HIPAA概述
1996年的《健康保险可携性和责任法案》(HIPAA)是一项旨在保护患者医疗数据和健康信息的美国法律,适用于处理医疗数据的医生、医院、医疗服务提供者和其他实体。
HIPAA要求密码管理是HIPAA合规计划的一部分。根据45 CFR §164.308(a)(5),受保护实体必须实施“创建、变更和保护密码的程序”。请注意,密码管理与密码管理器不是同一个概念。密码管理指的是管理密码的行为,而密码管理器是帮助管理密码的软件。因此,即使HIPAA要求管理密码,但并没有明确规定如何进行管理。
HIPAA对密码管理器的要求
由于密码管理器本身不存储受保护的健康信息(PHI),因此它们不需要自己符合HIPAA。您不必担心业务伙伴协议或业务伙伴分包商协议。但您需要向审计员证明您是如何管理密码的,包括如何创建、存储、更改和保护密码。
具体来说,您需要回答以下问题:
- 谁使用了那个密码?
- 谁有权访问那个密码?
- 上次更改密码是什么时候?
- 您的密码策略是什么?
- 您的用户是否遵循密码策略?
- 您采取了哪些安全措施来保护您的密码?
- 您如何发现密码被泄露?
- 如何将该过程集成到用户的入职和离职中?
因此,即使HIPAA中没有严格提及密码管理器,密码管理器也是遵守HIPAA和向审计员展示正确实践的必要工具。
Psono如何回答这些问题
Psono是同类中最好的密码管理器之一。它提供了军用级别的安全性和企业级的管理功能,并努力提高用户生产力。
- 谁使用了那个密码?
Psono企业版具有详细的审计日志,记录了对所有秘密的访问,包括用户名和IP地址等元数据。为了防止任何篡改,审计日志被发送到单独的服务器。
- 谁有权访问那个密码?
您可以检查所有密码的权限,了解哪些用户有权访问。基于组的访问审计选项简化了审计过程。您完全掌控,可以轻松向审计员展示合规性。
- 上次更改密码是什么时候?
除了记录上次更改密码的日期外,还会跟踪密码的完整历史。完整的历史记录证明密码确实被更改过。
- 您的密码策略是什么?
您可以强制执行随机密码,使其足够强大以抵御任何暴力破解攻击,并可以创建具有特定长度和复杂性要求的密码。
- 您的用户是否遵循密码策略?
内置的安全报告允许审计员检查用户的一般合规性,而不会暴露实际密码。可以检查政策的整体接受情况,并深入到独立用户和密码。
- 您采取了哪些安全措施来保护您的密码?
Psono使用强大的加密来保护传输和静态数据。此外,您可以强制执行各种第二因素验证以提高系统的整体安全性。借助在本地托管Psono的选项,您可以实施额外的保护措施,例如网络限制和VPN访问。
- 您如何发现密码被泄露?
Psono的泄露检测功能可以用来检查所有密码是否与haveibeenpwned.com的公共服务中的数据泄露相匹配,该服务是最大的数据泄露提供商,数据库中有超过10,000,000,000个被泄露的账户。
- 如何将该过程集成到用户的入职和离职中?
通过Psono连接到您的LDAP、SAML或OIDC提供商的能力,您可以集中管理访问权限。用户会自动使用他们的帐户进行入职,根据他们的组授予访问权限,并在他们离开公司时禁用,无需任何额外的努力或耗时的过程。
如果您准备好迈出下一步,请联系sales@psono.com,了解更多关于我们如何帮助您的信息。
