HIPAA Yleistä
Health Insurance Portability and Accountability Act (HIPAA) vuodelta 1996 on yhdysvaltalainen laki, jonka tavoitteena on suojella potilaiden lääketieteellisiä tietoja ja terveysinformaatioita. Laki koskee lääkäreitä, sairaaloita, terveydenhuollon palveluntarjoajia ja muita toimijoita, jotka käsittelevät lääketieteellisiä tietoja.
HIPAA edellyttää, että salasanojen hallinta on osa HIPAA-vaatimustenmukaisuussuunnitelmaasi. 45 CFR §164.308(a)(5)-asetuksen mukaisesti vaaditaan, että käytössä on "Menettelyt salasanojen luomiseen, muuttamiseen ja suojaamiseen". Huomioithan, että salasanojen hallinta ja salasanojen hallintaohjelmat eivät ole sama asia. Salasanojen hallinta viittaa itse salasanojen hallintaan, kun taas salasanojen hallintaohjelma on ohjelmisto, joka auttaa niiden hallinnassa. Vaikka HIPAA siis edellyttää salasanojen hallintaa, se ei määrittele tarkasti, miten se tulisi toteuttaa.
HIPAA-vaatimukset salasanojen hallintaohjelmille
Salasanojen hallintaohjelmien ei tarvitse itsessään olla HIPAA-yhteensopivia, koska ne eivät tallenna suojattua terveyteen liittyvää tietoa (PHI). Sinun ei tarvitse huolehtia Business Associate Agreementeista (liikesopimus) tai Business Associate Subcontractor Agreementeista (alihankkijasopimukset). Sinun täytyy kuitenkin pystyä osoittamaan tarkastajille, miten hallitset salasanoja, mukaan lukien niiden luominen, tallentaminen, muuttaminen ja suojaaminen.
Tarkemmin sanottuna sinun tulee pystyä vastaamaan seuraaviin kysymyksiin:
- Kuka käytti kyseistä salasanaa?
- Kenellä on pääsy kyseiseen salasanaan?
- Milloin salasana on viimeksi vaihdettu?
- Mikä on salasanapolitiikkasi?
- Noudattavatko käyttäjäsi salasanapolitiikkaa?
- Mitä tietoturvatoimenpiteitä sinulla on käytössä salasanojen suojaamiseksi?
- Miten havaitset, että salasana on vaarantunut?
- Miten prosessi on integroitu käyttäjien sisään- ja uloskirjautumiseen?
Vaikka salasanojen hallintaohjelmia ei suoraan mainita HIPAA:ssa, ne ovat välttämättömiä työkaluja HIPAA-vaatimusten täyttämiseksi ja oikeiden toimintatapojen osoittamiseksi tarkastajille.
Kuinka Psono vastaa näihin kysymyksiin
Psono on luokkansa parhaita salasanojen hallintaohjelmia. Se tarjoaa sotilastason tietoturvan ja yritystason hallintaominaisuudet pyrkien samalla tehostamaan käyttäjiensä tuottavuutta.
- Kuka käytti kyseistä salasanaa?
Psono Enterprise Edition luo yksityiskohtaiset auditointilokit, jotka tallentavat kaikki salaisuuksiin tehdyt pääsyt metatietoineen kuten käyttäjätunnukset ja IP-osoitteet. Auditointilokit lähetetään erilliselle palvelimelle, jotta manipuloinnilta vältytään.
- Kenellä on pääsy kyseiseen salasanaan?
Voit tarkistaa käyttöoikeudet kaikkiin salasanoihin ja tietää, kenellä käyttäjällä on pääsy niihin. Mahdollisuus auditoida pääsyoikeuksia ryhmittäin helpottaa auditointiprosessia. Sinulla on täysi hallinta ja voit helposti osoittaa vaatimustenmukaisuuden tarkastajille.
- Milloin salasana on viimeksi vaihdettu?
Koko salasanan historia tallennetaan, mukaan lukien viimeisin vaihtopäivä. Koko historia osoittaa, että salasana on todella vaihdettu.
- Mikä on salasanapolitiikkasi?
Voit pakottaa käyttäjät luomaan satunnaisia, tarpeeksi vahvoja salasanoja torjuaksesi murtamishyökkäykset, ja vaatia tietyn pituuden ja monimutkaisuuden salasanalle.
- Noudattavatko käyttäjäsi salasanapolitiikkaa?
Sisäänrakennettu turvallisuusraportti mahdollistaa tarkastajille yleisen käyttäjien vaatimustenmukaisuuden tarkistamisen paljastamatta varsinaisia salasanoja. Kokonaisvaltaisen vaatimustenmukaisuuden voi tarkistaa ja porautua yksittäisiin käyttäjiin ja salasanoihin asti.
- Mitä tietoturvatoimenpiteitä sinulla on käytössä salasanojen suojaamiseksi?
Psono käyttää vahvaa salausta suojaten tietoja siirron ja tallennuksen aikana. Lisäksi voit ottaa käyttöön eri toisen vaiheen tunnistautumismenetelmiä parantaaksesi järjestelmän kokonaisturvallisuutta. Mahdollisuus ylläpitää Psonoa omilla palvelimilla antaa mahdollisuuden lisäsuojauksiin, kuten verkkorajauksiin ja VPN-yhteyksiin.
- Miten havaitset, että salasana on vaarantunut?
Psonon tietomurtojen havaitsemistoiminnon avulla kaikki salasanat voidaan tarkistaa haveibeenpwned.com-julkisen palvelun kautta, joka on suurin tietomurtopalvelu yli 10 miljardilla vaarantuneella käyttäjätilillä tietokannassaan.
- Miten prosessi on integroitu käyttäjien sisään- ja uloskirjaukseen?
Psonon ominaisuudet mahdollistavat yhteydenottamisen LDAP-, SAML- tai OIDC-palveluntarjoajiin, joten voit hallita pääsyä keskitetysti. Käyttäjät lisätään järjestelmään automaattisesti heidän tileillään, heille annetaan pääsyoikeudet ryhmiensä mukaan ja niiden oikeudet poistetaan automaattisesti poislähdön yhteydessä – ilman ylimääräistä vaivaa tai aikaa vieviä prosesseja.
Mikäli olet valmis ottamaan seuraavan askeleen, ota yhteyttä sales@psono.com ja kuule lisää siitä, kuinka voimme auttaa sinua.
