Загальні відомості про HIPAA
Закон про перенесення та підзвітність медичного страхування (HIPAA) 1996 року — це закон США, який спрямований на захист медичних даних і інформації про здоров’я пацієнтів та поширюється на лікарів, лікарні, постачальників медичних послуг та інші організації, які працюють з медичними даними.
HIPAA вимагає, щоб управління паролями було частиною вашого плану відповідності HIPAA. Відповідно до 45 CFR §164.308(a)(5) відповідальні організації повинні впроваджувати "Процедури створення, зміни та захисту паролів". Зверніть увагу, що управління паролями і менеджери паролів — це не одне й те саме. Управління паролями — це дія, яка охоплює роботу з паролями загалом, а менеджер паролів — це програма, яка допомагає ними керувати. Таким чином, навіть якщо HIPAA вимагає управління паролями, вона не зазначає прямо, як саме це має відбуватися.
Вимоги HIPAA до менеджерів паролів
Менеджери паролів, оскільки вони не зберігають захищену медичну інформацію (PHI), не повинні бути окремо сумісними з HIPAA. Вам не потрібно турбуватися про угоди про ділове партнерство чи субпідрядні угоди про ділове партнерство. Однак ви повинні мати можливість довести аудиторам, що ви здійснюєте управління паролями, зокрема, як ви їх створюєте, зберігаєте, змінюєте й захищаєте.
Детальніше, вам доведеться відповісти на такі питання:
- Хто використовував цей пароль?
- Хто має доступ до цього пароля?
- Коли востаннє ви змінювали цей пароль?
- Яка у вас політика щодо паролів?
- Чи дотримуються ваші користувачі політики щодо паролів?
- Які заходи безпеки ви впровадили для захисту паролів?
- Як ви дізнаєтеся, що пароль скомпрометовано?
- Як цей процес інтегровано у вступ/звільнення співробітників?
Хоча менеджери паролів ніяк не згадані безпосередньо у HIPAA, менеджер паролів є необхідним інструментом для виконання вимог HIPAA та демонстрації коректної практики під час аудиту.
Як Psono відповідає на ці питання
Psono — один із найкращих менеджерів паролів у своєму класі. Він забезпечує військовий рівень безпеки, має функції корпоративного управління і покращує продуктивність своїх користувачів.
- Хто використовував цей пароль?
Enterprise-версія Psono має детальні журнали аудиту, у яких фіксується доступ до всіх секретів із метаданими, як-от імені користувача та IP-адреси. Аудит-логи надсилаються на окремий сервер, щоб запобігти їхній підробці.
- Хто має доступ до цього пароля?
Ви можете перевірити права доступу до кожного пароля, знати, який користувач має доступ. Можна також здійснити аудит доступу за групами, що спрощує перевірки. Ви маєте повний контроль і можете легко показати відповідність аудиторам.
- Коли востаннє ви змінювали цей пароль?
Повна історія зміни паролю відслідковується разом із датою останньої зміни. Це дозволяє переконатися, що пароль дійсно був змінений.
- Яка у вас політика щодо паролів?
Ви можете примусово створювати випадкові паролі, достатньо надійні для захисту від будь-яких атак перебором, і задавати паролі з певною довжиною та складністю.
- Чи дотримуються ваші користувачі політики щодо паролів?
Вбудований звіт із безпеки дозволяє аудиторам перевіряти загальну відповідність користувачів політиці паролів без розкриття самих паролів. Ви можете простежити прийняття політики як для всієї організації, так і для окремих користувачів і паролів.
- Які заходи безпеки ви впровадили для захисту паролів?
Psono використовує надійне шифрування для захисту даних під час передавання й зберігання. Додатково можна підвищити безпеку, ввімкнувши другий фактор автентифікації. Якщо розмістити Psono на своїх серверах, можна також впровадити додаткові заходи безпеки, як-от обмеження мережі та VPN-доступ.
- Як ви дізнаєтеся, що пароль скомпрометовано?
Функціонал виявлення компрометації в Psono дозволяє перевіряти всі паролі через публічний сервіс haveibeenpwned.com — найбільший у світі ресурс про витоки даних, база якого налічує понад 10 000 000 000 скомпрометованих облікових записів.
- Як цей процес інтегровано у вступ/звільнення співробітників?
Завдяки можливості Psono підключатися до провайдерів аутентифікації LDAP, SAML чи OIDC ви можете централізовано керувати доступом. Користувачі автоматично додаються до системи зі своїми обліковими записами, отримують доступ відповідно до груп, а при звільненні доступ блокується без додаткових зусиль і витрат часу.
Якщо ви готові зробити наступний крок — звертайтесь за адресою sales@psono.com та дізнайтеся, як ми можемо бути вам корисні.
