Zgodność z HIPAA w ADManager Plus

ManageEngine ADManager Plus oferuje poniższe opcje korzystania z produktu w sposób zgodny z HIPAA.

1. Oznaczanie pól, które zawierają ePHI
2. Zabezpieczanie danych ePHI
3. Rejestrowanie działań związanych z ePHI za pomocą dzienników audytu

Uwaga: Domyślnie ADManager Plus nie zbiera żadnych danych ePHI od swoich użytkowników.

Oznaczanie PII i ePHI w atrybutach niestandardowych

Korzystając z tej opcji, administrator może oznaczyć dowolne pola danych w atrybutach niestandardowych jako PII lub ePHI i odróżnić je od innych pól.

Aby to zrobić:

1. Zaloguj się do konsoli ADManager Plus i przejdź do zakładki Admin.
2. Kliknij Atrybuty LDAP, które znajdują się pod Ustawieniami niestandardowymi.
3. Kliknij przycisk Dodaj atrybut.
4. Wprowadź szczegóły atrybutów niestandardowych, takie jak Nazwa wyświetlana, Nazwa LDAP, Typ danych, Powiązane raporty i Zarządzanie powiązane w odpowiednich polach.
5. Jeśli wprowadzona nazwa LDAP to ePHI, zaznacz pole To pole zawiera informacje PII/ePHI obiektu, aby oznaczyć je jako ePHI.
6. Kliknij Dodaj, aby zakończyć operację.

Zabezpieczenie ePHI

a) Zabezpieczenie eksportowanych danych

ADManager Plus oferuje ochronę hasłem dla eksportowanych raportów, kopii zapasowych bazy danych i archiwalnych plików raportów audytowych. Ta ochrona hasłem może być stosowana do każdego raportu eksportowanego lub planowanego przez e-mail.

Aby włączyć ochronę hasłem dla eksportowanych raportów, wykonaj następujące kroki:

1. Zaloguj się do konsoli ADManager Plus i przejdź do zakładki Admin.
2. Wybierz Bezpieczeństwo i prywatność, które znajdują się pod Ustawieniami ogólnymi.
3. W sekcji Bezpieczeństwo danych w ustawieniach prywatności zaznacz pole Eksportowane raporty.
4. Wprowadź hasło. Zauważ, że to hasło musi być wprowadzone, aby wyświetlić eksportowane raporty lub zaplanowane raporty.
5. Kliknij Zapisz.

b) Zabezpieczenie ePHI przechowywanego w bazie danych

Wrażliwe dane przechowywane w bazach danych - takie jak ePHI, hasła i tokeny autoryzacyjne - są szyfrowane przy użyciu 256-bitowego standardu szyfrowania AES. Baza danych produktu znajduje się wyłącznie w środowisku klienta i można do niej uzyskać dostęp tylko poprzez dostarczenie specyficznych dla instancji poświadczeń. Przechowywane hasła są haszowane jednokierunkowo przy użyciu bcrypt i są filtrowane ze wszystkich naszych logów. Ponieważ stosowany jest algorytm haszowania bcrypt z sól per-user, jego odwrócenie byłoby bardzo czasochłonne.

Dzienniki audytu

ADManager Plus rejestruje wszystkie próby dostępu użytkowników do ePHI, wraz z działaniami, które zostały podjęte na dostępnych danych, poprzez dzienniki audytu.

Co więcej, gdy jakiekolwiek ePHI zostanie zidentyfikowane w treści wiadomości, produkt wyświetli je w oknie dialogowym potwierdzenia, aby upewnić się, że żadne informacje ePHI nie zostaną wprowadzone przypadkowo. Dotyczy to każdego wprowadzonego tekstu w treści Wiadomości w funkcjach Szablonu Webhook i Szablonu powiadomień.