- ADAudit Plus nous a aidés à répondre à certaines exigences de conformité SOX et PCI. Nous apprécions particulièrement les rapports mensuels automatisés pour SOX, la facilité d'utilisation, la mise en œuvre et le rapport qualité-prix exceptionnel.Jeffrey O'DonnellDirecteur IT,Uncle Bob’s Self Storage
- Nous avons choisi ADAudit Plus de ManageEngine principalement pour nos rapports d'audit SOX. L'outil est intéressant grâce à ses résultats faciles à comprendre et son prix très compétitif, qui a attiré notre attention.Andreas EdererCosma International
- En tant que fournisseur de soins de santé d'urgence, nous considérons ADAudit Plus comme un outil essentiel pour éviter les risques grâce à une gestion efficace. Il nous aide également à nous conformer à la loi HIPAA. Fonctionnant 24/7/365 comme nous, il était le choix évident.JT MasonDirecteur ITCalifornia Transplant Donor Network (CTDN)
- Après avoir évalué plusieurs solutions, nous avons trouvé ADAudit Plus extrêmement facile à déployer et rentable. Il nous a permis de réussir plusieurs audits de sécurité liés à notre industrie, notamment un test d'audit PEN approfondi, et de respecter les directives de sécurité HIPAA.Renee DavisDSILife Management Center
- En tant qu'organisation à but non lucratif, nous devions satisfaire aux exigences HIPAA. ADAudit Plus nous a permis de voir clairement quels changements ont été apportés dans notre Active Directory et par qui.CMenendezResponsable des opérations réseauKendal
- ADAudit Plus s'est avéré être le produit le plus simple et pertinent parmi ceux testés pour surveiller les échecs de connexion des utilisateurs, effectuer le nettoyage des comptes, détecter les activités malveillantes et répondre à la conformité PCI-DSS.Bernie CamusResponsable ITIglu.com
Audit et Reporting de Conformité HIPAA
Segment : Soins de santé / Industrie de l'assurance
 |  |  |  |  |
 |
La loi HIPAA (Health Insurance Portability and Accountability Act, ou loi sur la protection des données médicales) de 1996 est une loi fédérale introduite dans le cadre du code des impôts de la même année. Son objectif principal est d'améliorer la portabilité et la continuité de la couverture d'assurance maladie, qu'elle soit collective ou individuelle.
Conformité HIPAA - Titre I - Ce titre protège la couverture d'assurance maladie des salariés et de leurs familles en cas de changement ou de perte d'emploi, garantissant une continuité des prestations de santé.
Conformité HIPAA - Titre II - Le Titre II de la loi, axé sur la simplification administrative, impose l'établissement de normes nationales pour les transactions électroniques dans le domaine de la santé et la création d'identifiants nationaux pour les prestataires, les régimes d'assurance maladie et les employeurs. En parallèle, des exigences strictes en matière de sécurité et de confidentialité des données médicales ont été introduites. Ces mesures visent à renforcer l'efficience et l'efficacité du système de santé national, tout en favorisant un échange généralisé et sécurisé des données électroniques entre les différents acteurs du secteur.
Réglementation Omnibus HIPAA (2013)
La réglementation définitive HIPAA/HITECH Omnibus est entrée en vigueur fin mars 2013. Une période de mise en conformité de 180 jours a été accordée, s'achevant le 23 septembre 2013. Cette réglementation a considérablement renforcé la protection de la vie privée des patients, accordé aux individus de nouveaux droits sur leurs données de santé et renforcé la capacité des autorités à faire respecter la loi. Les règles de confidentialité et de sécurité établies par la réglementation HIPAA s'appliquent aux prestataires de services de santé, aux régimes de santé et aux autres entités impliquées dans le traitement des demandes de remboursement. Toutefois, les modifications apportées en 2013 ont élargi la portée de ces obligations. Désormais, elles concernent également les partenaires commerciaux de ces entités, y compris les prestataires extérieurs et les sous-traitants qui ont accès à des données de santé protégées (PHI).
