HIPAA-kompatibel passordbehandler

HIPAA Generelt

The Health Insurance Portability and Accountability Act (HIPAA) fra 1996 er en amerikansk lov som har som mål å beskytte pasientens medisinske data og helseinformasjon, og gjelder leger, sykehus, helsetjenesteleverandører og andre enheter som håndterer medisinske data.

HIPAA krever at passordhåndtering er en del av din HIPAA-komplianseplan. I henhold til 45 CFR §164.308(a)(5) må de berørte enhetene implementere "Prosedyrer for opprettelse, endring og sikring av passord". Vær oppmerksom på at passordhåndtering og passordbehandlere ikke er det samme. Passordhåndtering refererer til handlingen med å administrere passord, mens en passordbehandler er et stykke programvare som hjelper til med å administrere passordene. Derfor, selv om HIPAA pålegger håndtering av passord, spesifiserer den ikke eksplisitt hvordan dette skal gjøres.

HIPAA-krav for passordbehandlere

Passordbehandlere lagrer ikke Beskyttet Helseinformasjon (PHI) og trenger derfor ikke å være HIPAA-kompatible i seg selv. Du trenger ikke bekymre deg for forretningsavtaler eller underavtaler med forretningspartnere. Men du må kunne vise revisorer at du administrerer passord, noe som innebærer hvordan du oppretter, lagrer, endrer og sikrer dem.

Nærmere bestemt må du kunne svare på følgende spørsmål:

• Hvem brukte det passordet?
• Hvem har tilgang til det passordet?
• Når endret du passordet sist?
• Hva er din passordpolicy?
• Overholder brukerne dine passordpolicyen?
• Hvilke sikkerhetstiltak har du på plass for å beskytte passordene dine?
• Hvordan finner du ut at et passord er kompromittert?
• Hvordan er prosessen integrert i inn- og utmelding av brukere?

Selv om passordbehandlere ikke er strengt nevnt i HIPAA, er de nødvendige verktøy for å overholde HIPAA og vise revisorer korrekt praksis.

Hvordan Psono svarer på disse spørsmålene

Psono er en av de beste passordbehandlerne i sin klasse. Den tilbyr militærgrad sikkerhet med funksjonalitet for administrasjon på bedriftsnivå og forsøker å forbedre produktiviteten til brukerne.

• Hvem brukte det passordet?

Psono Enterprise Edition har detaljerte revisjonslogg, som logger tilgang til alle hemmeligheter med metadata som brukernavn og IP-adresser. Revisjonslogger sendes til en egen server for å forhindre manipulering.

• Hvem har tilgang til det passordet?

Du kan sjekke tillatelsene for alle passord og vite hvilken bruker som har tilgang. Muligheten til å revidere tilgang basert på grupper forenkler revisjonsprosessen. Du har full kontroll og kan enkelt vise revisorer etterlevelse.

• Når endret du passordet sist?

Hele historien til et passord spores i tillegg til datoen passordet ble endret sist. En full historikk viser at passordet også virkelig ble endret.

• Hva er din passordpolicy?

Du kan håndheve tilfeldige passord som er sterke nok til å motstå enhver brute force-angrep og kan lage passord med en spesifikk lengde og kompleksitetskrav.

• Overholder brukerne dine passordpolicyen?

Den innebygde sikkerhetsrapporten lar revisorer sjekke den generelle etterlevelsen av brukerne uten å avsløre de faktiske passordene. Den generelle aksepten av policyer kan sjekkes og bores ned til individuelle brukere og passord.

• Hvilke sikkerhetstiltak har du på plass for å beskytte passordene dine?

Psono bruker sterk kryptering for å beskytte dataene i transitt og i ro. I tillegg kan du håndheve ulike sekundære faktorer for å øke den generelle sikkerheten i systemet. Med muligheten til å hoste Psono på stedet kan du implementere ytterligere sikkerhetstiltak som nettverksrestriksjoner og VPN-tilgang.

• Hvordan finner du ut at et passord er kompromittert?

Psono sin databruddregistreringsfunksjon kan brukes til å sjekke alle passord mot den offentlige tjenesten haveibeenpwned.com, som er den største leverandøren av databrudd med over 10 000 000 000 kompromitterte kontoer i deres database.

• Hvordan er prosessen integrert i inn- og utmelding av brukere?

Med Psono's mulighet til å koble til din LDAP, SAML eller OIDC-leverandør kan du administrere tilgang sentralt. Brukere blir automatisk onboardet med sine kontoer, får tilgang basert på deres grupper og deaktivert når de forlater selskapet uten ekstra innsats eller tidkrevende prosesser.

Hvis du er klar til å ta neste steg, ta kontakt med sales@psono.com og lær mer om hvordan vi kan hjelpe deg.