Gestionnaire de mots de passe conforme à HIPAA

Informations sur Psono en tant que gestionnaire de mots de passe conforme à HIPAA

Généralités sur HIPAA

La loi Health Insurance Portability and Accountability Act (HIPAA) de 1996 est une loi américaine qui vise à protéger les données médicales et les informations sur la santé des patients. Elle s'applique aux médecins, hôpitaux, prestataires de services de santé et autres entités qui traitent des données médicales.

HIPAA exige que la gestion des mots de passe fasse partie de votre plan de conformité HIPAA. Selon 45 CFR §164.308(a)(5), les entités couvertes doivent mettre en œuvre des "procédures pour créer, modifier et protéger les mots de passe". Veuillez noter que la gestion des mots de passe et les gestionnaires de mots de passe ne sont pas la même chose. La gestion des mots de passe fait référence à l'acte de gérer les mots de passe alors qu'un gestionnaire de mots de passe est un logiciel qui aide à les gérer. Donc, même si HIPAA mandate la gestion des mots de passe, il ne précise pas explicitement comment le faire.

Exigences HIPAA pour les gestionnaires de mots de passe

Les gestionnaires de mots de passe, en tant qu'ils ne stockent pas d'Informations de Santé Protégées (PHI), n'ont pas besoin d'être eux-mêmes conformes à HIPAA. Vous n'avez pas à vous inquiéter des Accords d'Associé Commercial ou des Accords de Sous-traitant. Mais vous devez démontrer aux auditeurs que vous gérez les mots de passe, ce qui implique comment vous les créez, les stockez, les modifiez et les protégez.

En détail, vous devrez répondre aux questions suivantes :

Qui a utilisé ce mot de passe ?
Qui a accès à ce mot de passe ?
Quand avez-vous changé le mot de passe pour la dernière fois ?
Quelle est votre politique de mot de passe ?
Vos utilisateurs respectent-ils la politique de mot de passe ?
Quelles mesures de sécurité avez-vous mises en place pour protéger vos mots de passe ?
Comment découvrez-vous qu'un mot de passe a été compromis ?
Comment le processus est-il intégré à votre processus d'intégration et de départ des utilisateurs ?

Donc, même si les gestionnaires de mots de passe ne sont pas mentionnés strictement dans HIPAA, ils sont des outils nécessaires pour se conformer à HIPAA et démontrer aux auditeurs les bonnes pratiques.

Comment Psono répond à ces questions

Psono est l'un des meilleurs gestionnaires de mots de passe de sa catégorie. Il fournit une sécurité de grade militaire avec des fonctionnalités de gestion au niveau entreprise et essaie d'améliorer la productivité de ses utilisateurs.

Qui a utilisé ce mot de passe ?

Psono Enterprise Edition dispose de journaux d'audit détaillés, qui enregistrent l'accès à tous les secrets avec des métadonnées telles que les noms d'utilisateur et les adresses IP. Les journaux d'audit sont envoyés à un serveur séparé pour empêcher toute altération.

Qui a accès à ce mot de passe ?

Vous pouvez vérifier les permissions pour tous les mots de passe, savoir quel utilisateur y a accès. L'option d'audit d'accès basé sur les groupes simplifie le processus d'audit. Vous avez un contrôle total et pouvez facilement démontrer la conformité aux auditeurs.

Quand avez-vous changé le mot de passe pour la dernière fois ?

L'historique complet d'un mot de passe est suivi en plus de la date à laquelle le mot de passe a été changé pour la dernière fois. Un historique complet démontre que le mot de passe a été réellement changé.

Quelle est votre politique de mot de passe ?

Vous pouvez imposer des mots de passe aléatoires suffisamment forts pour résister à toute attaque par force brute et créer des mots de passe avec une longueur et une complexité spécifiques.

Vos utilisateurs respectent-ils la politique de mot de passe ?

Le rapport de sécurité intégré permet aux auditeurs de vérifier la conformité générale des utilisateurs sans exposer les mots de passe réels. L'acceptation globale des politiques peut être vérifiée et détaillée pour des utilisateurs et des mots de passe individuels.

Quelles mesures de sécurité avez-vous mises en place pour protéger vos mots de passe ?

Psono utilise un chiffrement robuste pour protéger les données en transit et au repos. En outre, vous pouvez imposer divers seconds facteurs pour augmenter la sécurité générale du système. Avec l'option d'héberger Psono sur site, vous pouvez mettre en œuvre des mesures de protection supplémentaires telles que des restrictions réseau et un accès VPN.

Comment découvrez-vous qu'un mot de passe a été compromis ?

La fonctionnalité de détection de brèche de Psono peut être utilisée pour vérifier tous les mots de passe contre le service public de haveibeenpwned.com, qui est le plus grand fournisseur de violations de données avec plus de 10 000 000 000 comptes compromis dans leur base de données.

Comment le processus est-il intégré à votre processus d'intégration et de départ des utilisateurs ?

Avec la capacité de Psono à se connecter à votre fournisseur LDAP, SAML ou OIDC, vous pouvez gérer l'accès de manière centralisée. Les utilisateurs sont automatiquement intégrés avec leurs comptes, se voient accorder l'accès en fonction de leurs groupes et sont désactivés une fois qu'ils quittent l'entreprise sans effort supplémentaire ni processus longs et fastidieux.

Si vous êtes prêt à passer à l'étape suivante, contactez sales@psono.com et apprenez-en plus sur la façon dont nous pouvons vous aider.

écrit par Sascha Pfeiffer le March 07, 2021

Vous en voulez plus ?

Consultez nos derniers articles ici !