HIPAA-konformer Passwort-Manager

Informationen über Psono als HIPAA-konformes Passwort-Manager-Programm

HIPAA Allgemein

Der Health Insurance Portability and Accountability Act (HIPAA) von 1996 ist ein US-Gesetz, das darauf abzielt, die medizinischen Daten und Gesundheitsinformationen von Patienten zu schützen und gilt für Ärzte, Krankenhäuser, Gesundheitsdienstleister und andere Einrichtungen, die mit medizinischen Daten umgehen.

HIPAA erfordert, dass die Passwortverwaltung Teil Ihres HIPAA-Compliance-Plans ist. Gemäß 45 CFR §164.308(a)(5) müssen betroffene Einrichtungen „Verfahren zur Erstellung, Änderung und Sicherung von Passwörtern“ implementieren. Bitte beachten Sie, dass Passwortverwaltung und Passwort-Manager nicht dasselbe sind. Die Passwortverwaltung bezieht sich auf die Handlung des Managements von Passwörtern, während ein Passwort-Manager ein Stück Software ist, das dabei hilft, die Passwörter zu verwalten. Auch wenn HIPAA die Verwaltung von Passwörtern vorschreibt, wird nicht explizit festgelegt, wie dies zu tun ist.

HIPAA-Anforderungen für Passwort-Manager

Passwort-Manager, da sie keine geschützten Gesundheitsinformationen (PHI) speichern, müssen selbst nicht HIPAA-konform sein. Sie brauchen sich keine Sorgen über Business Associate Agreements oder Business Associate Subcontractor Agreements zu machen. Aber Sie müssen den Prüfern nachweisen, dass Sie Passwörter verwalten, was beinhaltet, wie Sie sie erstellen, speichern, ändern und schützen.

Im Detail müssen Sie die folgenden Fragen beantworten:

Wer hat dieses Passwort verwendet?
Wer hat Zugriff auf dieses Passwort?
Wann haben Sie das Passwort zuletzt geändert?
Was ist Ihre Passwort-Policy?
Halten sich Ihre Benutzer an die Passwort-Policy?
Welche Sicherheitsmaßnahmen haben Sie zum Schutz Ihrer Passwörter implementiert?
Wie stellen Sie fest, dass ein Passwort kompromittiert wurde?
Wie ist der Prozess in Ihr On- und Offboarding von Benutzern integriert?

Auch wenn Passwort-Manager nicht streng in HIPAA erwähnt werden, sind Passwort-Manager notwendige Werkzeuge, um HIPAA-compliant zu sein und den Prüfern die korrekte Praxis zu demonstrieren.

Wie Psono diese Fragen beantwortet

Psono ist einer der besten Passwort-Manager seiner Klasse. Es bietet militärische Sicherheitsstandards mit Management-Funktionalitäten auf Unternehmensebene und versucht, die Produktivität seiner Benutzer zu steigern.

Wer hat dieses Passwort verwendet?

Psono Enterprise Edition hat detaillierte Audit-Logs, die den Zugriff auf alle Geheimnisse mit Metadaten wie Benutzernamen und IP-Adressen protokollieren. Audit-Logs werden zu einem separaten Server gesendet, um Manipulationen zu verhindern.

Wer hat Zugriff auf dieses Passwort?

Sie können die Berechtigungen für alle Passwörter überprüfen und wissen, welcher Benutzer Zugriff hat. Die Option, den Zugriff basierend auf Gruppen zu auditieren, vereinfacht den Audit-Prozess. Sie haben die volle Kontrolle und können den Prüfern die Einhaltung leicht demonstrieren.

Wann haben Sie das Passwort zuletzt geändert?

Die vollständige Historie eines Passworts wird zusätzlich zu dem Datum, an dem das Passwort zuletzt geändert wurde, verfolgt. Eine vollständige Historie zeigt, dass das Passwort wirklich geändert wurde.

Was ist Ihre Passwort-Policy?

Sie können zufällige Passwörter erzwingen, die stark genug sind, um jedem Brute-Force-Angriff standzuhalten, und können Passwörter mit einer bestimmten Länge und Komplexitätsanforderung erstellen.

Halten sich Ihre Benutzer an die Passwort-Policy?

Der integrierte Sicherheitsbericht ermöglicht es Prüfern, die allgemeine Compliance der Benutzer zu überprüfen, ohne die tatsächlichen Passwörter offenzulegen. Die allgemeine Akzeptanz der Policies kann überprüft und bis hin zu einzelnen Benutzern und Passwörtern nachverfolgt werden.

Welche Sicherheitsmaßnahmen haben Sie zum Schutz Ihrer Passwörter implementiert?

Psono verwendet starke Verschlüsselung, um die Daten während der Übertragung und im Ruhezustand zu schützen. Zusätzlich können Sie verschiedene zweite Faktoren erzwingen, um die allgemeine Sicherheit des Systems zu erhöhen. Mit der Option, Psono vor Ort zu hosten, können Sie zusätzliche Sicherungsmaßnahmen wie Netzwerkbeschränkungen und VPN-Zugriff implementieren.

Wie stellen Sie fest, dass ein Passwort kompromittiert wurde?

Die Psono-Funktion zur Erkennung von Sicherheitsverletzungen kann verwendet werden, um alle Passwörter gegen den öffentlichen Dienst von haveibeenpwned.com zu überprüfen, dem größten Anbieter von Datenverletzungen mit über 10.000.000.000 kompromittierten Konten in seiner Datenbank.

Wie ist der Prozess in Ihr On- und Offboarding von Benutzern integriert?

Mit der Fähigkeit von Psono, sich mit Ihrem LDAP-, SAML- oder OIDC-Anbieter zu verbinden, können Sie den Zugriff zentral verwalten. Benutzer werden automatisch mit ihren Konten eingebunden, basierend auf ihren Gruppen gewährt und deaktiviert, sobald sie das Unternehmen verlassen, ohne zusätzlichen Aufwand oder zeitaufwändige Prozesse.

Wenn Sie bereit sind, den nächsten Schritt zu gehen, kontaktieren Sie sales@psono.com und erfahren Sie mehr darüber, wie wir Ihnen helfen können.

geschrieben von Sascha Pfeiffer am March 07, 2021

Auf der Suche nach mehr?

Schauen Sie sich unsere neuesten Artikel hier an!