![HIPAA మల్టీ-ఫాక్టర్ ప్రమాణీకరణ](https://i.ytimg.com/vi/8p6JboGZoLc/hqdefault.jpg)
విషయము
- 2FA లాంగ్ను ఫెడరల్ రెగ్యులేటర్లు విశ్వసించారు
- అధ్యయనం: HIPAA కోసం రెండు-కారకాల ప్రామాణీకరణ ఉపయోగించబడింది
- బగ్స్ లేవు, ఒత్తిడి లేదు - మీ జీవితాన్ని నాశనం చేయకుండా జీవితాన్ని మార్చే సాఫ్ట్వేర్ను రూపొందించడానికి స్టెప్ గైడ్ ద్వారా మీ దశ
- 2FA డాక్యుమెంటేషన్ అవసరం
- 2FA సాఫ్ట్వేర్కు స్వయంగా HIPAA వర్తింపు అవసరం లేదు
- HIPAA ఆబ్జెక్టివ్: కొనసాగుతున్న రిస్క్ తగ్గించడం
మూలం: క్రియేటివా ఇమేజెస్ / ఐస్టాక్ఫోటో
Takeaway:
HIPAA కోసం రెండు-కారకాల ప్రామాణీకరణ అవసరం లేనప్పటికీ, ఇది HIPAA సమ్మతికి మార్గం సుగమం చేస్తుంది.
వినియోగదారు పేరు మరియు పాస్వర్డ్తో సాంప్రదాయ లాగిన్ ప్రక్రియ పెరుగుతున్న శత్రు ఆరోగ్య సంరక్షణ డేటా వాతావరణంలో సరిపోదు. రెండు-కారకాల ప్రామాణీకరణ (2FA) చాలా ముఖ్యమైనదిగా మారింది. HIPAA క్రింద సాంకేతికత తప్పనిసరి కానప్పటికీ, HIPAA జర్నల్ ఇది సమ్మతి కోణం నుండి వెళ్ళడానికి ఒక మంచి మార్గం అని పేర్కొంది - వాస్తవానికి ఈ పద్ధతిని "HIPAA పాస్వర్డ్ అవసరాలకు అనుగుణంగా ఉత్తమమైన మార్గం" అని పిలుస్తారు. (2FA గురించి మరింత తెలుసుకోవడానికి, రెండు-కారకాల ప్రామాణీకరణ యొక్క ప్రాథమికాలను చూడండి.)
2FA (కొన్నిసార్లు బహుళ-కారకాల ప్రామాణీకరణ, MFA గా విస్తరించబడింది) గురించి ఒక ఆసక్తికరమైన విషయం ఏమిటంటే, ఇది అనేక ఆరోగ్య సంరక్షణ సంస్థలలో అమలులో ఉంది - కాని ఇతర రకాల సమ్మతి కోసం, డ్రగ్ ఎన్ఫోర్స్మెంట్ అడ్మినిస్ట్రేషన్స్ ఎలక్ట్రానిక్ ప్రిస్క్రిప్షన్ ఫర్ కంట్రోల్డ్ సబ్స్టాన్స్ రూల్స్ మరియు పేమెంట్ కార్డ్ ఇండస్ట్రీ డేటా సెక్యూరిటీ స్టాండర్డ్ (పిసిఐ డిఎస్ఎస్). ఏదైనా నియంత్రిత పదార్థాలను ఎలక్ట్రానిక్గా సూచించడంలో ఉపయోగించాల్సిన ప్రాథమిక మార్గదర్శకాలు మునుపటివి - రోగి సమాచారాన్ని రక్షించడానికి సాంకేతిక భద్రతలను ప్రత్యేకంగా పరిష్కరించడంలో HIPAA భద్రతా నియమానికి సమాంతరంగా ఉండే నియమాల సమితి. రెండోది వాస్తవానికి చెల్లింపు కార్డు పరిశ్రమ నియంత్రణ, ఇది ప్రధాన క్రెడిట్ కార్డ్ కంపెనీల నుండి జరిమానాలను నివారించడానికి కార్డ్ చెల్లింపులతో సంబంధం ఉన్న ఏదైనా డేటాను ఎలా రక్షించాలో నియంత్రిస్తుంది.
EU ల జనరల్ డేటా ప్రొటెక్షన్ రెగ్యులేషన్ దాని అదనపు పర్యవేక్షణ మరియు జరిమానాలు (మరియు యూరోపియన్ వ్యక్తుల వ్యక్తిగత డేటాను నిర్వహించే ఏ సంస్థకైనా వర్తించేది) ఇచ్చిన 2FA తో ఆందోళనను పరిశ్రమ అంతటా మరింత దృష్టి పెడుతుంది.
