Ipinaliwanag ang IT compliance: HIPAA, PCI, SOC 2

Ang compliance ay ang pagtupad sa isang hanay ng mga patakaran, inaasahang pamantayan sa seguridad, o mga kinakailangan sa dokumentasyon. Para sa maraming maliliit na negosyo, nagsisimula ito kapag humahawak ka ng ilang uri ng data, tumatanggap ka ng mga pagbabayad sa card, nagtatrabaho ka sa healthcare, o nagbebenta ka sa mas malalaking kumpanya na nagtatanong ng seguridad bago sila pumirma ng kontrata.

Hindi pare-pareho ang HIPAA, PCI, at SOC 2. Ang HIPAA ay batas sa US para sa protected health information. Ang PCI ay pamantayan ng industriya ng payment card para sa mga negosyong nagpoproseso, nag-iimbak, o nagpapadala ng cardholder data. Ang SOC 2 ay framework ng pag-uulat na ginagamit ng maraming kumpanya para ipakita sa mga customer na may mga security controls silang naka-set.

Ang mahalagang bahagi nito ay ito. Ang compliance ay hindi lang pagbili ng tool. Karaniwan itong may kasamang mga patakaran, seguridad ng devices, access controls, backups, pagsasanay ng staff, pag-iingat ng rekord, at tuloy-tuloy na pagre-review. Hindi rin ibig sabihin nito ay perpektong kaligtasan. Walang tapat na provider ang nangangakong zero downtime o network na hindi mababaon ang seguridad.

Ang HIPAA ay nangangahulugang Health Insurance Portability and Accountability Act. Kung ang negosyo mo ay humahawak ng protected health information, maaaring saklaw ka ng HIPAA. Maaari itong kabilang ang ilang clinics, mga billing company, mga kumpanyang nagbibigay ng serbisyong medikal, at mga vendor na nagtatrabaho sa mga organisasyong pangkalusugan. Ang HIPAA ay tungkol sa privacy, seguridad, at kung paano ginagamit, iniimbak, at ibinabahagi ang impormasyon sa kalusugan. Nag-iiba-iba ang mga kinakailangan batay sa papel mo at sa uri ng data na nahahawakan mo.

Karaniwan, ang PCI ay tumutukoy sa PCI DSS, na nangangahulugang Payment Card Industry Data Security Standard. Kung tumatanggap ka ng credit o debit cards, maaaring mahalaga sa iyo ang PCI kahit na maliit lang ang negosyo mo. Ang eksaktong mga kinakailangan ay nakadepende sa kung paano ka tumatanggap ng bayad. Ang negosyong gumagamit ng secure payment terminal o hosted checkout page ay maaaring magkaroon ng mas simpleng daan kaysa sa negosyong nag-iimbak ng card data o nagpapatakbo ng custom na payment system.

Ang SOC 2 ay hindi batas. Ito ay independiyenteng pagsusuri kung paano hinahawakan ng kumpanya ang ilang controls, kadalasan tungkol sa security at availability. Ang availability ay ibig sabihin, ang mga system ay idinisenyo para magamit nang tulad ng ipinangako, hindi na kahit sinuman ay kayang magarantiyang walang outages. Madalas lumalabas ang SOC 2 kapag ang mas malalaking customer ay humihingi sa isang vendor ng ebidensyang seryoso ito sa seguridad. Para sa maraming maliliit na negosyo, ang tanong ay hindi “Kailangan ba namin ng SOC 2 report bukas?” kundi “Anong mga controls ang inaasahan ng mga customer na mayroon kami bago namin makuha ang kontratang ito?”

Kung magkatulad pero nakakalito ang mga terminong ito, normal iyon. Ang isang mahusay na independent na managed IT services provider, na tinatawag ding MSP, ay makakatulong sa iyo na maunawaan kung ano ang maaaring saklaw at kung anong antas ng trabaho ang makabuluhan para sa laki at risk mo.

Magsimula sa data. Alamin kung anong sensitibong impormasyon ang kinokolekta mo, saan ito naka-store, sino ang may access, at paano ito dumadaan sa loob ng negosyo mo. Kabilang dito ang mga laptop, telepono, email, cloud apps, file storage, payment system, at mga vendor. Sa IT, ang endpoint ay kahit anong indibidwal na device tulad ng laptop, desktop, phone, o tablet na kumokonekta sa iyong mga system.

