HIPAA általános tudnivalók
A Health Insurance Portability and Accountability Act (HIPAA), azaz az 1996-os Egészségbiztosítási Hordozhatósági és Számonkérhetőségi Törvény egy amerikai jogszabály, amelynek célja, hogy megvédje a betegek orvosi adatait és egészségügyi információit. A törvény érvényes az orvosokra, kórházakra, egészségügyi szolgáltatókra és minden más szervezetre, amely ilyen egészségügyi adatokat kezel.
A HIPAA előírja, hogy a jelszókezelés része legyen a HIPAA-megfelelőségi tervének. A 45 CFR §164.308(a)(5) szerint az érintett szervezeteknek be kell vezetniük a "jelszavak létrehozására, módosítására és védelmére szolgáló eljárásokat". Fontos megjegyezni, hogy a jelszókezelés és a jelszókezelők nem ugyanazok. A jelszókezelés a jelszavak kezelésének folyamatát jelenti, míg egy jelszókezelő egy olyan szoftver, amely segít a jelszavak menedzselésében. Tehát bár a HIPAA előírja a jelszavak kezelését, nem határozza meg kifejezetten, hogyan kell ezt tenni.
HIPAA-követelmények a jelszókezelőkre vonatkozóan
A jelszókezelők, mivel nem tárolnak védett egészségügyi információkat (PHI), önmagukban nem kötelesek HIPAA-kompatibilisek lenni. Nem kell aggódnia Üzleti Társult Szerződések (Business Associate Agreements) vagy Alvállalkozói Társult Szerződések (Business Associate Subcontractor Agreements) miatt. Azonban meg kell tudnia mutatni az auditoroknak, hogy hogyan kezeli a jelszavakat: hogyan hozza létre, tárolja, változtatja és védi azokat.
Részletesen a következő kérdésekre kell tudnia válaszolni:
- Ki használta ezt a jelszót?
- Kinek van hozzáférése ehhez a jelszóhoz?
- Mikor változtatta meg utoljára ezt a jelszót?
- Milyen a jelszóházirendje?
- A felhasználói megfelelnek-e a jelszóházirendnek?
- Milyen biztonsági intézkedéseket alkalmaz a jelszavak védelmére?
- Hogyan tudja meg, ha egy jelszó kompromittálódott?
- Hogyan illeszti be ezt a folyamatot a felhasználók beléptetésébe és kiléptetésébe?
Tehát, bár a jelszókezelő szoftvereket a HIPAA nem említi kifejezetten, ezek mégis elengedhetetlen eszközök a HIPAA-megfelelőség eléréséhez, és segítik a helyes gyakorlat bemutatását az auditoroknak.
Hogyan válaszolja meg ezeket a kérdéseket a Psono
A Psono az egyik legjobb jelszókezelő a kategóriájában. Katonai szintű biztonságot nyújt, vállalati szintű menedzsment funkciókkal, és célja a felhasználók produktivitásának növelése.
- Ki használta ezt a jelszót?
A Psono Enterprise Edition részletes naplókat vezet, melyek rögzítik az összes titkos adat elérését, metaadatokkal (felhasználónév, IP-cím, stb.) együtt. A naplókat külön szerverre továbbítják, ezzel megelőzve bármilyen beavatkozást.
- Kinek van hozzáférése ehhez a jelszóhoz?
Az összes jelszó jogosultságát nyomon követheti, láthatja, melyik felhasználó fér hozzá egy adott jelszóhoz. A csoportalapú auditálás egyszerűbbé teszi a folyamatot. Teljesen kontrollálhatja a hozzáférést, és könnyedén tudja igazolni a megfelelőséget az auditorok felé.
- Mikor változtatta meg utoljára ezt a jelszót?
A jelszó teljes története rögzítésre kerül, a legutóbbi módosítás dátumával együtt. Ez a teljes napló biztosítja, hogy a jelszó ténylegesen módosításra is került.
- Milyen a jelszóházirendje?
Kikényszeríthet véletlenszerű, erős jelszavakat, amelyek ellenállnak a brute-force támadásoknak, valamint beállíthat hosszúságot és komplexitási elvárásokat is.
- A felhasználói megfelelnek-e a jelszóházirendnek?
A beépített biztonsági jelentés lehetővé teszi az auditorok számára, hogy ellenőrizzék a felhasználók általános megfelelőségét anélkül, hogy a valós jelszavakhoz hozzáférnének. A szabályzatok elfogadottságát összesítve, sőt egyes felhasználókra és jelszavakra lebontva is ellenőrizhetik.
- Milyen biztonsági intézkedéseket alkalmaz a jelszavak védelmére?
A Psono erős titkosítást használ az adatok védelmére átvitelnél és tároláskor egyaránt. Emellett különféle második hitelesítési tényezőt is alkalmazhat, hogy a rendszer biztonsága még magasabb legyen. A Psono saját szerveren való tárolásával további biztonsági intézkedéseket - például hálózati korlátozásokat, VPN-hozzáférést - is bevezethet.
- Hogyan tudja meg, ha egy jelszó kompromittálódott?
A Psono kompromittált jelszavak felismerésére szolgáló funkciója segítségével az összes jelszót ellenőrizheti a haveibeenpwned.com nyilvános adatbázison keresztül, amely a legnagyobb adat-szivárgásokat tartalmazó szolgáltató, több mint 10 milliárd kompromittált fiókkal az adatbázisban.
- Hogyan illeszti be ezt a folyamatot a felhasználók beléptetésébe és kiléptetésébe?
A Psono képes kapcsolódni az LDAP, SAML vagy OIDC szolgáltatóhoz, így központilag kezelheti a hozzáféréseket. A felhasználók automatikusan belépnek saját fiókjaikkal, a csoporttagság alapján kapnak hozzáférést, és automatikusan inaktiválódnak, ha elhagyják a céget, mindez extra erőfeszítés vagy időigényes folyamatok nélkül.
Ha készen áll a következő lépésre, vegye fel velünk a kapcsolatot a sales@psono.com címen, és tudjon meg többet arról, hogyan tudunk segíteni Önnek.
