Cet article a été traduit automatiquement.
L'un des principaux problèmes auxquels sont confrontées de nombreuses entreprises est celui de la conformité. Ce travail est facilité par les logiciels de gestion des identités et des accès (IAM). IAM permet aux administrateurs de spécifier des protocoles d'accès stricts afin de contrôler les réseaux et les ressources que les utilisateurs peuvent utiliser et la manière dont ils peuvent le faire. En bref, le logiciel offre une visibilité et une gouvernance sur ce que les employés peuvent et ne peuvent pas faire.
Examinons de plus près quatre exigences de conformité différentes -OX, HIPAA, HITECH et PCI- pour évaluer comment l'IAM simplifie la conformité.
SOX
En 2002, à la suite de scandales financiers, la loi Sarbanes-Oxley, appelée Sarbox ou SOX en abrégé, a été promulguée. L'objectif du TI était d'améliorer la confiance des investisseurs en rendant les pratiques des entreprises plus transparentes. Les exigences comprennent, entre autres, des mesures concernant
- application de la politique
- l'évaluation des risques
- réduction de la fraude
- l'audit de conformité
L'un des principaux objectifs de la loi SOX est de rendre les états financiers des entreprises plus fiables. La loi prévoit des sanctions civiles et pénales en cas de non-respect, il est donc très important d'en tenir compte.
IT est évidemment cruciale pour la loi SOX. Après tout, la plupart des données qui composent les états financiers des entreprises sont créées par des systèmes de technologies de l'information. Mais IAM en particulier peut support conformité à la loi Sarbanes-Oxley.
Par exemple, IAM peut modifier le droit d'accès de l'utilisateur précisément lorsque les tâches professionnelles changent. Si un employé change de poste et que son accès au réseau n'est pas réajusté en fonction de son nouveau rôle, le risque de conformité augmente pour l'entreprise, car des violations de la séparation des tâches (SoD) peuvent se produire. Mais avec l'IAM, il est tout à fait possible de procéder à des modifications chirurgicales de l'accès. Un exemple similaire serait de mettre fin à l'accès après qu'un employé ait quitté l'entreprise.
HIPAA
La loi HIPAA (Health Insurance Portability and Accountability Act) a été promulguée en 1996. L'un des objectifs de l'IT était d'établir une norme nationale régissant la confidentialité des informations de santé protégées. Entre autres fonctions, la loi vise à établir un équilibre entre les besoins individuels en matière de protection de la vie privée et la nécessité pour les professionnels de la santé de partager des informations sur la santé afin de protéger le patient et le public. Les lecteurs peuvent être familiarisés avec le formulaire de consentement et d'autres documents dérivant partiellement de la norme HIPAA.
IAM peut faciliter grandement la mise en conformité des organisations avec la loi HIPAA. Par exemple, l'identité basée sur des catégories de consentement éclairé, telles que les personnes qui ont choisi de participer et celles qui ont choisi de ne pas participer, peut être appliquée de manière stricte. Si un patient choisit de ne pas partager les informations d'un professionnel de la santé avec un autre, les organisations peuvent être sûres que ce dernier professionnel se verra refuser l'accès aux données restreintes.
IAM peut également mettre en œuvre une telle politique dans un large éventail de systèmes différents. Cela rassure les dirigeants sur le fait que la conformité sera assurée malgré la diversité des technologies de l'information utilisées. OktaLa cellule conforme à l'HIPAA est spécialement conçue pour répondre aux exigences de l'HIPAA pour les fournisseurs de services.
HITECH
La loi HITECH (Health Information Technologies for Economic and Clinical Health Act) est souvent évoquée en même temps que la loi HIPAA, mais les exigences en matière de technologies de l'information sont différentes. La loi HITECH a été promulguée en 2009 dans le cadre de la loi de relance économique. L'un des objectifs des technologies de l'information était de lancer un investissement public dans un réseau national de dossiers médicaux électroniques (DME).
Entre autres mesures, HITECH impose une notification fédérale à la brèche pour les informations de santé stockées qui ne sont pas cryptées. En outre, la loi HITECH a étendu certaines exigences de la loi HIPAA au-delà des entités qui étaient couvertes dans le passé - les payeurs, les fournisseurs et les chambres de compensation - à leurs partenaires commerciaux.
Qu'est-ce que cela signifie pour IAM ? L'avantage de IAM est que le logiciel peut fournir la fédération des identités. L'accès ne doit pas être limité à une seule organisation ; l'informatique peut être fédérée en dehors des limites d'une organisation pour permettre un accès sécurisé aux dossiers de santé électroniques par plusieurs groupes. Cela permet de répondre aux exigences étendues de HITECH.
PCI
PCI est l'abréviation de PCI DSS, ou norme de sécurité des données de l'industrie des cartes de paiement. Contrairement à la norme de conformité susmentionnée, l'ICP ne découle pas d'une loi gouvernementale. IT est un système de sécurité de l'information propriétaire standard pour les entreprises qui gèrent les principales cartes de crédit. La conformité totale signifie que les entreprises chiffrent les données des cartes de paiement lors de leur transmission, se soumettent à des tests de pénétration, etc. PCI n'impose pas de technologies spécifiques, mais explique les bonnes pratiques de l'industrie.
Le logiciel IAM peut contribuer à la mise en conformité avec la norme PCI en préservant la confidentialité des données relatives aux cartes de paiement. Par exemple, certaines exigences de la norme PCI limitent le nombre d'employés pouvant accéder aux données des cartes de paiement au strict minimum de ceux qui ont besoin de connaître ces informations. Et bien sûr, IAM brille ici. L'informatique peut garantir, par exemple, que les utilisateurs à privilèges ne se voient accorder que le minimum de privilèges nécessaires à l'accomplissement de leur travail. Cela permet d'éviter les escalades inutiles de privilèges qui peuvent entraîner des violations de la vie privée.
IAM pour la conformité
Que votre organisation ait besoin d'assurer la conformité avec l'une des quatre réglementations décrites ci-dessus ou avec d'autres normes spécifiques à votre industrie, la gestion des identités et des accès solutions peut simplifier la tâche en fournissant une meilleure gouvernance sur l'identité des utilisateurs et sur ce qu'ils peuvent et ne peuvent pas accéder sur les réseaux de l'organisation. Okta dispose d'une infrastructure et de processus sécurisés et audités qui permettent à notre service d'être hautement sécurisé et disponible pour vous aider dans vos initiatives de conformité.
