HIPAA 개요

1996년 제정된 건강 보험 양도 및 책임 법(HIPAA)은 미국 법률로, 환자의 의료 데이터와 건강 정보를 보호하는 것을 목표로 하며, 의사, 병원, 건강 서비스 제공자 및 기타 의료 데이터를 다루는 기관에 적용됩니다.

HIPAA는 암호 관리를 HIPAA 준수 계획의 일부로 포함하도록 요구합니다. 45 CFR §164.308(a)(5)에 따르면 적용 대상 기관은 '암호 생성, 변경 및 보호 절차'를 구현해야 합니다. 암호 관리와 암호 관리자는 같은 것이 아니라는 점을 유의해야 합니다. 암호 관리란 암호를 관리하는 행위를 지칭하는 반면, 암호 관리자는 암호 관리를 도와주는 소프트웨어를 의미합니다. 따라서 HIPPA는 암호 관리를 의무화하지만, 구체적인 방법에 대해서는 명시하지 않습니다.

암호 관리자에 대한 HIPAA 요구 사항

암호 관리자는 보호 건강 정보(PHI)를 저장하지 않기 때문에 스스로 HIPAA에 준수할 필요는 없습니다. 비즈니스 파트너 계약이나 비즈니스 파트너 하청 계약에 대해 걱정할 필요가 없습니다. 그러나 감사자에게 암호를 관리하고 있다는 사실을 입증해야 하며, 이는 암호를 생성, 저장, 변경 및 보호하는 방식을 수반합니다.

구체적으로 다음 질문에 답해야 합니다:

  • 누가 그 암호를 사용했는가?
  • 누가 그 암호에 접근할 수 있는가?
  • 마지막으로 암호를 변경한 시점은 언제인가?
  • 암호 정책은 무엇인가?
  • 사용자들이 암호 정책을 준수하고 있는가?
  • 암호를 보호하기 위한 보안 조치는 무엇인가?
  • 암호가 손상되었는지 어떻게 파악하는가?
  • 사용자 온보딩 및 오프보딩 과정에 이 프로세스가 어떻게 통합되어 있는가?

따라서 암호 관리자는 HIPAA에 명시적으로 언급되지 않지만, HIPAA 준수를 위해 올바른 실천을 감사자에게 입증하기 위해 필요한 도구입니다.

Psono가 이러한 질문에 어떻게 답하는가

Psono는 클래스 최고의 암호 관리자 중 하나입니다. 군사 등급의 보안과 기업 수준의 관리 기능을 제공하며 사용자의 생산성을 향상시키고자 합니다.

  • 누가 그 암호를 사용했는가?

Psono Enterprise Edition은 사용자의 이름과 IP 주소와 같은 메타데이터와 함께 모든 비밀에 대한 접근을 기록하는 상세 감사 로그를 제공합니다. 감사 로그는 조작을 방지하기 위해 별도의 서버로 전송됩니다.

  • 누가 그 암호에 접근할 수 있는가?

모든 암호에 대한 권한을 확인할 수 있으며, 어떤 사용자가 접근할 수 있는지 알 수 있습니다. 그룹 기반으로 접근을 감사하는 옵션은 감사 과정을 단순화합니다. 전체 관리를 할 수 있으며, 감사자에게 준수를 쉽게 입증할 수 있습니다.

  • 마지막으로 암호를 변경한 시점은 언제인가?

암호의 전체 히스토리를 추적하며, 마지막으로 암호가 변경된 날짜를 추가로 기록합니다. 전체 히스토리는 암호가 실제로 변경되었음을 입증합니다.

  • 암호 정책은 무엇인가?

무차별 대입 공격을 견딜 수 있을 만큼 강력한 무작위 암호를 강제할 수 있으며, 특정 길이와 복잡성 요구 사항을 갖춘 암호를 생성할 수 있습니다.

  • 사용자들이 암호 정책을 준수하고 있는가?

내장된 보안 보고서는 실제 암호를 노출하지 않고 감사자들이 사용자들의 일반적인 준수 여부를 확인할 수 있도록 합니다. 정책의 전체 수용도를 확인하고 개별 사용자와 암호에 대한 세부 사항을 확인할 수 있습니다.

  • 암호를 보호하기 위한 보안 조치는 무엇인가?

Psono는 데이터 전송 및 저장을 보호하기 위해 강력한 암호화를 사용합니다. 추가로, 시스템의 전반적인 보안을 강화하기 위해 다양한 2차 요인을 강제할 수 있습니다. Psono를 사내에서 호스팅할 수 있는 옵션으로 네트워크 제한 및 VPN 접근과 같은 추가적인 보호 조치를 구현할 수 있습니다.

  • 암호가 손상되었는지 어떻게 파악하는가?

Psono 위반 탐지 기능을 활용하여, 100억 개 이상의 손상된 계정이 포함된 세계 최대 데이터 위반 제공자인 haveibeenpwned.com의 공공 서비스를 통해 모든 암호를 체크할 수 있습니다.

  • 사용자 온보딩 및 오프보딩 과정에 이 프로세스가 어떻게 통합되어 있는가?

Psono의 LDAP, SAML 또는 OIDC 제공자와의 연결 기능을 통해 중앙에서 접근을 관리할 수 있습니다. 사용자는 계정과 함께 자동으로 온보딩되며, 그룹에 따라 접근 권한이 부여되고, 회사에서 떠날 때 추가적인 노력을 들이지 않고도 비활성화됩니다.

다음 단계를 준비하려면 sales@psono.com으로 연락하여 저희가 어떻게 도울 수 있는지 알아보십시오.

작성자: Sascha Pfeiffer, 작성일: March 07, 2021
Psono 문서

더 찾고 계신가요?

여기에서 최신 기사를 확인하세요!