2FA లాంగ్ను ఫెడరల్ రెగ్యులేటర్లు విశ్వసించారు
రెండు-కారకాల ప్రామాణీకరణను HHS డిపార్ట్మెంట్స్ ఫర్ సివిల్ రైట్స్ (OCR) చాలా సంవత్సరాలుగా సిఫార్సు చేసింది. 2006 లో, HHS ఇప్పటికే 2FA ని HIPAA సమ్మతి కొరకు ఉత్తమ అభ్యాసంగా సిఫారసు చేస్తోంది, పాస్వర్డ్ దొంగతనం యొక్క ప్రమాదాన్ని పరిష్కరించే మొదటి పద్ధతిగా దీనిని పేర్కొంది, ఇది ePHI యొక్క అనధికారిక వీక్షణకు దారితీస్తుంది. డిసెంబరు 2006 పత్రంలో, HIPAA సెక్యూరిటీ గైడెన్స్, పాస్వర్డ్ దొంగతనం ప్రమాదాన్ని రెండు ముఖ్య వ్యూహాలతో పరిష్కరించాలని HHS సూచించింది: 2FA, ప్రత్యేకమైన వినియోగదారు పేర్లను సృష్టించడం మరియు రిమోట్ ఉద్యోగుల ప్రాప్యత యొక్క ప్రామాణీకరణ కోసం సాంకేతిక ప్రక్రియను అమలు చేయడంతో పాటు.
అధ్యయనం: HIPAA కోసం రెండు-కారకాల ప్రామాణీకరణ ఉపయోగించబడింది
నేషనల్ కోఆర్డినేటర్ ఫర్ హెల్త్ ఇన్ఫర్మేషన్ టెక్నాలజీ (ఒఎన్సి) కార్యాలయం నవంబర్ 2015 నుండి తన "ఒఎన్సి డేటా బ్రీఫ్ 32" ద్వారా ఈ సాంకేతిక పరిజ్ఞానం పట్ల ప్రత్యేక శ్రద్ధ చూపించింది, ఇది దేశవ్యాప్తంగా తీవ్రమైన సంరక్షణ ఆసుపత్రులచే 2 ఎఫ్ఎ యొక్క దత్తత పోకడలను కవర్ చేసింది. ఈ సంస్థలో 2 ఎఫ్ఎ సామర్థ్యం ఎంత ఉందనే దానిపై నివేదిక ఉంది (అనగా, ది సామర్ధ్యం వినియోగదారు దానిని స్వీకరించడానికి, దీనికి విరుద్ధంగా అవసరం దానికోసం). ఆ సమయంలో, 2014 లో, రెగ్యులేటర్లు దానిని నెట్టివేస్తున్నారని ఖచ్చితంగా అర్ధమైంది, అధ్యయన సమూహం సగం కంటే తక్కువ అమలుచేసినప్పటికీ, సంఖ్యలు పెరుగుతున్నప్పటికీ:
● 2010 – 32%
● 2011 – 35%
● 2012 – 40%
బగ్స్ లేవు, ఒత్తిడి లేదు - మీ జీవితాన్ని నాశనం చేయకుండా జీవితాన్ని మార్చే సాఫ్ట్వేర్ను రూపొందించడానికి స్టెప్ గైడ్ ద్వారా మీ దశ
సాఫ్ట్వేర్ నాణ్యత గురించి ఎవరూ పట్టించుకోనప్పుడు మీరు మీ ప్రోగ్రామింగ్ నైపుణ్యాలను మెరుగుపరచలేరు.
● 2013 – 44%
● 2014 – 49%
ఖచ్చితంగా, 2FA ఆ సమయం నుండి మరింత విస్తృతంగా స్వీకరించబడింది - కాని ఇది సర్వత్రా కాదు.
2FA డాక్యుమెంటేషన్ అవసరం
గమనించదగ్గ ముఖ్యమైన మరో అంశం ఏమిటంటే, వ్రాతపని యొక్క ఆవశ్యకత - మీరు ఫెడరల్ ఆడిటర్లచే దర్యాప్తును ముగించినట్లయితే ఇది చాలా కీలకం, అయితే మీరు ఆ చర్చను చేర్చినట్లయితే, ప్రమాద విశ్లేషణ అవసరాలను కూడా నెరవేరుస్తారు. పాస్వర్డ్ నియమాలు జాబితా చేయబడినందున డాక్యుమెంటేషన్ అవసరం అడ్రస్బుల్ - ఈ ఉత్తమ అభ్యాసాన్ని ఉపయోగించటానికి డాక్యుమెంటెడ్ రీజనింగ్ను అందించడానికి అర్థం (ఇది హాస్యాస్పదంగా అనిపించవచ్చు). మరో మాటలో చెప్పాలంటే, మీరు 2FA ను అమలు చేయవలసిన అవసరం లేదు, కానీ మీరు అలా చేస్తే ఎందుకు వివరించాలి.
