Generalidades sobre HIPAA
La Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA) de 1996 es una ley estadounidense que tiene como objetivo proteger los datos médicos y la información de salud del paciente y se aplica a médicos, hospitales, proveedores de servicios de salud y otras entidades que manejan datos médicos.
HIPAA requiere que la administración de contraseñas sea parte de su plan de cumplimiento de HIPAA. De acuerdo con 45 CFR §164.308(a)(5), las entidades cubiertas deben implementar "Procedimientos para crear, cambiar y proteger contraseñas". Tenga en cuenta que la administración de contraseñas y los administradores de contraseñas no son lo mismo. La administración de contraseñas se refiere al acto de gestionar contraseñas, mientras que un administrador de contraseñas es un software que ayuda a administrar las contraseñas. Por lo tanto, aunque HIPAA exige la gestión de contraseñas, no especifica explícitamente cómo se debe hacer.
Requisitos de HIPAA para administradores de contraseñas
Los administradores de contraseñas, como no almacenan Información de Salud Protegida (PHI), no necesitan ser compatibles con HIPAA por sí mismos. No tiene que preocuparse por los Acuerdos de Asociados Comerciales o los Acuerdos de Subcontratistas de Asociados Comerciales. Pero necesita demostrar a los auditores que gestiona contraseñas, lo que implica cómo las crea, almacena, cambia y protege.
En detalle, tendrá que responder las siguientes preguntas:
- ¿Quién usó esa contraseña?
- ¿Quién tiene acceso a esa contraseña?
- ¿Cuándo cambió la contraseña por última vez?
- ¿Cuál es su política de contraseñas?
- ¿Cumplen sus usuarios con la política de contraseñas?
- ¿Qué medidas de seguridad tiene implementadas para proteger sus contraseñas?
- ¿Cómo descubre que una contraseña ha sido comprometida?
- ¿Cómo se integra el proceso en su incorporación y salida de usuarios?
Por lo tanto, aunque los administradores de contraseñas no se mencionan estrictamente en HIPAA, los administradores de contraseñas son herramientas necesarias para cumplir con HIPAA y demostrar a los auditores la práctica correcta.
¿Cómo responde Psono a estas preguntas?
Psono es uno de los mejores administradores de contraseñas en su clase. Proporciona seguridad de grado militar con funcionalidad de gestión a nivel empresarial y trata de mejorar la productividad de sus usuarios.
- ¿Quién usó esa contraseña?
Psono Enterprise Edition tiene registros de auditoría detallados, que registran el acceso a todos los secretos con metadatos como nombres de usuario y direcciones IP. Los registros de auditoría se envían a un servidor separado para evitar cualquier manipulación.
- ¿Quién tiene acceso a esa contraseña?
Puede verificar los permisos para todas las contraseñas y saber qué usuario tiene acceso. La opción de auditar el acceso basado en grupos simplifica el proceso de auditoría. Usted tiene el control total y puede demostrar fácilmente el cumplimiento a los auditores.
- ¿Cuándo cambió la contraseña por última vez?
Se rastrea la historia completa de una contraseña además de la fecha en que la contraseña se cambió por última vez. Una historia completa demuestra que la contraseña también fue realmente cambiada.
- ¿Cuál es su política de contraseñas?
Puede imponer contraseñas aleatorias que sean lo suficientemente fuertes para resistir cualquier ataque de fuerza bruta y puede crear contraseñas con un requisito específico de longitud y complejidad.
- ¿Cumplen sus usuarios con la política de contraseñas?
El informe de seguridad incorporado permite a los auditores verificar el cumplimiento general de los usuarios sin exponer las contraseñas reales. Se puede verificar la aceptación general de las políticas y profundizar en usuarios y contraseñas independientes.
- ¿Qué medidas de seguridad tiene implementadas para proteger sus contraseñas?
Psono utiliza una fuerte encriptación para proteger los datos en tránsito y en reposo. Además, puede imponer varios factores secundarios para aumentar la seguridad general del sistema. Con la opción de alojar Psono en sus instalaciones, puede implementar salvaguardas adicionales como restricciones de red y acceso VPN.
- ¿Cómo descubre que una contraseña ha sido comprometida?
La funcionalidad de detección de violaciones de Psono se puede usar para verificar todas las contraseñas contra el servicio público de haveibeenpwned.com, que es el mayor proveedor de violaciones de datos con más de 10.000.000.000 de cuentas comprometidas en su base de datos.
- ¿Cómo se integra el proceso en su incorporación y salida de usuarios?
Con la capacidad de Psono de conectarse a su proveedor LDAP, SAML o OIDC, puede gestionar el acceso de manera centralizada. Los usuarios se incorporan automáticamente con sus cuentas, se les concede acceso basado en sus grupos y se deshabilitan una vez que dejan la empresa sin ningún esfuerzo adicional ni procesos que consuman tiempo.
Si está listo para dar el siguiente paso, comuníquese con sales@psono.com y aprenda más sobre cómo podemos ayudarle.
