1 Soluções Symark e a HIPAA

2 Legislação HIPAA “Health Information Portability and Accountability Act” -Lei introduzida em Objetivos Primários: Garantir aos trabalhadores assistência na área de saúde Reduzir as fraudes e abusos na área de saúde Reforçar os padrões para segurança das informações Garantir a segurança e a privacidade das informações Prazo Final das Exigências de “Privacidade”: Abril 2003 Prazo Final das Exigências de “Segurança”: ainda em definição Estas exigências controlam a proteção dos dados dos pacientes de acessos não autorizados, assim como a disponibilização dos dados 24/7, se necessário. Impacto sobre fornecedores da área de saúde e terceiros, dentro da “cadeia de parcerias” que compartilha dados dos pacientes.

3 HIPAA Cinco Categorias Primárias Procedimentos Administrativos » Certificação, cadeia de acordos de parceria de confiança, plano de contingência, mecanismo formal para processar registros Proteção Física » Controles de Mídia, acesso físico, treinamento de conscientização da segurança Serviços de Segurança Técnica » Accesso, auditoria, controles de autorização; autenticação de dados & entitades Mecanismos de Segurança Técnica » Controles de Comunicação/Rede Assinatura Eletrônica (opcional) » Assinatura Digital

4 Soluções Symark e Visão Geral das Exigências da HIPAA Os produtos PowerBroker® e PowerPassword® da Symark fornecem os serviços e mecanismos de segurança técnica para o atendimento à HIPAA.

5 A Symark Protege Ambientes UNIX Atendendo à HIPAA Login para o host Tarefas Admin Aplicações Admin Aplicações/comandos Diretórios/Arquivos Gerenciamento de Senhas Autenticação Autorização PowerPasswordPowerBroker

6 PowerBroker & PowerPassword Fornecem o Atendimento à HIPAA para Ambientes UNIX Administradores UNIX podem restringir o acesso aos dados do paciente: » O PowerPassword fornece para cada UserID senhas de nível de segurança C2 (Departamento de Defesa) assegurando forte autenticação de usuário » O PowerPassword fornece para cada UserID os mais granulares controles de acesso via login Dia da semana, data, hora Para hosts/servidores específicos A partir de locais específicos (endereços IP, nomes de hosts) Usando métodos específicos (rsh, rlogin, telnet, rexec) » Uma vez que o usuário tenha acessado o sistema, o PowerBroker restringe tarefas UNIX executadas individualmente Tarefas que exigem privilégios root específicos Tarefas que exigem outros privilégios de conta especiais (ex., oracle) Tarefas que podem ser executadas apenas em hosts específicos e/ou em determinados dias/horários Tarefas onde não são permitidos acessos a diretórios e dados específicos

7 Tanto o PowerPassword como o PowerBroker asseguram a monitoração de usuários UNIX » O PowerBroker e o PowerPassword fornecem logs de auditoria detalhados Eventos de senha/login Cada requisição, aceitação e rejeição de tarefas, incluindo input de usuários (keystroke) Pontos fracos da rede podem ser protegidos » O PowerPassword possibilita o travamento de contas, e notificação após tentativas de login pré-definidas que tenham sido mal-sucedidas » O PowerPassword auxilia na identificação de contas orfãs, expiradas, e contas temporárias » O PowerPassword pode confinar o acesso a partir de servidores de aplicações com brechas de segurança reconhecidas PowerBroker & PowerPassword Fornecem o Atendimento à HIPAA para Ambientes UNIX

8 PowerBroker & PowerPassword Simplicam a Administração UNIX Administração UNIX simplificada (maior eficiência) » O PowerBroker e o PowerPassword provêem gerenciamento centralizado para autenticação e autorização UNIX Suporta várias plataformas UNIX/Linux disponíveis 13 fabricantes, + de 30 versões Suporta e estende ambientes NIS, NIS+, e LDAP

9 PowerBroker & PowerPassword: Exemplos de Aplicações HIPAA CenárioPowerPasswordPowerBroker Administrador HIPAA criando contas UNIX em sistemas com dados de pacientes Restringe o acesso root para hosts específicos caso o admin HIPAA não seja um sysadmin Autenticação de senhas de nível C2 asseguram a autenticação de entidade para usuários tanto internos como externos Assinala privilégios para habilitar o admin HIPAA a criar e gerenciar contas em sistemas com dados de pacientes Restringe o acesso admin apenas para tarefas específicas, ex.acesso a dados do paciente Registra em Log todas as tarefas de criação de contas Backup do SistemaRestringe os admins para o login apenas nos hosts dos quais eles são responsáveis pelo backup Habilita apenas privilégios de backup, sem exigir acesso root ou super-usuário Pode realizar o backup, mas não pode visualizar dados dos pacientes Acesso administrativo a aplicações de Bancos de Dados e Faturamento Restringe o login para servidores de bancos de dados Proteção de nível C2 para login/password administrativos Delega tarefas para oracle, sybase, etc. sem fornecer privilégios administrativos totais (ex., leitura, gravação, cópia, mover, alterar esquema de dados); ex. prevenir o dba de acessar inadvertidamente registros de pacientes

10 CenárioPowerPasswordPowerBroker Acesso a aplicações de terceiros (ex., exames, faturamento) Fornece controle de login específico por departamento, cargo, etc., apenas para servidores específicos conforme necessário Registra em Log todos os eventos de login a hosts sensíveis Delega privilégios específicos conforme exigido sem acesso super-usuário ou capacidade de acessar dados dos pacientes (ex., atualização do software, ajuste de configurações) Registra em Log todos os inputs de usuários e outputs do sistema Auditoria HIPAA dos Acessos a Dados dos Pacientes Registra em Log todos os eventos de login e senhaRegistra em Log todas as requisições, aceitações e rejeições de tarefas UNIX, ao nível de input de usuário e output de sistema PowerBroker & PowerPassword: Exemplos de Aplicações HIPAA

11 Background Symark Experts em Segurança UNIX/Linux. Fundada em Ampla base instalada de clientes multinacionais. Alianças Técnicas com: HP, IBM, Sun Filiada a LISA, SANS e CSI.