HIPAA 概述
1996 年的健康保險可攜性和責任法案(HIPAA)是一項旨在保護患者醫療數據和健康資訊的美國法律,適用於醫生、醫院、醫療服務提供者和其他處理醫療數據的實體。
HIPAA 要求將密碼管理作為 HIPAA 合規計劃的一部分。根據 45 CFR §164.308(a)(5),包含這些實體在內的機構必須實施「建立、變更和保護密碼的程序」。請注意,密碼管理與密碼管理器並不相同。密碼管理指的是管理密碼的行動,而密碼管理器則是一種幫助管理密碼的軟體。因此,即使 HIPAA 規定了密碼管理,但沒有明確規定如何執行這些操作。
密碼管理器的 HIPAA 要求
由於密碼管理器不儲存受保護的健康資訊 (PHI),故不需要自身符合 HIPAA 標準。您不必擔心商業夥伴協議或商業夥伴分包協議。但您需要向審核員展示如何管理密碼,這涉及到如何創建、儲存、變更和保護它們。
具體來說,您需要回答以下問題:
- 誰使用了那個密碼?
- 誰有權訪問該密碼?
- 您上一次更改該密碼是什麼時候?
- 您的密碼策略是什麼?
- 您的用戶是否遵守密碼策略?
- 您有哪些安全措施來保護您的密碼?
- 您如何發現密碼已被洩露?
- 此過程如何整合到您的用戶啟用和停用流程中?
因此,儘管 HIPAA 並未嚴格提到密碼管理器,但密碼管理器是符合 HIPAA 和向審核員展示正確實踐所需的重要工具。
Psono 如何回答這些問題
Psono 是最佳級別的密碼管理器之一。它提供軍用級安全性、企業級管理功能,並努力提高用戶的生產力。
- 誰使用了那個密碼?
Psono 企業版具有詳細的審計日誌,記錄了所有秘密的訪問,並附有如用戶名和 IP 地址等元數據。審計日誌被傳送至獨立的伺服器,以防止任何篡改。
- 誰有權訪問該密碼?
您可以檢查所有密碼的權限,了解哪個用戶有權訪問。基於群組的訪問審核選項簡化了審核過程。您完全掌控,可以輕鬆向審核員展示合規性。
- 您上一次更改該密碼是什麼時候?
密碼的完整歷史被追蹤,此外還記錄了上次更改密碼的日期。完整的歷史展示了密碼確實有被更改。
- 您的密碼策略是什麼?
您可以強制執行足夠強大的隨機密碼以抵禦任何暴力攻擊,並可以創建具有特定長度和複雜性要求的密碼。
- 您的用戶是否遵守密碼策略?
內建的安全報告允許審核員在不暴露實際密碼的情況下檢查用戶的一般合規性。可以檢查整體政策的接受程度,並深入到個別用戶和密碼。
- 您有哪些安全措施來保護您的密碼?
Psono 使用強加密技術來保護傳輸和儲存中的數據。此外,您可以執行各種雙因素驗證以增加系統的整體安全性。透過選擇在本地部署 Psono,您可以增強網絡限制和虛擬私人網絡(VPN)訪問等額外的安全措施。
- 您如何發現密碼已被洩露?
Psono 的洩漏檢測功能可用於檢查所有密碼,對照 haveibeenpwned.com 的公共服務,該服務是擁有超過 100 億洩露帳戶數據庫的資料洩露提供商。
- 此過程如何整合到您的用戶啟用和停用流程中?
通過 Psono 能夠連接到您的 LDAP、SAML 或 OIDC 提供者,您可以集中管理訪問。用戶會自動使用他們的帳戶啟用,根據其屬於的群組授予他們訪問權限,並在他們離開公司後自動禁用,無需額外的努力或耗時的過程。
如果您準備好邁出下一步,請發郵件至 sales@psono.com,了解更多我們可以如何幫助您。
