למה? יכול להיות שכבר ניחשתם את זה – HIPAA נדרשת על פי חוק עבור אלה הכפופים לכלל הפרטיות. עם זאת, היקף HIPAA עדיין כולל כללים ודרישות (שונות) נוספים אחרים. למרות שSOC 2 עשוי לחפוף עם כמה מהדרישות של HIPPA, זה עדיין לא יסמן את כל התיבות שביקש משרד הבריאות ושירותי האנושות (HHS).
היתרונות של HIPAA וSOC 2
עבור ארגונים רבים, חשיבותן של בקרות האבטחה מודגשת רק לאחר שהנזק נעשה. בנוסף לכך שהעסק שלכם נוקט בגישה פרואקטיבית לתאימות אבטחה, להלן כמה יתרונות מרכזיים המשותפים לSOC 2 ול HIPAA.
זה פרואקטיבי וחסכוני
גם הפרות HIPAA וגם הפרות מידע מובילות להפסדים משמעותיים לכספים ולמוניטין של העסק. על ידי HIPAA compliance, עסקים יכולים להפחית את העונשים ואת האפשרות של תביעות. לשם השוואה, SOC 2 compliance מסייעת לצמצם הפסדים כספיים והפסדי מוניטין על-ידי הבטחה שאין פערי אבטחה בתוך התהליכים והנהלים הפנימיים.
זה מגביר את אמון הלקוחות
בואו נהיה אמיתיים: אף לקוח לא ירגיש בנוח להיכנס לעסקים עם מישהו שהוא לא סומך עליה. HIPAA ו- SOC 2 מוכיחה שהארגון שלכם מיודע ומעודכן על פרוטוקולי האבטחה, המדיניות והבקרות הדרושים. זה מגדיל את אמון הלקוח/המטופל ומבסס כוח עבודה אמין עם אבטחה מוטמעת בDNA שלו.
זה מוסיף יתרון תחרותי
גם HIPAA וגם SOC 2 הם עמודי תווך מונומנטליים של מותג אבטחה מודע. ככל שהפרצות והפרות נתונים הופכות לתכופות יותר וההגנה על מידע קריטי יותר, סביר להניח שלקוחות לא יסתפקו בפחות מאבטחה יוצאת דופן.
מיפוי SOC 2 לHIPPA
באופן טבעי, אם אתם בדרך ליעד שלכם ואתם חולפים על פני ציוני דרך חשובים לאורך הדרך, הגיוני לתפוס את ההזדמנות ולהרוג שתי ציפורים במכה אחת. אותו העיקרון חל על מיפוי SOC 2. התמודדות בו זמנית עם הדרישות של HIPAA וSOC 2 יכולות לחסוך לארגון שלכם זמן, כסף והקצאת משאבים. מיפוי SOC 2 של AICPA מכיר בחפיפה בין מסגרות אבטחה ומדגיש בקרות ומדיניות דומות שעשויות להפיק תועלת מריבוי מסגרות תאימות. הדבר מבטיח גישה יעילה ואפקטיבית לתאימות.
איך משיגים SOC 2 וHIPAA מהר ובלי כאב הראש?
בסופו של דבר, בין אם אתם זקוקים לHIPAA או SOC 2, אין פתרון מהיר. אבל זה לא אומר שזו חייבת להיות משימה מפרכת. תשיגו SOC 2 וHIPAA הרבה יותר מהר בעזרת טכנולוגיה ומומחי קומפליאנס שחוסחים לחברות מאות שעות עבודה ידנית (איסוף צילומי מסך ולמשל) ופשוט עושים את העבודה הקשה במקומך.