HIPAA 준수 통신을위한 디지털 인증서

SSL.com의 디지털 인증서는 HIPAA 준수 이메일, 인증 및 웹 사이트에 대한 의료 기관의 계획에서 중요한 부분이 될 수 있습니다.

HIPAA 위반 및 처벌

1996 년에 처음 통과 된 미국 건강 보험 이동성 및 책임법 (HIPAA)은 환자의 전자 보호 건강 정보 (PHI 또는 ePHI라고도 함)의 보안 및 개인 정보를 보호합니다. HIPAA 준수는 미국 보건 복지부 (DHS)의 OCR (Office for Civil Rights)에서 시행합니다.

HIPAA에 따라 의료 서비스 제공자는 이동 중이거나 휴식 중일 때 PHI를 보호해야하며 데이터 위반에 대한 벌금이 상당 할 수 있습니다. 의사 연습 보고서 34.9 만 명의 미국인 (미국 인구의 약 10 %!)이 2019 년에보고 된 418 건의 HIPAA 위반으로 인해 PHI를 위반했습니다. 이러한 침해의 39 %는 이메일과 관련되었고 20 %는 네트워크 서버와 관련되었습니다.
 

2020년에는 법률 저널리스트인 스티브 알더(Steve Alder)가 보고서 HIPAA Journal에 따르면 의료 제공자와 의료 정보 교환소를 포함한 의료 기관에서 642건의 대규모 데이터 침해가 보고되었습니다. 이 통계는 이미 기록적인 해였던 25년에 비해 2019% 더 큰 것입니다. 

2020년에 비해 의료 데이터 유출은 2010년 이후 2014배, 25년 이후 78배 증가했습니다. 따라서 데이터 유출은 연간 2009% 증가했습니다. 전반적으로 2020년에서 XNUMX년 사이에 무려 XNUMX만 건의 의료 기록이 유출되었습니다. 

위반 당 $ 100 ~ $ 50,000의 벌금과 HIPAA 조항 위반에 대해 연간 최대 1.5 만 달러의 벌금이 부과되므로 의료 서비스 제공자는 고객의 PHI를 보호하는 데 소홀히 할 수 없습니다.
 

2020년 의료 데이터 유출의 주요 원인

  다섯 가지 주요 원인 2020년 의료 데이터 유출 건수는 확인: 해킹/IT사고(26.9만건의 기록유출), 무단접근/공개(787,015개의 기록이 침해되었습니다.), 도난(806,552개의 기록이 침해되었습니다.), 부적절한 폐기(584,980개의 기록이 침해되었습니다.) 및 손실(169,509개의 레코드 위반). 

분명히 사이버 보안 공격이 의료 데이터 도난의 가장 큰 원인이었습니다. 사이버 공격에는 너무나 흔한 피싱, 악성코드 전송, 취약점 악용, 랜섬웨어가 포함되었습니다.

2020년 후반기에 랜섬웨어의 발생률이 크게 증가했습니다. 체크포인트 신고 2020년 20월 랜섬웨어 공격자들이 가장 많이 겨냥한 산업은 의료 서비스였습니다. Ryuk 랜섬웨어 갱단은 그 달에 가장 악명 높은 조직 중 하나였습니다. 그들은 Sky Lakes Medical Center의 컴퓨터 시스템을 꺼내고 임상의들이 환자 정보를 문서화하기 위해 필적에 의존하도록 강요했습니다. 그들은 또한 최대 XNUMX개의 의료 시설이 피해를 입은 University of Vermont Health Network를 공격했습니다. 

또한 Ryuk은 미국에 400개의 병원이 있고 매년 수백만 명의 환자를 치료하는 UHS(Universal Health Services)에 대한 랜섬웨어 공격의 책임이 있다는 이론도 있습니다. UHS는 예상 앰뷸런스가 다른 병원으로 이송되면서 발생한 수익 손실, 청구 절차가 67개월 이상 지연된 경우, 시스템 수리를 위한 막대한 비용을 포함하여 2만 달러의 손해를 입었습니다.  

2020년 71월과 2020월 사이에 랜섬웨어 공격이 XNUMX%나 증가하는 것이 관찰되었습니다. XNUMX년 랜섬웨어 사례는 그 해 의료 기관을 대상으로 발생한 가장 해로운 사이버 공격으로 구성되었습니다. 이러한 많은 공격에서 시스템은 몇 주 동안 정전되어 결과적으로 환자 서비스에 심각한 영향을 미쳤습니다. 