2FA సాఫ్ట్వేర్కు స్వయంగా HIPAA వర్తింపు అవసరం లేదు
2FA తో ఉన్న అతిపెద్ద సవాళ్ళలో ఒకటి, ఇది ఒక ప్రక్రియకు ఒక అడుగు వేసినప్పటి నుండి అది అంతర్గతంగా అసమర్థంగా ఉంటుంది. వాస్తవానికి, ఆరోగ్య సంరక్షణ వ్యవస్థల మధ్య సమగ్ర ధృవీకరణ కోసం సింగిల్ సైన్-ఆన్ మరియు LDAP ఇంటిగ్రేషన్ ఫంక్షన్ల పెరుగుదల ద్వారా 2FA ఆరోగ్య సంరక్షణను తగ్గిస్తుందనే ఆందోళన చాలావరకు తగ్గించబడింది.
హెడర్లో గుర్తించినట్లుగా, 2 ఎఫ్ఎ సాఫ్ట్వేర్ కూడా పిన్లను ప్రసారం చేస్తుంది, కాని పిహెచ్ఐ కాదు కాబట్టి హెచ్ఐపిఎఎ-కంప్లైంట్ అవసరం లేదు (హాస్యాస్పదంగా సరిపోతుంది). రెండు-కారకాల ప్రామాణీకరణకు బదులుగా మీరు ప్రత్యామ్నాయాలను ఎంచుకోగలిగినప్పటికీ, అగ్ర భిన్నమైన వ్యూహాలు - పాస్వర్డ్ నిర్వహణ సాధనాలు మరియు తరచూ పాస్వర్డ్ మార్పుల విధానాలు - HIPAA పాస్వర్డ్ అవసరాలకు అనుగుణంగా సులభమైన మార్గం కాదు. 2FA అమలు చేస్తే "కవర్డ్ ఎంటిటీలు మళ్లీ పాస్వర్డ్ను మార్చాల్సిన అవసరం లేదు" అని HIPAA జర్నల్ పేర్కొంది. (ప్రామాణీకరణపై మరింత సమాచారం కోసం, బిగ్ డేటా యూజర్ ప్రామాణీకరణను ఎలా సురక్షితం చేస్తుందో చూడండి.)
HIPAA ఆబ్జెక్టివ్: కొనసాగుతున్న రిస్క్ తగ్గించడం
బలమైన మరియు అనుభవజ్ఞులైన హోస్టింగ్ మరియు నిర్వహించే సేవా ప్రదాతలను ఉపయోగించడం యొక్క ప్రాముఖ్యత 2FA దాటి సమగ్ర కంప్లైంట్ భంగిమతో వెళ్ళవలసిన అవసరాన్ని నొక్కి చెబుతుంది. 2FA తప్పులేనిది కనుక; హ్యాకర్లు దాని చుట్టూ వెళ్ళే మార్గాలు ఈ క్రింది వాటిని కలిగి ఉంటాయి:
Last చివరకు నిరాశతో క్లిక్ చేసే వరకు “అంగీకరించు” లతో వినియోగదారులను కొట్టే మాల్వేర్ను పుష్-టు-అంగీకరించండి
One SMS వన్-టైమ్ పాస్వర్డ్ స్క్రాపింగ్ ప్రోగ్రామ్స్
Engineering పోర్ట్ ఫోన్ నంబర్లకు సోషల్ ఇంజనీరింగ్ ద్వారా సిమ్ కార్డ్ మోసం
Voice వాయిస్ మరియు SMS అంతరాయాల కోసం మొబైల్ క్యారియర్ నెట్వర్క్లను పెంచడం
B బూటకపు లింక్లను క్లిక్ చేయడానికి లేదా ఫిషింగ్ సైట్లలోకి లాగిన్ అవ్వడానికి వినియోగదారులను ఒప్పించే ప్రయత్నాలు - వారి లాగిన్ వివరాలను నేరుగా అందజేయడం
కానీ నిరాశ చెందకండి. భద్రతా నియమం యొక్క పారామితులను తీర్చడానికి మరియు HIPAA- కంప్లైంట్ పర్యావరణ వ్యవస్థను నిర్వహించడానికి మీకు అవసరమైన పద్ధతుల్లో రెండు-కారకాల ప్రామాణీకరణ ఒకటి. సమాచారాన్ని మెరుగ్గా రక్షించడానికి తీసుకునే ఏవైనా చర్యలు రిస్క్ తగ్గించేదిగా చూడాలి, గోప్యత, లభ్యత మరియు సమగ్రత వద్ద మీ ప్రయత్నాలను నిరంతరం పెంచుతాయి.