HIPAA Generelt
The Health Insurance Portability and Accountability Act (HIPAA) af 1996 er en amerikansk lov, der har til formål at beskytte patienters medicinske data og sundhedsoplysninger og gælder for læger, hospitaler, sundhedstjenesteudbydere og andre enheder, der håndterer medicinske data.
HIPAA kræver, at password management er en del af din HIPAA-komplians plan. Ifølge 45 CFR §164.308(a)(5) skal dækkede enheder implementere en "Procedures for creating, changing, and safeguarding passwords". Bemærk, at password management og password managers ikke er det samme. Password management refererer til handlingen med at administrere passwords, mens en password manager er et softwareprogram, der hjælper med at administrere passwords. Så selvom HIPAA pålægger administrationen af passwords, specificerer det ikke eksplicit, hvordan det skal gøres.
HIPAA-krav til password managers
Password managers, da de ikke gemmer Beskyttede Sundhedsoplysninger (PHI), behøver ikke selv at være HIPAA-kompatible. Du behøver ikke bekymre dig om Business Associate Agreements eller Business Associate Subcontractor Agreements. Men du skal kunne demonstrere over for auditorer, at du administrerer passwords, hvilket indebærer, hvordan du opretter, gemmer, ændrer og beskytter dem.
Detaljeret skal du kunne besvare følgende spørgsmål:
- Hvem brugte det password?
- Hvem har adgang til det password?
- Hvornår ændrede du passwordet sidste gang?
- Hvad er din passwordpolitik?
- Overholder dine brugere passwordpolitikken?
- Hvilke sikkerhedsforanstaltninger har du på plads for at beskytte dine passwords?
- Hvordan finder du ud af, at et password er blevet kompromitteret?
- Hvordan er processen integreret i din onboarding og offboarding af brugere?
Så selvom password managers ikke strengt er nævnt i HIPAA, er password managers nødvendige værktøjer for at overholde HIPAA og demonstrere korrekt praksis til auditorer.
Hvordan besvarer Psono disse spørgsmål
Psono er en af de bedste password managers i sin klasse. Det leverer sikkerhed på militært niveau med funktionsstyring på virksomheds-niveau og forsøger at forbedre produktiviteten for sine brugere.
- Hvem brugte det password?
Psono Enterprise Edition har detaljerede audit logs, der logger adgangen til alle hemmeligheder med metadata som brugernavne og IP-adresser. Audit logs sendes til en separat server for at forhindre manipulation.
- Hvem har adgang til det password?
Du kan tjekke tilladelserne for alle passwords og vide, hvilken bruger der har adgang. Muligheden for at auditere adgang baseret på grupper forenkler audit processen. Du har fuld kontrol og kan let demonstrere compliance til auditorer.
- Hvornår ændrede du passwordet sidste gang?
Den fulde historie af et password spores ud over datoen, hvor passwordet sidst blev ændret. En fuld historie viser, at passwordet også virkelig blev ændret.
- Hvad er din passwordpolitik?
Du kan tvinge oprettelsen af tilfældige passwords, der er stærke nok til at modstå enhver brute-force angreb og kan oprette passwords med specifikke længde- og kompleksitetskrav.
- Overholder dine brugere passwordpolitikken?
Den indbyggede sikkerhedsrapport lader auditorer kontrollere den generelle compliance for brugere uden at afsløre de faktiske passwords. Den overordnede accept af politikker kan kontrolleres og nedbores til enkelte brugere og passwords.
- Hvilke sikkerhedsforanstaltninger har du på plads for at beskytte dine passwords?
Psono bruger stærk kryptering for at beskytte data i transit og i hvile. Derudover kan du tvinge brugen af forskellige anden faktorer for at øge systemets overordnede sikkerhed. Med muligheden for at hoste Psono på lokalt netværk kan du implementere ekstra sikkerhedsforanstaltninger som netværksrestriktioner og VPN-adgang.
- Hvordan finder du ud af, at et password er blevet kompromitteret?
Psono's breach detection funktionalitet kan bruges til at tjekke alle passwords mod den offentlige tjeneste haveibeenpwned.com, som er den største udbyder af datalækager med over 10.000.000.000 kompromitterede konti i deres database.
- Hvordan er processen integreret i din onboarding og offboarding af brugere?
Med Psono's evne til at forbinde til din LDAP, SAML eller OIDC udbyder kan du styre adgang centralt. Brugere onboardes automatisk med deres konti, får adgang baseret på deres grupper og deaktiveres, når de forlader firmaet uden ekstra indsats eller ekstra tidskrævende processer.
Hvis du er klar til at tage det næste skridt, kontakt sales@psono.com og lær mere om, hvordan vi kan hjælpe dig.