정보 보호 및 인증을위한 디지털 인증서

HIPAA의 섹션 기술적 보호 환자의 PHI는 컴퓨터 네트워크를 통해 전송되거나 휴식 중일 때 의료 서비스 제공자가 보호해야 함을 분명히합니다. 관련 규정에는 다음이 포함됩니다 (이에 국한되지 않음).

164.312 (a) (2) (iv) : 암호화 및 암호 해독 (주소 지정 가능). 전자적으로 보호되는 건강 정보를 암호화하고 해독하는 메커니즘을 구현합니다.

164.312 (c) (1) : 표준 : 무결성. 부적절한 변경 또는 파괴로부터 보호되는 전자 건강 정보를 보호하기위한 정책 및 절차를 구현합니다.

164.312 (d) : 표준 : 개인 또는 엔티티 인증. 전자 보호 건강 정보에 대한 액세스를 원하는 개인 또는 단체가 청구 대상인지 확인하는 절차를 구현합니다.

164.312 (e) (1) : 표준 : 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기위한 기술적 보안 조치를 구현합니다.

HIPAA는 "미래에 대비"하기위한 것이기 때문에 PHI를 보호하기 위해 사용해야하는 정확한 기술을 설명하지 않습니다. 오늘날 SSL.com과 같이 공개적으로 신뢰할 수있는 인증 기관 (CA)에서 제공하는 디지털 인증서는 디지털 통신의 암호화, 인증 및 무결성을 보장하는 훌륭한 솔루션을 제공합니다.

여기에서는 HIPAA 준수 통신을위한 디지털 인증서의 세 가지 중요한 응용 프로그램을 다룰 것입니다. S/MIME 보안 이메일, 인증서 기반 클라이언트 인증 및 SSL /TLS 웹 사이트 및 웹 애플리케이션을 보호하기위한 인증서. 또한 SSL.com의 고급 인증서 관리 도구가 전체 조직에 대한 적용 범위를 계획 및 유지하고 인증서를 최신 상태로 유지하는 데 어떻게 도움이되는지 설명합니다.

맨 위로 이동

S/MIME HIPAA 규정 준수를위한 이메일 및 클라이언트 인증

이메일은 1970 년대 초부터 컴퓨터 네트워크를 통한 통신에 사용되었으며 기본적으로 안전하지 않습니다. 이메일은 일반 텍스트 프로토콜을 기반으로하며 메시지의 무결성을 보장 할 방법을 제공하지 않으며 강력한 인증을위한 메커니즘을 포함하지 않습니다. S/MIME (보안 / 다목적 인터넷 메일 확장) SSL.com의 인증서는 다음을 확인하여 이러한 문제를 해결할 수 있습니다. 암호화, 인증보전 조직의 이메일 :

  • 암호화 : S/MIME 강력한 종단 간 암호화를 제공하므로 전송 중에 메시지를 가로 채서 읽을 수 없습니다. 예를 들면 S/MIME 인터넷을 통해, 사무실이나 조직간에 그리고 회사 방화벽 외부에서 보낸 메시지를 보호 할 수 있습니다.
    • S/MIME 암호화는 비대칭 적입니다. 공개 및 개인 키. 받는 사람의 공개 키 암호화 된 메시지를 보낼 수 있지만 해당 메시지를 소유 한 사람 만 private key 해독하고 읽을 수 있습니다. 따라서 조직 내외부에서 공개 키를 배포하는 것이 안전하지만 개인 키는 안전하게 유지되어야합니다.
  • 입증: 각각의 S/MIME 이메일 메시지는 메시지를 보낸 이메일 주소 (및 선택적으로 개인 및 / 또는 조직)와 연결된 고유 한 개인 키로 서명됩니다. 보낸 사람의 ID가 SSL.com과 같은 신뢰할 수있는 타사 CA에 의해 확인되고이 비밀 키에 바인딩 되었기 때문에받는 사람은 보낸 사람의 실제 ID를 확신 할 수 있습니다.
  • 무결성 : 각 서명 S/MIME 이메일 메시지에 암호화 된 해시 (디지털“지문”또는 체크섬의 일종) 수신자의 이메일 소프트웨어에 의해 독립적으로 계산되고 확인 될 수있는 메시지 내용. 메시지가 어떤 식 으로든 가로 채서 변경되면 (한 문자라도) 계산 된 해시 값이 디지털 서명과 일치하지 않습니다. 이는 디지털 서명 된 이메일의 수신자가 메시지의 무결성을 확신 할 수 있음을 의미합니다.

