Gestore di password conforme a HIPAA

Generale HIPAA

Il Health Insurance Portability and Accountability Act (HIPAA) del 1996 è una legge statunitense che mira a proteggere i dati medici e le informazioni sulla salute dei pazienti e si applica a medici, ospedali, fornitori di servizi sanitari e altre entità che gestiscono dati medici.

HIPAA richiede che la gestione delle password faccia parte del piano di conformità HIPAA. Secondo il 45 CFR §164.308(a)(5), le entità coperte devono implementare "Procedure per creare, cambiare e proteggere le password". Si noti che la gestione delle password e i gestori delle password non sono la stessa cosa. La gestione delle password si riferisce all'atto di gestire le password, mentre un gestore di password è un software che aiuta a gestire le password. Quindi, anche se HIPAA impone la gestione delle password, non specifica esplicitamente come farlo.

Requisiti HIPAA per i gestori di password

I gestori di password, poiché non memorizzano informazioni sanitarie protette (PHI), non necessitano di essere conformi a HIPAA. Non è necessario preoccuparsi degli Accordi di Associazione Aziendale o degli Accordi di Subappalto di Associazione Aziendale. Ma è necessario dimostrare agli auditor che si gestiscono le password, il che implica come le si crea, memorizza, cambia e protegge.

In dettaglio, dovrai rispondere alle seguenti domande:

• Chi ha utilizzato quella password?
• Chi ha accesso a quella password?
• Quand'è stata l'ultima volta che hai cambiato la password?
• Qual è la tua politica sulle password?
• I tuoi utenti rispettano la politica sulle password?
• Quali misure di sicurezza hai in atto per proteggere le tue password?
• Come scopri che una password è stata compromessa?
• Come è integrato il processo nella tua onboarding e offboarding degli utenti?

Quindi, anche se i gestori di password non sono strettamente menzionati in HIPAA, i gestori di password sono strumenti necessari per conformarsi a HIPAA e dimostrare agli auditor la pratica corretta.

Come Psono risponde a queste domande

Psono è uno dei migliori gestori di password della sua categoria. Fornisce sicurezza di grado militare con funzionalità di gestione a livello aziendale e cerca di migliorare la produttività dei suoi utenti.

• Chi ha utilizzato quella password?

Psono Enterprise Edition dispone di log di audit dettagliati, che registrano l'accesso a tutti i segreti con metadati come nomi utente e indirizzi IP. I log di audit vengono inviati a un server separato per prevenire qualsiasi manomissione.

• Chi ha accesso a quella password?

Puoi controllare i permessi per tutte le password, sapere quale utente ha accesso. L'opzione di audit dell'accesso basato sui gruppi semplifica il processo di audit. Sei in pieno controllo e puoi facilmente dimostrare la conformità agli auditor.

• Quand'è stata l'ultima volta che hai cambiato la password?

La cronologia completa di una password è tracciata oltre alla data in cui la password è stata cambiata l'ultima volta. Una cronologia completa dimostra che la password è stata effettivamente cambiata.

• Qual è la tua politica sulle password?

Puoi imporre password casuali abbastanza forti da resistere a qualsiasi attacco a forza bruta e puoi creare password con una lunghezza e una complessità specifiche.

• I tuoi utenti rispettano la politica sulle password?

Il report di sicurezza integrato consente agli auditor di controllare la conformità generale degli utenti senza esporre le password effettive. L'accettazione complessiva delle politiche può essere controllata e approfondita fino agli utenti e alle password indipendenti.

• Quali misure di sicurezza hai in atto per proteggere le tue password?

Psono utilizza una forte crittografia per proteggere i dati in transito e a riposo. Inoltre, puoi imporre vari secondi fattori per aumentare la sicurezza complessiva del sistema. Con l'opzione di ospitare Psono in sede, puoi implementare ulteriori misure di sicurezza come restrizioni di rete e accesso tramite VPN.

• Come scopri che una password è stata compromessa?

La funzionalità di rilevamento delle violazioni di Psono può essere utilizzata per controllare tutte le password rispetto al servizio pubblico di haveibeenpwned.com, che è il più grande fornitore di violazioni di dati con oltre 10.000.000.000 di account compromessi nel loro database.

• Come è integrato il processo nella tua onboarding e offboarding degli utenti?

Con la capacità di Psono di connettersi al tuo provider LDAP, SAML o OIDC, puoi gestire l'accesso centralmente. Gli utenti vengono automaticamente integrati con i loro account, concessi accessi in base ai loro gruppi e disabilitati una volta che lasciano l'azienda senza alcuno sforzo aggiuntivo o processi che richiedono tempo aggiuntivo.

Se sei pronto per fare il passo successivo, contatta sales@psono.com e scopri di più su come possiamo aiutarti.