Общие сведения о HIPAA
Закон о переносимости и подотчетности медицинского страхования (HIPAA) 1996 года — это закон США, который направлен на защиту медицинских данных и информации о здоровье пациентов и применяется к врачам, больницам, поставщикам медицинских услуг и другим организациям, которые обрабатывают медицинские данные.
HIPAA требует, чтобы управление паролями было частью вашего плана соответствия HIPAA. Согласно 45 CFR §164.308(a)(5) покрываемые организации должны внедрить "Процедуры создания, изменения и защиты паролей". Обратите внимание, что управление паролями и менеджеры паролей — это не одно и то же. Управление паролями относится к акту управления паролями, тогда как менеджер паролей — это программное обеспечение, которое помогает управлять паролями. Таким образом, даже если HIPAA требует управление паролями, оно не уточняет, как именно это делать.
Требования HIPAA к менеджерам паролей
Менеджеры паролей, так как они не хранят защищенную медицинскую информацию (PHI), сами по себе не обязаны соответствовать стандартам HIPAA. Вам не нужно беспокоиться о соглашениях с деловыми партнерами или субподрядчиками деловых партнеров. Но вам необходимо продемонстрировать аудиторам, что вы управляете паролями, включая создание, хранение, изменение и защиту паролей.
Вам нужно будет ответить на следующие вопросы:
- Кто использовал этот пароль?
- Кто имеет доступ к этому паролю?
- Когда вы в последний раз меняли пароль?
- Какова ваша политика в отношении паролей?
- Соответствуют ли ваши пользователи политике в отношении паролей?
- Какие меры безопасности вы используете для защиты паролей?
- Как вы узнаете, что пароль был скомпрометирован?
- Как процесс интегрирован в ваши процедуры принятия и увольнения сотрудников?
Таким образом, даже если менеджеры паролей не упоминаются напрямую в HIPAA, они являются необходимыми инструментами для соблюдения стандартов HIPAA и демонстрации аудиторам правильной практики.
Как Psono отвечает на эти вопросы
Psono является одним из лучших менеджеров паролей в своем классе. Он обеспечивает военную степень безопасности с функциями корпоративного уровня управления и пытается повысить продуктивность своих пользователей.
- Кто использовал этот пароль?
Psono Enterprise Edition имеет детализированные журналы аудита, которые регистрируют доступ ко всем секретам с метаданными, такими как имена пользователей и IP-адреса. Журналы аудита отправляются на отдельный сервер для предотвращения любых манипуляций.
- Кто имеет доступ к этому паролю?
Вы можете проверить разрешения для всех паролей и узнать, какой пользователь имеет доступ. Возможность аудита доступа по группам упрощает процесс аудита. Вы полностью контролируете ситуацию и можете легко продемонстрировать аудиторам соответствие стандартам.
- Когда вы в последний раз меняли пароль?
Полная история пароля отслеживается вместе с датой последнего изменения пароля. Полная история демонстрирует, что пароль действительно был изменен.
- Какова ваша политика в отношении паролей?
Вы можете принудительно использовать случайные пароли, которые достаточно сильны, чтобы противостоять любой атаке грубой силой, и создавать пароли с конкретными требованиями к длине и сложности.
- Соответствуют ли ваши пользователи политике в отношении паролей?
Встроенный отчет безопасности позволяет аудиторам проверять общую соблюдение пользователями политики, не раскрывая фактические пароли. Общий уровень принятия политик можно проверить и углубить до отдельных пользователей и паролей.
- Какие меры безопасности вы используете для защиты паролей?
Psono использует сильное шифрование для защиты данных при передаче и в состоянии покоя. Кроме того, вы можете использовать различные вторые факторы для повышения общей безопасности системы. С возможностью разместить Psono на своих серверах, вы можете внедрить дополнительные меры защиты, такие как сетевые ограничения и доступ через VPN.
- Как вы узнаете, что пароль был скомпрометирован?
Функция обнаружения утечки Psono может использоваться для проверки всех паролей через публичный сервис haveibeenpwned.com, который является крупнейшим поставщиком утечек данных с более чем 10,000,000,000 скомпрометированных аккаунтов в своей базе данных.
- Как процесс интегрирован в ваши процедуры принятия и увольнения сотрудников?
С возможностью подключения Psono к вашему провайдеру LDAP, SAML или OIDC вы можете централизованно управлять доступом. Пользователи автоматически принимаются с их учетными записями, получают доступ, основанный на их группах, и отключаются после увольнения из компании без дополнительных усилий или времязатратных процессов.
Если вы готовы сделать следующий шаг, свяжитесь с sales@psono.com и узнайте больше о том, как мы можем вам помочь.