또한 신뢰할 수있는 디지털 서명이 이메일의 신뢰성과 무결성을 보장하기 때문에 S/MIME 법적 제공 부인 방지 이메일 메시지 발신자가 정확한 메시지를 보냈다는 사실을 그럴듯하게 부인하기는 어렵습니다.

전송 중 및 저장중인 이메일에 대한 HIPAA 규정 준수

S/MIME SSL.com의 인증서는 전송 중이거나 저장중인 조직의 이메일에 대해 HIPAA 규정 준수를 제공 할 수 있습니다.

  • 운송 중 : 의 무결성과 진정성 S/MIME 이메일은 고유하고 신뢰할 수있는 디지털 서명으로 보장됩니다. 종단 간 암호화는 안전하지 않은 네트워크 (예 : 인터넷)를 통해 전송 될 때 제 XNUMX자가 메시지를 읽을 수 없도록합니다.
  • 휴식하는: S/MIME 암호화는 수신자의 개인 키를 소유 한 사람 만 공개 키로 암호화 된 메시지를 해독하고 읽을 수 있도록합니다. 데이터 유출로 도난 당하거나 다른 방식으로 손상된 암호화 된 이메일은 이러한 키에 액세스하지 않는 공격자에게 소용이 없습니다.

클라이언트 인증

All S/MIME SSL.com에서 발급 한 인증서에는 클라이언트 인증이 포함됩니다. 클라이언트 인증 인증서는 환자의 PHI가 처리되는 VPN 및 웹 애플리케이션과 같은 보호 된 네트워크 리소스에 대한 액세스를위한 인증 요소로 사용할 수 있습니다. 따라서, S/MIME SSL.com의 클라이언트 인증서는 다음을위한 통합 솔루션으로 직원에게 배포 될 수 있습니다.

  • 보호 된 건강 정보에 대한 액세스를위한 인증.
  • 전송 중 또는 저장중인 이메일의 암호화, 인증 및 무결성.
웹 애플리케이션에서 클라이언트 인증서를 사용하는 방법에 대한 자세한 내용은 SSL.com의 방법을 참조하세요. 웹 브라우저에서 클라이언트 인증 인증서 구성.

대부분 S/MIME 인증서 등록

사용 S/MIME HIPAA 규정 준수를 위한 인증서에는 PHI와 함께 일하는 모든 직원에게 인증서를 발급하고 시간이 지남에 따라 이러한 인증서를 관리하기 위한 계획이 필요합니다. 직원이오고 가고, 인증서가 만료되며, 인증서가 취소 된 개인 키 손상을 포함한 다양한 이유로.

의료 서비스 제공자는 쉽게 발행물 S/MIME 대량 인증서 SSL.com의 고급 고객 계정 포털. 이러한 인증서는 필요에 따라 관리, 갱신 및 취소 할 수 있습니다.

이메일 주소를 입력하십시오

많은 수의 인증서가 필요한 조직은 SSL.com에 참여하여 최대 65 %의 도매 할인 혜택을받을 수 있습니다. 리셀러 및 대량 구매 프로그램.

SSL /TLS 웹 사이트 보안 용

2021년에 모든 웹 사이트는 SSL /TLS 증명서 그리고 HTTPS 프로토콜, 그러나 HIPAA를 준수해야하는 웹 사이트 또는 웹 응용 프로그램의 경우 반드시 필요합니다. 처럼 S/MIME 이메일의 경우 SSL /TLS 프로토콜은 웹 사이트에 대한 암호화, 신뢰성 및 무결성을 제공합니다.