En résumé :
- Élaborer ou actualiser les stratégies et procédures de sécurité.
- Conclure ou réviser les accords de partenariat.
- Mettre en place ou actualiser les stratégies et procédures de confidentialité.
- Mettre à jour les avis de confidentialité conformes à la loi HIPAA.
- Former le personnel à la conformité HIPAA.
Section 164 - Sécurité et protection de la vie privée
Remarque : Cliquez sur les numéros de section du tableau ci-dessous pour accéder aux différents rapports d'audit d'ADAudit Plus, conçus pour vous aider à satisfaire les exigences d'une clause spécifique.
| Numéro de section | Description | Reports |
| 164.308 (a) (3) (ii) (a) | Mettre en place des procédures pour autoriser et superviser les membres du personnel accédant à des données de santé protégées informatisées ou travaillant dans des environnements où ces données sont accessibles. |
|
| 164.308 (a) (1) (ii) (d) / 164.312 (b) | Mettre en œuvre des procédures pour examiner régulièrement les enregistrements d’activité des systèmes informatiques, notamment les journaux d’audit, les rapports d’accès et les rapports de suivi des incidents de sécurité. Installer des mécanismes matériels, logiciels ou procéduraux permettant de consigner et d’examiner l’activité des systèmes informatiques contenant ou utilisant des données de santé protégées informatisées. | Activité système :
|
| 164.308 (a) (4) / 164.308 (a) (1) | Établir des stratégies et des procédures visant à prévenir, détecter, contenir et corriger les violations de sécurité, y compris les modifications non autorisées. | Changements d'objets dans AD & GPO / Serveurs de fichiers |
| 164.308 (a) (5) (ii) (c) | Définir des procédures pour surveiller les tentatives de connexion et signaler les anomalies ou divergences détectées. |
|
| 164.308 (a) (4) (c) | Mettre en œuvre des stratégies et des procédures conformes aux règles d'autorisation d'accès de l'entité afin d'établir, documenter, examiner et modifier les droits d'accès des utilisateurs à un poste de travail, une transaction, un programme ou un processus. |
|
Rapports d'audit en temps réel d'ADAudit Plus
Découvrez une vue d’ensemble complète des différents rapports d’audit proposés par ADAudit Plus, conçus pour répondre aux exigences spécifiques de chaque catégorie. Ces rapports permettent un suivi approfondi, des alertes et des reportings détaillés, tout en offrant des options de personnalisation et des rapports basés sur les profils des utilisateurs.
Exemples de rapports d'audit de conformité en temps réel
Dashboard View
Audit Reports
Compliance Reports
File Audit Reports
164.308 (a) (3) (ii) (a)
Authentification AD réussie | Authentification AD échouée | Activité de connexion au serveur
Échecs de connexion | Échecs de connexion par utilisateur | Échecs à cause d'un mot de passe incorrect | Échecs à cause d'un nom d'utilisateur incorrect | Activité de connexion par DC | Activité de connexion par adresse IP | Activité de connexion aux contrôleurs de domaine | Activité de connexion aux serveurs membres | Activité de connexion aux postes de travail | Activité de connexion des utilisateurs | Activité de connexion récente des utilisateurs | Dernière connexion aux postes de travail | Dernière connexion d'un utilisateur | Utilisateurs connectés à plusieurs ordinateurs
Utilisateurs actuellement connectés | Durée de connexion | Échecs de connexion locale | Historique de connexion | Activité de services terminaux | Durée de connexion d'utilisateurs sur des ordinateurs | Échecs de connexion interactive | Sessions d'utilisateurs terminées | Échecs de connexion RADIUS (NPS) | Historique de connexion RADIUS (NPS)
164.308 (a) (1) (ii) (d) / 164.312 (b)
Toutes les modifications de fichiers ou de dossiers | Fichiers créés | Fichiers modifiés | Fichiers supprimés | Accès en lecture de fichier réussi | Tentative de lecture de fichier échouée | Tentative d'écriture de fichier échouée | Tentative de suppression de fichier échouée | Modifications des autorisations du dossier | Modifications des paramètres d'audit du dossier (SACL) | Fichiers déplacés (ou) renommés | Modifications basées sur les utilisateurs | Modifications basées sur les serveurs | Fichiers copiés-collés
