Uma senha é comprometida quando é vazada em uma violação de dados e disponibilizada na dark web, permitindo que outras pessoas obtenham acesso não autorizado às
A Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) é uma legislação dos EUA criada para definir padrões nacionais de privacidade e segurança para proteger a privacidade de informações de saúde de pacientes e evitar violações de dados. Todas as organizações associadas a serviços de saúde, incluindo companhias de seguros de saúde e associações empresariais, se enquadram nos regulamentos da HIPAA, o que significa que precisam cumprir os requisitos de conformidade da HIPAA.
Na seção da HIPAA que cobre Conscientização e treinamento de segurança, a HIPAA afirma que as organizações são obrigadas a ter “procedimentos para criar, alterar e proteger senhas”. Um gerenciador de senhas ajuda a garantir que sua organização esteja em conformidade com a HIPAA gerando senhas fortes e armazenando-as com segurança em um cofre criptografado.
Continue lendo para saber mais sobre os requisitos de senhas da HIPAA e como um gerenciador de senhas pode ajudar a cumpri-los.
Requisitos de senhas da HIPAA
Embora a HIPAA não exija um gerenciador de senhas, ela exige que o gerenciamento de senhas seja uma parte do seu plano de conformidade com a HIPAA. Veja as práticas de segurança de credenciais que se alinham com a orientação do Instituto Nacional de Padrões e Tecnologia (NIST) sobre os requisitos de senhas da HIPAA.
- Complexidade de senhas: a HIPAA não tem requisitos específicos de complexidade de senhas, no entanto, o NIST recomenda que os funcionários entendam como criar senhas fortes e exclusivas e como protegê-las.
- Rotação de senhas: a HIPPA não exige alterações de senhas no momento, e o NIST desencoraja os funcionários a alterar senhas regularmente. No entanto, o NIST incentiva que as senhas sejam alteradas imediatamente, se forem comprometidas.
- Autenticação multifator (MFA): o NIST recomenda que a MFA seja habilitada sempre que estiver disponível.
- Compartilhamento de senhas: a HIPAA não aborda o compartilhamento de senhas especificamente, no entanto, o NIST recomenda fortemente que os usuários compartilhem senhas para sistemas e dados que contêm informações de saúde protegidas e armazenadas eletronicamente (ePHI).
- Monitoramento e login: os administradores de TI devem monitorar a atividade de login de usuários para garantir que os usuários não estejam tentando acessar registros ou sistemas irrelevantes para suas funções de trabalho.
- Desligamento: as organizações devem ter procedimentos de desligamento para desativar imediatamente as senhas de usuários e o acesso a informações de saúde protegidas (PHI) quando deixam a empresa ou mudam de posição. O NIST recomenda ter procedimentos diferentes para funcionários que saem voluntariamente e para aqueles que são demitidos involuntariamente.
As vantagens de utilizar um gerenciador de senhas para conformidade com a HIPAA
Veja algumas das vantagens de utilizar um gerenciador de senhas para conformidade com a HIPAA.
Crie senhas fortes
Uma dificuldade que muitas pessoas enfrentam é criar senhas fortes para diferentes contas. Essa dificuldade geralmente leva as pessoas a utilizar senhas fracas que são fáceis de serem adivinhadas por cibercriminosos. Como alternativa, as pessoas recorrem à reutilização de senhas para várias contas, colocando várias contas em risco de comprometimento se apenas uma for violada. Como os gerenciadores de senhas ajudam na criação de senhas fortes, os usuários não precisam mais se preocupar em ter que criar senhas fortes por conta própria. Além disso, as organizações podem garantir que cada um de seus funcionários esteja utilizando senhas fortes para proteger contas organizacionais e dados confidenciais.
Autenticação multifator
Pode ser difícil garantir que os usuários estejam habilitando a MFA para todas as contas que a têm disponível, e, embora seja necessário garantir a conformidade com a HIPAA, muitos usuários ainda falham em habilitá-la. Com um gerenciador de senhas, os administradores de TI podem impor o uso da MFA para todas as contas. Alguns gerenciadores de senhas como o Keeper® também podem armazenar códigos de MFA em seu cofre digital seguro, simplificando o processo de fazer login em sites e sistemas que têm a MFA habilitada.
Controles de acesso baseados em funções (RBAC)
Alguns dos melhores gerenciadores de senhas permitem que os administradores de TI configurem e apliquem controles de acesso baseados em função (RBAC). Com o RBAC, os administradores de TI podem ajustar facilmente os níveis de acesso e desativar contas se os usuários deixarem a organização ou trocarem de funções de trabalho. O RBAC não apenas melhora a segurança e atende aos requisitos de conformidade com a HIPAA, mas também ajuda a reduzir gastos e despesas gerais administrativas.
Armazenamento seguro
Os melhores gerenciadores de senhas podem armazenar mais do que apenas senhas, incluindo passkeys, arquivos e documentos. Tudo o que é armazenado em um gerenciador de senhas de conhecimento zero é criptografado em repouso e em trânsito para garantir que apenas usuários autorizados possam acessá-lo. Isso evita que dados não caiam nas mãos de cibercriminosos e atende aos requisitos de conformidade da HIPAA de conceder acesso apenas a pessoas que têm direitos de acesso adequados.
O que buscar em um gerenciador de senhas em conformidade com a HIPAA
Nem todos os gerenciadores de senhas são iguais. Veja o que sua organização deve buscar em um gerenciador de senhas em conformidade com a HIPAA.
Criptografia forte
Um gerenciador de senhas é tão forte quanto a criptografia que ele oferece. O gerenciador de senhas que você escolhe para proteger sua organização deve ser de confiança zero e conhecimento zero, garantindo que apenas indivíduos autorizados tenham os meios para acessar o cofre do gerenciador de senhas e que a criptografia e a descriptografia sempre ocorram localmente no dispositivo do usuário. Além disso, o gerenciador de senhas também deve proteger dados com criptografia AES de 256 bits e criptografia de curva elíptica (ECC), que é considerada a criptografia mais robusta do setor de segurança cibernética.
Compatibilidade com a A2F
O gerenciador de senhas que você escolher também deve ser compatível com a autenticação de dois fatores (2FA). Habilitar a A2F na sua conta do gerenciador de senhas garante que ela seja protegida com uma camada adicional de segurança para evitar acessos não autorizados. O gerenciador de senhas deve oferecer as seguintes opções de A2F:
- Autenticação de SSO
- Chaves de segurança de hardware FIDO2 WebAuthn
- Passkeys
- Autenticação biométrica (por exemplo, FaceID, Touch ID, Windows Hello)
Provisionamento automático de e-mail
Com o provisionamento automático de e-mail, os cofres de senhas podem ser provisionados para milhares de usuários com uma correspondência de domínio em endereços de e-mail. Isso facilita para organizações de grande escala implantar o gerenciador de senhas para seus funcionários.
Escolha o Keeper como seu gerenciador de senhas em conformidade com a HIPAA
Um gerenciador de senhas como o Keeper pode ajudar sua organização a aderir aos requisitos de senhas da HIPAA gerando senhas fortes, aplicando e habilitando a MFA, implementando controles de acesso baseados em função e fornecendo armazenamento seguro. Como o Keeper nunca tem acesso a dados de usuários, um acordo de associação empresarial (BAA) não é necessário para a conformidade com a HIPAA.
Pronto para proteger sua organização de saúde contra violações de dados relacionadas a senhas e garantir a conformidade com a HIPAA? Comece hoje uma avaliação empresarial gratuita de 14 dias do Keeper.