HIPAA-conforme wachtwoordmanager

HIPAA Algemeen

De Health Insurance Portability and Accountability Act (HIPAA) van 1996 is een Amerikaanse wet die tot doel heeft de medische gegevens en gezondheidsinformatie van patiënten te beschermen en is van toepassing op artsen, ziekenhuizen, zorgverleners en andere entiteiten die medische gegevens afhandelen.

HIPAA vereist dat wachtwoordbeheer onderdeel is van uw HIPAA-complianceplan. Volgens 45 CFR §164.308(a)(5) moeten gedekte entiteiten een "Procedures voor het aanmaken, wijzigen en beveiligen van wachtwoorden" implementeren. Let op dat wachtwoordbeheer en wachtwoordmanagers niet hetzelfde zijn. Wachtwoordbeheer verwijst naar de handeling van het beheren van wachtwoorden, terwijl een wachtwoordmanager een stuk software is dat helpt bij het beheren van de wachtwoorden. Dus ook al verplicht HIPAA het beheer van wachtwoorden, het specificeert niet expliciet hoe dat moet gebeuren.

HIPAA-vereisten voor wachtwoordmanagers

Wachtwoordmanagers hoeven zelf niet HIPAA-conform te zijn, aangezien zij geen Beschermde Gezondheidsinformatie (PHI) opslaan. U hoeft zich geen zorgen te maken over Business Associate Agreements of Business Associate Subcontractor Agreements. Maar u moet wel aan auditors kunnen aantonen dat u wachtwoorden beheert, wat inhoudt hoe u ze aanmaakt, opslaat, wijzigt en beveiligt.

In detail moet u de volgende vragen kunnen beantwoorden:

• Wie heeft dat wachtwoord gebruikt?
• Wie heeft toegang tot dat wachtwoord?
• Wanneer heeft u het wachtwoord voor het laatst gewijzigd?
• Wat is uw wachtwoordbeleid?
• Voldoen uw gebruikers aan het wachtwoordbeleid?
• Welke beveiligingsmaatregelen heeft u genomen om uw wachtwoorden te beschermen?
• Hoe ontdekt u dat een wachtwoord is gecompromitteerd?
• Hoe is het proces geïntegreerd in uw in- en uitdiensttreding van gebruikers?

Dus ook al worden wachtwoordmanagers niet strikt genoemd in HIPAA, wachtwoordmanagers zijn noodzakelijke tools om te voldoen aan HIPAA en auditors de correcte praktijk te laten zien.

Hoe beantwoordt Psono deze vragen

Psono is een van de beste wachtwoordmanagers in zijn klasse. Het biedt militaire beveiliging met managementfunctionaliteit op ondernemingsniveau en probeert de productiviteit van zijn gebruikers te verbeteren.

• Wie heeft dat wachtwoord gebruikt?

Psono Enterprise Edition heeft gedetailleerde audit logs die de toegang tot alle geheimen vastleggen met metadata zoals gebruikersnamen en IP-adressen. Audit logs worden verzonden naar een aparte server om elke vorm van knoeien te voorkomen.

• Wie heeft toegang tot dat wachtwoord?

U kunt de rechten voor alle wachtwoorden controleren en weten welke gebruiker toegang heeft. De optie om toegang te controleren op basis van groepen vereenvoudigt het auditproces. U heeft volledige controle en kunt gemakkelijk compliance aan auditors aantonen.

• Wanneer heeft u het wachtwoord voor het laatst gewijzigd?

De volledige geschiedenis van een wachtwoord wordt gevolgd naast de datum waarop het wachtwoord voor het laatst is gewijzigd. Een volledige geschiedenis toont aan dat het wachtwoord ook daadwerkelijk is gewijzigd.

• Wat is uw wachtwoordbeleid?

U kunt willekeurige wachtwoorden afdwingen die sterk genoeg zijn om elke brute force-aanval te weerstaan en wachtwoorden aanmaken met specifieke lengte- en complexiteitsvereisten.

• Voldoen uw gebruikers aan het wachtwoordbeleid?

Het ingebouwde beveiligingsrapport stelt auditors in staat om de algemene compliance van gebruikers te controleren zonder de daadwerkelijke wachtwoorden bloot te leggen. De algemene acceptatie van beleid kan worden gecontroleerd en gedetailleerd per gebruiker en wachtwoord.

• Welke beveiligingsmaatregelen heeft u genomen om uw wachtwoorden te beschermen?

Psono gebruikt sterke encryptie om de gegevens tijdens de overdracht en in rust te beschermen. Daarnaast kunt u verschillende tweede factoren afdwingen om de algehele beveiliging van het systeem te verhogen. Met de optie om Psono on-premise te hosten, kunt u extra beveiligingen implementeren zoals netwerkbeperkingen en VPN-toegang.

• Hoe ontdekt u dat een wachtwoord is gecompromitteerd?

De functie voor het detecteren van inbreuken van Psono kan worden gebruikt om alle wachtwoorden te controleren tegen de openbare dienst van haveibeenpwned.com, de grootste aanbieder van datalekken met meer dan 10.000.000.000 gecompromitteerde accounts in hun database.

• Hoe is het proces geïntegreerd in uw in- en uitdiensttreding van gebruikers?

Met de mogelijkheid van Psono om verbinding te maken met uw LDAP-, SAML- of OIDC-provider kunt u de toegang centraal beheren. Gebruikers worden automatisch aangemeld met hun accounts, krijgen toegang op basis van hun groepen en worden uitgeschakeld zodra ze het bedrijf verlaten zonder extra moeite of tijdrovende processen.

Als u klaar bent om de volgende stap te zetten, neem dan contact op met sales@psono.com en ontdek hoe wij u kunnen helpen.