  • 올바르게 구성된 SSL /로 보호되는 웹 사이트 간의 모든 통신TLS 인증서와 웹 브라우저가 안전하게 암호화.
  •   정체 공개적으로 신뢰할 수있는 CA에서 서명 한 유효한 인증서를 제공하는 HTTPS 웹 사이트의 웹 브라우저는 웹 브라우저에서 수락하여 사용자에게 제공됩니다.
    • 에 따라 검증 수준 소유자가 선택한 웹 사이트의 SSL /TLS 인증서는 CA가 인증서 신청자에 의해 웹 사이트에 대한 제어를 확인했음을 단순히 나타낼 수 있거나 회사 또는 기타 조직과 같이 사이트를 운영하는 주체에 대한 자세한 정보를 포함 할 수 있습니다.
    • 최대한의 신뢰를 위해 의료 기관은 높은 보증 (OV) or 확장 유효성 검사 (EV) 사용자에게 신원 증명을 제공하는 인증서.
  • SSL /로 보호되는 HTTPS 웹 사이트의 문서 (예 : 웹 페이지)TLS 인증서에는 보전 문서를 신뢰하기 전에 브라우저에 의해 독립적으로 계산되는 디지털 서명에 포함 된 암호화 된 해시로 보장됩니다. 브라우저가 오류를 감지하고 사용자에게 경고하지 않고는 전송 중에 악의적 인 제 XNUMX자가 데이터를 가로 채거나 변경할 수 없습니다.
SSL /TLS 구성은 복잡한 주제이며 HTTPS 용 웹 사이트를 설정할 때 많은 잠재적 인 함정이 있습니다. SSL.com의 SSL / 안내TLS 모범 사례 더 많은 정보를 원하시면

만료 알림 및 자동화

모든 인증서에는 만료 날짜가 있으며 그 이후에는 클라이언트 소프트웨어에서 신뢰하지 않습니다. 공개적으로 신뢰할 수있는 SSL /TLS, 최대 인증서 수명은 현재 398 일 동안. 웹 사이트의 SSL /TLS 인증서가 만료되면 브라우저는 더 이상이를 신뢰하지 않습니다.

만료 된 인증서 오류 메시지

만료되는 인증서를 추적하고 업데이트를 유지하는 것은 어려울 수 있으며, 현재 인증서는 안전한 HIPAA 호환 웹 사이트를 유지하는 데 중요합니다. SSL.com은 인증서를 최신 상태로 유지하기위한 몇 가지 강력한 옵션을 제공합니다.

  • 만료 알림 : SSL.com은 구성 가능한 알림 인증서 갱신시기를 알려줍니다. 이는 인증서 수가 적은 조직이나 기술적 제약으로 인해 자동화가 불편하거나 불가능한 상황에서 훌륭한 옵션입니다.
    만료 알림
  • 스크립팅 및 자동화 : 조직은 SSL.com의 RESTful을 활용하여 사용자 지정 스크립트를 만들 수 있습니다. SW API 또는 업계 표준 ACME 프로토콜 SSL / 자동화TLS 인증서 갱신을 통해 미리 알림이 필요하지 않습니다. 조직에 유지 관리 할 서버와 인증서가 많은 경우 자동화는 특히 중요합니다.

SSL.com은 다양한 SSL /TLS 서버 인증서 다음을 포함한 HTTPS 웹 사이트의 경우 :

SSL / 비교TLS 증서

결론

이 게시물이 디지털 인증서가 HIPAA 규정 준수를위한 조직 계획의 일부가 될 수있는 방법과 SSL.com의 고급 관리 도구가 조직이 보호되고 최신 상태인지 확인하는 데 어떻게 도움이되는지 이해하는 데 도움이 되었기를 바랍니다.

특히 대량 발급을 위해 조직의 인증서 구매에 대해 질문이 있는 경우 S/MIME 인증서는 아래 양식을 통해 SSL.com의 엔터프라이즈 영업팀에 문의하십시오. 이메일을 통해 SSL.com 지원팀에 문의할 수도 있습니다. Support@SSL.com, 전화로 1-877-SSL-SECURE을 클릭하거나이 페이지의 오른쪽 하단에있는 채팅 링크를 클릭하세요.

항상 그렇듯이 SSL.com을 방문해 주셔서 감사합니다. 안전 인터넷은 인터넷!

SSL.com Enterprise Sales에 문의

SSL.com 지원팀

작성자-콘텐츠 관리자
모든 게시물

관련 블로그 게시물

모든 블로그 게시물보기
페이스북 링크드 인 트위터 유튜브 깃허브

SSL /이란?TLS?

비디오

SSL.com 뉴스 레터 구독

SSL.com의 새로운 기사와 업데이트를 놓치지 마세요.

우리는 귀하의 피드백을 환영합니다

설문조사에 참여하여 최근 구매에 대한 의견을 알려주세요.

설문 조사 받기