164.308 (a) (4) / 164.308 (a) (1)
Changements d'objets dans AD
Tous les changements AD | Tous les changements AD par utilisateur | Tous les changements AD sur les DC | Gestion des utilisateurs | Gestion des groupes | Gestion des ordinateurs | Gestion des OU | Gestion des GPO | Actions administratives des utilisateurs
164.308 (a) (5) (ii) (c)
Connexion / Déconnexion réussie | Connexion échouée | Connexion au service de terminal
Utilisateurs actuellement connectés | Durée de connexion | Échecs de connexion locale | Historique de connexion | Activité des services de terminal | Durée de connexion des utilisateurs sur les ordinateurs | Échecs de connexion interactive | Session utilisateur terminée | Échecs de connexion RADIUS (NPS) | Historique de connexion RADIUS (NPS)
164.308 (a) (4) (c)
Modification des droits d'utilisateur / Options de sécurité | Modifications de la politique d'audit locale
Modifications d'autorisations d'utilisateur | Modifications d'autorisations au niveau domaine | Modifications de paramètres de stratégie de groupe | Modifications de configuration d'ordinateur | Modifications de configuration d'utilisateur | Modifications de stratégie de mots de passe | Modifications de stratégie de verrouillage de compte | Modifications de paramètres de sécurité | Modifications de modèle d'administration | Modifications d'attribution de droits d'utilisateur | Modifications de paramètres Windows | Modifications d'autorisations de stratégie de groupe | Modifications de préférences de stratégie de groupe | Historique des paramètres de stratégie de groupe | Modifications d'attributs étendus | Modifications d'objets de domaine : Modifications de stratégie de domaine | Modifications d'objets DNS du domaine | Modifications d'autorisations au niveau domaine
Modifications de la politique locale (rapports d'audit du serveur)
Rapport récapitulatif | Suivi des processus | Modifications de stratégie | Événements système | Gestion des objets | Tâches planifiées
Quelques Exemples de Rapports de Conformité en Temps Réel Préconfigurés
Rapports de Conformité SOX
Activité de connexion récente de l'utilisateur | Échecs de connexion | Activité des services de terminal | Durée de connexion | Modifications de la stratégie de domaine | Historique de connexion | Gestion des utilisateurs | Gestion de groupe | Gestion des ordinateurs | Gestion des OU | Gestion des GPO | Actions administratives de l'utilisateur | Toutes les modifications de fichiers ou de dossiers
Rapports de Conformité PCI-DSS
Activité de connexion récente de l'utilisateur | Échecs de connexion | Activité des services de terminal | Historique de connexion | Actions administratives de l'utilisateur | Toutes les modifications de fichiers ou de dossiers | Historique de connexion RADIUS (NPS) | Accès en lecture de fichier réussi | Modifications des autorisations de dossier | Modifications des paramètres d'audit de dossier
Rapports de Conformité GLBA
Modifications des paramètres d'audit des dossiers | Modifications des permissions des dossiers | Accès en lecture de fichier réussi | Modifications de tous les fichiers ou dossiers | Gestion des GPO | Gestion des utilisateurs | Gestion des groupes | Modifications de la stratégie de domaine | Durée de connexion | Échecs de connexion locale | Activité des services de terminal
Rapports de Conformité FISMA
Activité de services de terminal | Échecs de connexion locale | Historique de connexion | Gestion de groupe | Gestion des utilisateurs | Actions administratives des utilisateurs | Gestion de l'ordinateur | Gestion des OU | Toutes les modifications de fichiers ou de dossiers | Tentative d'écriture de fichier échouée | Tentative de suppression de fichier échouée