Pagkatapos, tingnan ang basic controls mo. Maraming pagsusumikap sa compliance ang nagsisimula sa parehong praktikal na hakbang. Ang multi-factor authentication, o MFA, ay nagdadagdag ng pangalawang hakbang bukod sa password kapag may nag-a-access. Ang patching ay pagpapanatiling updated ang software at devices gamit ang mga pag-aayos (fixes). Ang backup ay pag-iingat ng mga kopyang nababawi para sa mahalagang data. Ang 3-2-1 backup approach ay may tatlong kopya ng data, sa dalawang magkakaibang uri ng storage, at isang kopya na iniingatan sa offsite.

Maaaring kailangan mo rin ng mga nakasulat na polisiya, pagsusuri sa mga vendor, pagsasanay ng staff, mga panuntunan sa access, at patunay na talagang ginagawa ang mga bagay na ito. Ang ilang negosyo ay nangangailangan ng pormal na risk assessment. Ang iba ay nangangailangan ng logging, device monitoring, at mga dokumentadong hakbang sa pagtugon kapag may nangyaring hindi maganda. Ang endpoint detection and response, o EDR, ay software na tumutulong makakita ng kahina-hinalang aktibidad sa mga device. Ang remote monitoring and management, o RMM, ay software na ginagamit ng maraming provider para bantayan ang kalusugan ng mga device, mag-apply ng updates, at pangasiwaan ang regular na maintenance.

Para sa may-ari ng maliit na negosyo, ang tunay na isyu ay kadalasang scope. Baka hindi mo kailangan ng enterprise-grade program. Pero kailangan mong malaman kung ano ang inaasahan ng industriya mo, ng mga customer mo, ng insurer mo, at ng anumang patakaran sa antas ng estado o pederal na maaaring saklaw sa iyo.

Malaki ang pagkakaiba ng gastos. Ang tunay na numero ay nakadepende sa headcount, bilang ng mga device, gaano ka-komplikado ang mga system mo, anong data ang hinahawakan mo, ang industriya mo, at ang lugar mo. Ang mga hanay na ito ay hindi mga quote.

Kung nagsisimula ka sa basic setup at kailangan mo ng mas maayos na pamamahala ng device, security settings, backups, at suporta para sa user, maraming maliliit na negosyo ang gumagastos nang humigit-kumulang $100 hanggang $250 kada user kada buwan para sa tuloy-tuloy na managed IT at security support. Kapag mas mabigat ang compliance work, puwedeng mas mataas ang numero.

Ang isang beses na gap assessment o readiness review ay maaaring nagkakahalaga ng ilang libong dolyar para sa isang maliit na negosyo, at mas marami kung mas malaki ang environment mo o mas regulado. Ang mga pormal na audit, payong legal na galing sa labas, policy work, at mga special project ay maaaring magdagdag ng hiwalay na gastos. Maaari ding pataasin ng mga kinakailangan sa cyber insurance kung ano ang kailangan mong gawin.

Ang magandang balita ay hindi lahat ng negosyo ay kailangang pare-pareho ang antas ng trabaho. Ang isang kumpanya na gumagamit ng mga karaniwang cloud tools, mga vendor sa secure na pagbabayad, at iilang device lang ay maaaring magkaroon ng mas simpleng daan kaysa sa isang kumpanya na may custom na system, maraming opisina, o sensitibong rekord na nakakalat sa mga lumang computer at shared folders.

Huwag magsimula sa pagbili ng mga random na security tools dahil may customer na nagtanong ng mahirap na bagay. Simulan sa paglinaw ng requirement. Tanungin kung sino ang nagtatanong, anong standard o questionnaire ang ginagamit nila, kailan ang deadline mo, at kung kailangan ba nila ng legal na requirement, isang industry standard, o simpleng makatuwirang security baseline.

Gumawa ng maikling listahan ng mga facts tungkol sa negosyo mo. Ilang empleyado ang mayroon ka. Ilang lokasyon. Anong mga device ang ginagamit ng mga tao. Humahawak ba kayo ng health information o mga pagbabayad sa card. Anong cloud apps ang pinapatakbo ng negosyo. May mga customer ba na humingi ng security questionnaire, risk assessment, o SOC 2 report. Makakatulong ito para maging kapaki-pakinabang ang unang usapan.

Kung gusto mo ng tulong sa pag-aayos nito, matutulungan ka ng NodeBridge IT na mahanap ang isang independiyenteng managed IT provider na gumagana sa maliliit at mid-sized na negosyo. Libre ang matching namin. Hindi namin pinamamahalaan ang mga system mo o ang access sa mga account mo. Gagamitin lang namin ang impormasyon tungkol sa negosyo mo at ang contact details para ikonekta ka sa provider na akma sa pangangailangan mo.

Maaari mo rin basahin pa ang tungkol sa mga managed IT services at mag-browse ng iba pang plain-language IT answers.