HIPAA Allmänt
The Health Insurance Portability and Accountability Act (HIPAA) från 1996 är en amerikansk lag som syftar till att skydda patienters medicinska data och hälsoinformation och gäller läkare, sjukhus, vårdgivare och andra enheter som hanterar medicinska data.
HIPAA kräver att lösenordshantering är en del av din HIPAA-efterlevnadsplan. Enligt 45 CFR §164.308(a)(5) måste relevanta enheter implementera "Procedurer för att skapa, ändra och skydda lösenord". Observera att lösenordshantering och lösenordshanterare är inte samma sak. Lösenordshantering hänvisar till akten att hantera lösenord medan en lösenordshanterare är ett program som hjälper till att hantera lösenorden. Så även om HIPAA kräver hantering av lösenord specificerar det inte uttryckligen hur detta ska ske.
HIPAA-krav för lösenordshanterare
Lösenordshanterare, eftersom de inte lagrar skyddad hälsoinformation (PHI), behöver inte vara HIPAA-kompatibla i sig. Du behöver inte oroa dig för avtal om affärspartner eller underleverantörer. Men du behöver visa för revisorer att du hanterar lösenord, vilket involverar hur du skapar, lagrar, ändrar och skyddar dem.
Detaljerat måste du besvara följande frågor:
- Vem använde det lösenordet?
- Vem har tillgång till det lösenordet?
- När ändrade du lösenordet senast?
- Vad är din lösenordspolicy?
- Följer dina användare lösenordspolicyn?
- Vilka säkerhetsåtgärder har du på plats för att skydda dina lösenord?
- Hur får du reda på att ett lösenord har komprometterats?
- Hur är processen integrerad i din användar- och avveckling av användare?
Så även om lösenordshanterare inte nämns strikt i HIPAA, är lösenordshanterare nödvändiga verktyg för att följa HIPAA och visa för revisorer att korrekt praxis följs.
Hur svarar Psono på dessa frågor
Psono är en av de bästa lösenordshanterarna i sin klass. Den erbjuder säkerhet av militär klass med funktionalitet för hantering på företagsnivå och försöker förbättra produktiviteten hos sina användare.
- Vem använde det lösenordet?
Psono Enterprise Edition har detaljerade granskningsloggar som loggar åtkomst till alla hemligheter med metadata som användarnamn och ip adresser. Granskningsloggar skickas till en separat server för att förhindra manipulation.
- Vem har tillgång till det lösenordet?
Du kan kontrollera behörigheterna för alla lösenord och veta vilken användare som har tillgång. Möjligheten att granska åtkomst baserat på grupper förenklar granskningsprocessen. Du har full kontroll och kan enkelt visa efterlevnad för revisorer.
- När ändrade du lösenordet senast?
Hela historiken för ett lösenord spåras utöver datumet då lösenordet ändrades senast. En fullständig historik visar att lösenordet också verkligen ändrades.
- Vad är din lösenordspolicy?
Du kan tvinga slumpmässiga lösenord som är tillräckligt starka för att motstå alla bruteforce-attacker och kan skapa lösenord med ett specifikt längd- och komplexitetskrav.
- Följer dina användare lösenordspolicyn?
Den inbyggda säkerhetsrapporten låter revisorer kontrollera användarnas allmänna efterlevnad utan att exponera de faktiska lösenorden. Den övergripande acceptansen av policyer kan kontrolleras och borras ner till individuella användare och lösenord.
- Vilka säkerhetsåtgärder har du på plats för att skydda dina lösenord?
Psono använder stark kryptering för att skydda data under överföring och i vila. Dessutom kan du tvinga olika sekundära faktorer för att öka systemets övergripande säkerhet. Med möjligheten att vara värd för Psono lokalt kan du implementera ytterligare skyddsåtgärder som nätverksbegränsningar och VPN-åtkomst.
- Hur får du reda på att ett lösenord har komprometterats?
Psonos funktion för att upptäcka dataöverträdelser kan användas för att kontrollera alla lösenord mot den offentliga tjänsten haveibeenpwned.com som är den största leverantören av dataintrång med över 10,000,000,000 komprometterade konton i sin databas.
- Hur är processen integrerad i din användar- och avveckling av användare?
Med Psonos kapacitet att ansluta till din LDAP, SAML eller OIDC-leverantör kan du hantera åtkomst centralt. Användare ombordas automatiskt med sina konton, beviljas åtkomst baserat på deras grupper och inaktiveras när de lämnar företaget utan någon extra ansträngning eller ytterligare tidskrävande processer.
Om du är redo att ta nästa steg, kontakta sales@psono.com och lär dig mer om hur vi kan hjälpa dig.
