Generalitats sobre HIPAA
La Llei de Portabilitat i Responsabilitat de l'Assegurança Sanitària (HIPAA) de 1996 és una llei dels Estats Units que té com a objectiu protegir les dades mèdiques i la informació de salut dels pacients, i s'aplica a metges, hospitals, proveïdors de serveis sanitaris i altres entitats que gestionen dades mèdiques.
HIPAA exigeix que la gestió de contrasenyes formi part del teu pla de compliment de la HIPAA. Segons 45 CFR §164.308(a)(5), les entitats cobertes han d'implementar "procediments per crear, canviar i protegir contrasenyes". Tingues en compte que la gestió de contrasenyes i els gestors de contrasenyes no són el mateix. La gestió de contrasenyes es refereix a l'acte de gestionar les contrasenyes, mentre que un gestor de contrasenyes és un programari que ajuda a gestionar-les. Encara que la HIPAA exigeix la gestió de contrasenyes, no especifica explícitament com fer-ho.
Requisits HIPAA per als gestors de contrasenyes
Els gestors de contrasenyes, ja que no emmagatzemen Informació de Salut Protegida (PHI), no necessiten complir la HIPAA per si mateixos. No cal preocupar-se per acords amb associats de negocis ni per acords subcontractats d'associats de negocis. Però has de poder demostrar als auditors que gestiones les contrasenyes, cosa que implica com les crees, emmagatzemes, canvies i protegeixes.
En detall, hauràs de respondre les següents preguntes:
- Qui ha utilitzat aquesta contrasenya?
- Qui té accés a aquesta contrasenya?
- Quan vas canviar la contrasenya per última vegada?
- Quina és la teva política de contrasenyes?
- Els usuaris compleixen la política de contrasenyes?
- Quines mesures de seguretat tens implementades per protegir les contrasenyes?
- Com detectes si una contrasenya ha estat compromesa?
- Com s'integra el procés a l'alta i baixa d'usuaris?
Per tant, encara que els gestors de contrasenyes no siguin esmentats explícitament a HIPAA, són una eina necessària per complir la HIPAA i demostrar la correcta pràctica als auditors.
Com respon Psono aquestes preguntes
Psono és un dels millors gestors de contrasenyes de la seva categoria. Proporciona seguretat de grau militar amb funcionalitats de gestió a nivell empresarial i intenta millorar la productivitat dels seus usuaris.
- Qui ha utilitzat aquesta contrasenya?
Psono Enterprise Edition disposa de registres d'auditoria detallats que enregistren l'accés a tots els secrets amb metadades com noms d'usuari i adreces IP. Els registres d'auditoria s'envien a un servidor separat per evitar qualsevol manipulació.
- Qui té accés a aquesta contrasenya?
Pots consultar els permisos de totes les contrasenyes i saber quin usuari hi té accés. L'opció d'auditar l'accés basat en grups simplifica el procés d'auditoria. Tens el control total i pots demostrar fàcilment el compliment als auditors.
- Quan vas canviar la contrasenya per última vegada?
Es traça l'historial complet d'una contrasenya, a més de la data de l'últim canvi. Un historial complet demostra que realment s'ha canviat la contrasenya.
- Quina és la teva política de contrasenyes?
Pots fer complir contrasenyes aleatòries que siguin prou fortes per resistir qualsevol atac de força bruta i pots crear contrasenyes amb un requeriment específic de longitud i complexitat.
- Els usuaris compleixen la política de contrasenyes?
L'informe de seguretat integrat permet als auditors comprovar el compliment general dels usuaris sense exposar les contrasenyes. Es pot verificar l'acceptació global de les polítiques i analitzar-se per usuaris i contrasenyes independents.
- Quines mesures de seguretat tens implementades per protegir les contrasenyes?
Psono utilitza un fort sistema de xifratge per protegir les dades tant en trànsit com en repòs. A més, pots exigir diversos factors de seguretat addicionals per augmentar la seguretat global del sistema. Amb l'opció d'allotjar Psono a les teves pròpies instal·lacions, pots implementar salvaguardes addicionals com restriccions de xarxa i accés VPN.
- Com detectes si una contrasenya ha estat compromesa?
La funcionalitat de detecció de vulneracions de Psono es pot utilitzar per comprovar totes les contrasenyes amb el servei públic de haveibeenpwned.com, el qual és el principal proveïdor de violacions de dades amb més de 10.000.000.000 comptes compromesos a la seva base de dades.
- Com s'integra el procés a l'alta i baixa d'usuaris?
Amb la capacitat de Psono per connectar-se al teu proveïdor LDAP, SAML o OIDC pots gestionar l'accés de manera centralitzada. Els usuaris s'incorporen automàticament amb els seus comptes, se'ls concedeix accés segons el seu grup i es desactiven automàticament quan abandonen l'empresa, tot sense esforços extres ni processos addicionals que consumeixin temps.
Si estàs preparat per fer el següent pas, posa't en contacte amb sales@psono.com i descobreix com podem ajudar-te.
