HIPAA Všeobecne
Zákon o prenositeľnosti a zodpovednosti zdravotného poistenia (HIPAA) z roku 1996 je zákon USA, ktorého cieľom je chrániť zdravotné údaje a informácie pacientov a vzťahuje sa na lekárov, nemocnice, poskytovateľov zdravotnej starostlivosti a iné subjekty, ktoré spracúvajú zdravotné údaje.
HIPAA vyžaduje, aby bolo riadenie hesiel súčasťou vášho plánu pre splnenie požiadaviek HIPAA. Podľa 45 CFR §164.308(a)(5) musia pokryté subjekty implementovať „Postupy na tvorbu, zmenu a ochranu hesiel“. Upozorňujeme, že riadenie hesiel a správca hesiel nie je to isté. Riadenie hesiel sa týka samotnej správy hesiel, pričom správca hesiel je softvér, ktorý vám pri tejto správe pomáha. Aj keď HIPAA vyžaduje správu hesiel, nepredpisuje presný spôsob, ako to urobiť.
Požiadavky HIPAA na správcov hesiel
Správcovia hesiel, keďže neukladajú chránené zdravotné informácie (PHI), nemusia byť sami o sebe v súlade s HIPAA. Nemusíte sa obávať zmlúv o pridružených podnikoch (Business Associate Agreements) alebo zmlúv s poddodávateľmi. Musíte však byť schopní audítorom preukázať, že heslá spravujete — teda ako ich vytvárate, ukladáte, meníte a chránite.
Konkrétne budete musieť odpovedať na nasledujúce otázky:
- Kto použil toto heslo?
- Kto má k tomuto heslu prístup?
- Kedy ste heslo naposledy zmenili?
- Aká je vaša politika hesiel?
- Dodržiavajú vaši používatelia politiku hesiel?
- Aké bezpečnostné opatrenia máte zavedené na ochranu hesiel?
- Ako zistíte, že bolo heslo kompromitované?
- Ako je tento proces integrovaný do prijímania a odchodu používateľov?
Takže hoci správcovia hesiel nie sú v HIPAA striktne zmieňovaní, sú nevyhnutným nástrojom na splnenie požiadaviek HIPAA a preukázanie správnej praxe audítorom.
Ako Psono odpovedá na tieto otázky
Psono patrí medzi najlepších správcov hesiel vo svojej triede. Poskytuje bezpečnosť na vojenskej úrovni s funkcionalitou správy na úrovni podnikov a snaží sa zvyšovať produktivitu svojich používateľov.
- Kto použil toto heslo?
Psono Enterprise Edition obsahuje detailné audítorské záznamy, ktoré sledujú prístup ku všetkým tajomstvám vrátane metadát ako používateľské mená a IP adresy. Audítorské záznamy sa odosielajú na samostatný server pre zabránenie manipulácie.
- Kto má k tomuto heslu prístup?
Pre každé heslo si môžete skontrolovať oprávnenia a viete, ktorý používateľ má prístup. Možnosť auditovať prístup podľa skupín zjednodušuje auditovanie. Ste plne pod kontrolou a ľahko môžete preukázať súlad audítorom.
- Kedy ste heslo naposledy zmenili?
Úplná história hesla je evidovaná vrátane dátumu poslednej zmeny hesla. Úplná história dokáže preukázať, že k zmene hesla naozaj došlo.
- Aká je vaša politika hesiel?
Môžete vynucovať náhodné heslá, ktoré sú dostatočne silné pre odolnosť voči útokom hrubou silou a môžete vytvárať heslá s konkrétnou dĺžkou a zložením podľa požiadaviek.
- Dodržiavajú vaši používatelia politiku hesiel?
Zabudovaná správa o bezpečnosti umožňuje audítorom skontrolovať všeobecný súlad používateľov bez odhalenia samotných hesiel. Celkový súlad s politikami je možné sledovať a analyzovať až na úroveň jednotlivých používateľov a hesiel.
- Aké bezpečnostné opatrenia máte zavedené na ochranu hesiel?
Psono používa silné šifrovanie na ochranu údajov pri prenose aj v pokoji. Okrem toho môžete vynútiť rôzne druhé faktory pre zvýšenie celkovej bezpečnosti systému. S možnosťou prevádzkovať Psono lokálne môžete implementovať ďalšie opatrenia, napríklad sieťové obmedzenia a prístup cez VPN.
- Ako zistíte, že bolo heslo kompromitované?
Funkcionalita detekcie únikov v Psono umožňuje porovnať všetky heslá s verejnou službou haveibeenpwned.com, čo je najväčšia databáza narušených účtov s viac ako 10 000 000 000 kompromitovanými účtami.
- Ako je tento proces integrovaný do prijímania a odchodu používateľov?
S možnosťou Psona pripojiť sa k vášmu poskytovateľovi LDAP, SAML alebo OIDC môžete spravovať prístupy centrálne. Používatelia sú automaticky pridávaní so svojimi účtami, majú prístup podľa svojich skupín a sú deaktivovaní pri odchode z firmy bez ďalšieho úsilia a časovo náročných procesov.
Ak ste pripravení spraviť ďalší krok, kontaktujte nás na sales@psono.com a dozviete sa viac o tom, ako vám môžeme pomôcť.
