Geral HIPAA
A Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) de 1996 é uma lei dos EUA que visa proteger os dados médicos do paciente e informações de saúde e se aplica a médicos, hospitais, prestadores de serviços de saúde e outras entidades que lidam com dados médicos.
A HIPAA exige que a gestão de senhas faça parte do seu plano de conformidade HIPAA. De acordo com 45 CFR §164.308(a)(5), as entidades cobertas devem implementar "Procedimentos para criar, alterar e proteger senhas". Note que gestão de senhas e gerenciadores de senhas não são a mesma coisa. A gestão de senhas refere-se ao ato de gerenciar senhas, enquanto um gerenciador de senhas é um software que ajuda a gerenciar as senhas. Portanto, mesmo que a HIPAA exija a gestão de senhas, ela não especifica explicitamente como fazer isso.
Requisitos HIPAA para gerenciadores de senhas
Gerenciadores de senhas, por não armazenarem Informações de Saúde Protegidas (PHI), não precisam ser compatíveis com HIPAA. Você não precisa se preocupar com Acordos de Associação de Negócios ou Acordos de Subcontração de Associados de Negócios. Mas você precisa demonstrar aos auditores que você gerencia senhas, o que envolve como você as cria, armazena, altera e protege.
Em detalhe, você terá que responder às seguintes perguntas:
- Quem usou essa senha?
- Quem tem acesso a essa senha?
- Quando você alterou a senha pela última vez?
- Qual é a sua política de senhas?
- Seus usuários cumprem a política de senhas?
- Quais medidas de segurança você tem em vigor para proteger suas senhas?
- Como você descobre que uma senha foi comprometida?
- Como o processo é integrado ao seu onboard e offboard de usuários?
Portanto, mesmo que os gerenciadores de senhas não sejam mencionados estritamente na HIPAA, os gerenciadores de senhas são ferramentas necessárias para cumprir com HIPAA e demonstrar aos auditores as práticas corretas.
Como o Psono responde a essas perguntas
Psono é um dos melhores gerenciadores de senhas de sua categoria. Ele fornece segurança de nível militar com funcionalidade de gestão em nível empresarial e tenta melhorar a produtividade de seus usuários.
- Quem usou essa senha?
A Edição Enterprise do Psono possui registros de auditoria detalhados, que registram o acesso a todos os segredos com metadados como nomes de usuários e endereços IP. Os registros de auditoria são enviados para um servidor separado para evitar qualquer adulteração.
- Quem tem acesso a essa senha?
Você pode verificar as permissões de todas as senhas e saber quais usuários têm acesso. A opção de auditar acessos com base em grupos simplifica o processo de auditoria. Você tem controle total e pode facilmente demonstrar conformidade aos auditores.
- Quando você alterou a senha pela última vez?
O histórico completo de uma senha é rastreado, além da data em que a senha foi alterada pela última vez. Um histórico completo demonstra que a senha foi realmente alterada.
- Qual é a sua política de senhas?
Você pode impor senhas aleatórias que sejam fortes o suficiente para resistir a qualquer ataque de força bruta e pode criar senhas com um comprimento e requisitos de complexidade específicos.
- Seus usuários cumprem a política de senhas?
O relatório de segurança embutido permite que os auditores verifiquem a conformidade geral dos usuários sem expor as senhas reais. A aceitação geral das políticas pode ser verificada e detalhada até usuários e senhas independentes.
- Quais medidas de segurança você tem em vigor para proteger suas senhas?
O Psono usa criptografia forte (encryption) para proteger os dados em trânsito e em repouso. Além disso, você pode impor vários fatores secundários para aumentar a segurança geral do sistema. Com a opção de hospedar o Psono nas instalações, você pode implementar salvaguardas adicionais, como restrições de rede e acesso VPN.
- Como você descobre que uma senha foi comprometida?
A funcionalidade de detecção de violação do Psono pode ser usada para verificar todas as senhas contra o serviço público do haveibeenpwned.com, que é o maior provedor de dados de violações, com mais de 10.000.000.000 de contas comprometidas em seu banco de dados.
- Como o processo é integrado ao seu onboard e offboard de usuários?
Com a capacidade do Psono de se conectar ao seu provedor LDAP, SAML ou OIDC, você pode gerenciar o acesso de forma centralizada. Os usuários são automaticamente integrados com suas contas, recebem acesso com base em seus grupos e são desativados quando deixam a empresa sem qualquer esforço extra ou processos adicionais que consomem tempo.
Se você está pronto para dar o próximo passo, entre em contato com sales@psono.com e saiba mais sobre como podemos ajudá-lo.
