密码在数据泄露中泄露,并在暗网上可用,从而允许其他人
健康保险流通与责任法案 (HIPAA) 是美国法律,旨在制定国家隐私和安全标准,以保护患者健康信息的隐私并防止数据泄露。 所有与医疗保健相关的组织(包括健康保险公司和商业伙伴)均受 HIPAA 法规约束,这意味着它们必须遵守 HIPAA 合规要求。
根据 HIPAA 涉及安全意识和培训的部分,HIPAA 规定组织必须制定“创建、更改和保护密码的程序”。 密码管理器通过生成强密码并将其安全地存储在加密保险库中,有助于确保您的组织符合 HIPAA 标准。
继续阅读以了解有关 HIPAA 密码要求的更多信息,以及密码管理器如何帮助满足这些要求。
HIPAA 密码要求
虽然 HIPAA 不要求密码管理器,但它确实规定密码管理成为您的 HIPAA 合规计划的一部分。 以下是符合美国国家标准与技术研究所 (NIST) 关于 HIPAA 密码要求指南的凭证安全实践。
- 密码复杂性:HIPAA 没有具体的密码复杂性要求,但是,NIST 建议员工了解如何创建复杂且唯一的密码以及如何保护它们。
- 密码轮换:HIPPA 目前不要求更改密码,NIST 也不鼓励员工定期更改密码。 但是,NIST 确实鼓励在密码被泄露时立即更改密码。
- 多因素身份验证 (MFA):NIST 建议在条件允许时启用 MFA。
- 密码共享:HIPAA 并未专门解决密码共享问题,但是,NIST 强烈建议禁止用户向包含电子存储的受保护健康信息 (ePHI) 的系统和数据共享密码。
- 监控和记录:IT 管理员应监控用户登录活动,以确保用户不会尝试访问与其工作职责无关的记录或系统。
- 离职:组织应制定离职程序,以便在用户离开公司或更换职位时立即禁用用户密码和 PHI 访问权限。 NIST 建议对自愿离职的员工和非自愿解雇的员工采取不同的程序。
使用密码管理器实现 HIPAA 合规性的优势
以下是使用密码管理器来实现 HIPAA 合规性的一些优势。
创建强密码
许多人面临的一个难题是为不同的帐户创建强密码。 这种挑战通常会导致人们使用很容易被网络犯罪分子猜到的弱密码。 另一方面,人们会为多个帐户重复使用密码,如果只有一个帐户被破解,其他帐户就会面临被泄露的风险。 由于密码管理器有助于创建强密码,因此用户将不再需要担心自己创建强密码的问题。 此外,组织可以确保每个员工都使用强密码来保护组织帐户和敏感数据。
多因素身份验证
要确保用户为每个支持多因素身份验证 (MFA) 的账户都启用 MFA 确实是一项艰难的任务。尽管 HIPAA 合规性要求必须开启 MFA,但仍有许多用户未能做到这一点。 借助密码管理器,IT 管理员可以强制每个帐户都使用 MFA。 Keeper® 等一些密码管理器还可以将 MFA 代码存储在其安全数字保险库中,从而让登录启用了 MFA 的站点和系统的过程得以简化。
基于角色的访问控制 (RBAC)
一些最好的密码管理器允许 IT 管理员设置和实施基于角色的访问控制。 借助 RBAC,IT 管理员可以在用户离开组织或转换工作职责时轻松调整访问级别并禁用帐户。 RBAC 不仅增强了安全性,满足了 HIPAA 合规性要求,而且还有助于降低成本和管理开销。
安全存储
最好的密码管理器不仅可以存储密码,还可以存储密钥、文件和文档。 存储在零知识密码管理器中的所有内容在静态和传输过程中都会进行加密,以确保只有授权用户才能访问它。 这可以防止数据落入网络犯罪分子手中,并满足 HIPAA 的合规要求,即仅向拥有适当访问权限的人员授予访问权限。
符合 HIPAA 标准的密码管理器可以为我们做什么
并非所有的密码管理器都是一样的。 以下是您的组织应该在符合 HIPAA 要求的密码管理器中期待的功能。
强加密
密码管理器的强度取决于它提供的加密能力。 您选择用来保护组织的密码管理器应该是“零信任”和“零知识”,确保只有经过授权的个人才能访问密码管理器保险库,并且加密和解密始终在用户设备本地进行。 此外,密码管理器还应使用 AES 256 位加密和椭圆曲线加密 (ECC) 来保护数据,这被认为是网络安全行业中最强大的加密。
2FA 支持
您选择的密码管理器还应支持双因素身份验证 (2FA)。 在您的密码管理器帐户上启用 2FA 可确保其受到额外的安全层保护,以防止未经授权的访问。 密码管理器应提供以下 2FA 选项:
电子邮件自动配置
借助电子邮件自动配置功能,只要电子邮件地址匹配指定域名,密码管理系统就能够自动为数千名用户进行配置和部署。 这使得大型组织可以轻松地为其员工部署密码管理器。
选择 Keeper 作为您符合 HIPAA 规范的密码管理器
像 Keeper 这样的密码管理器可以通过生成强密码、强制执行和启用 MFA、实施基于角色的访问控制以及提供安全存储来帮助您的组织遵守 HIPAA 密码要求。 由于 Keeper 永远无法访问用户数据,因此 HIPAA 合规性不需要业务合作协议 (BAA)。
准备好保护您的医疗保健组织免受与密码相关的数据泄露并确保 HIPAA 合规性了吗? 立即开始 14 天的免费 Keeper 商业试用。