HIPAA sukladni program za upravljanje lozinkama

Općenito o HIPAA

Zakon o prenosivosti i odgovornosti zdravstvenog osiguranja (Health Insurance Portability and Accountability Act – HIPAA) iz 1996. godine je američki zakon čiji je cilj zaštita medicinskih podataka i zdravstvenih informacija pacijenata. Primjenjuje se na liječnike, bolnice, pružatelje zdravstvenih usluga i druge subjekte koji rukuju medicinskim podacima.

HIPAA zahtijeva da upravljanje lozinkama bude dio vašeg plana usklađenosti s HIPAA regulativom. Prema 45 CFR §164.308(a)(5) organizacije obuhvaćene zakonom moraju implementirati "Procedure za kreiranje, promjenu i zaštitu lozinki". Imajte na umu da upravljanje lozinkama i programi za upravljanje lozinkama nisu jedna te ista stvar. Upravljanje lozinkama odnosi se na čin upravljanja lozinkama, dok je program za upravljanje lozinkama softverski alat koji pomaže u upravljanju lozinkama. Dakle, iako HIPAA nalaže upravljanje lozinkama, ne specificira izričito način na koji se to treba raditi.

HIPAA zahtjevi za programe za upravljanje lozinkama

Budući da programi za upravljanje lozinkama ne pohranjuju zaštićene zdravstvene informacije (Protected Health Information – PHI), sami po sebi ne moraju biti sukladni s HIPAA uredbom. Ne morate brinuti o sporazumima o poslovnim partnerima (Business Associate Agreements) ili sporazumima o podugovarateljima. Međutim, morate biti u mogućnosti dokazati revizorima da upravljate lozinkama, što uključuje način na koji ih kreirate, pohranjujete, mijenjate i štitite.

Detaljno, morate biti u stanju odgovoriti na sljedeća pitanja:

• Tko je koristio tu lozinku?
• Tko ima pristup toj lozinki?
• Kada ste zadnji puta promijenili lozinku?
• Kakva su vaša pravila upravljanja lozinkama?
• Pridržavaju li se vaši korisnici tih pravila?
• Koje sigurnosne mjere imate za zaštitu vaših lozinki?
• Kako otkrivate da je lozinka kompromitirana?
• Kako je taj proces integriran u postupak zapošljavanja i odlaska korisnika?

Dakle, iako programi za upravljanje lozinkama nisu izričito spomenuti u HIPAA, oni su nužan alat za poštivanje HIPAA pravila i za dokazivanje ispravne prakse revizorima.

Kako Psono odgovara na ova pitanja

Psono je jedan od najboljih programa za upravljanje lozinkama u svojoj klasi. Pruža sigurnost na vojnoj razini, s funkcionalnostima za upravljanje na razini poduzeća i nastoji povećati produktivnost svojih korisnika.

• Tko je koristio tu lozinku?

Psono Enterprise Edition ima detaljne revizijske zapise koji bilježe pristup svim tajnim podacima zajedno s metapodacima poput korisničkih imena i IP adresa. Revizijski zapisi šalju se na poseban poslužitelj kako bi se spriječile bilo kakve manipulacije.

• Tko ima pristup toj lozinki?

Možete provjeriti dopuštenja za sve lozinke i znati kojem korisniku je omogućem pristup. Opcija provjere pristupa na temelju grupa pojednostavljuje revizijski proces. Imate potpunu kontrolu i lako možete dokazati revizorima usklađenost.

• Kada ste zadnji puta promijenili lozinku?

Puna povijest svake lozinke se prati, uz podatak o datumu zadnje promjene. Cjelokupna povijest dodatno dokazuje da je lozinka zaista promijenjena.

• Kakva su vaša pravila upravljanja lozinkama?

Možete nametnuti korištenje nasumičnih lozinki koje su dovoljno snažne za zaštitu od bilo kakvog brute-force napada te kreirati lozinke određene duljine i kompleksnosti.

• Pridržavaju li se vaši korisnici tih pravila?

Ugrađeno sigurnosno izvješće omogućuje revizorima da provjere opće poštivanje pravila od strane korisnika bez izlaganja stvarnih lozinki. Opća prihvaćenost pravila može se provjeriti i analizirati prema pojedinim korisnicima i lozinkama.

• Koje sigurnosne mjere imate za zaštitu vaših lozinki?

Psono koristi snažnu enkripciju za zaštitu podataka tijekom prijenosa i pohrane. Također, moguće je nametnuti različite metode višestruke autentifikacije za povećanje ukupne sigurnosti sustava. Uz mogućnost lokalnog hostanja Psona, možete implementirati dodatne zaštitne mjere kao što su mrežna ograničenja i VPN pristup.

• Kako otkrivate da je lozinka kompromitirana?

Psono ima mogućnost detekcije kompromitiranih podataka te omogućava provjeru svih lozinki putem javnog servisa haveibeenpwned.com, koji je najveći izvor informacija o sigurnosnim incidentima, s više od 10.000.000.000 kompromitiranih računa u svojoj bazi podataka.

• Kako je taj proces integriran u postupak zapošljavanja i odlaska korisnika?

Psono može biti povezan s vašim LDAP, SAML ili OIDC pružateljem usluga, što omogućava centralizirano upravljanje pristupom. Korisnici se automatski uključuju s vlastitim računima, dobivaju pristup prema svojoj grupi, a pristup se onemogućava automatski nakon što napuste tvrtku, bez dodatnog truda ili dugotrajnih procesa.

Ako ste spremni za sljedeći korak, obratite nam se na sales@psono.com i saznajte više kako vam možemo pomoći.