Relatórios e auditoria de conformidade com a lei HIPAA
Segmento: Setor de saúde/seguros
HIPAA é a sigla para Health Insurance Portability and Accountability Act (Lei de Responsabilidade e Portabilidade do Seguro de Saúde), de 1996. É uma lei federal que foi alterada para o Código de Receita Interna de 1996. Foi projetada para melhorar a portabilidade e a continuidade da cobertura de seguro saúde em mercados de grupo e individuais.
Conformidade com o título I da lei HIPAA - A lei HIPAA protege a cobertura de seguro saúde para funcionários e suas famílias quando eles mudam de emprego ou perdem seus trabalhos.
Conformidade com o título II da lei HIPAA - As disposições de simplificação administrativa (AS) exigem o estabelecimento de padrões nacionais para transações de assistência médica eletrônica e identificadores nacionais para provedores, planos de seguro saúde e empregadores. Disposições AS também abordam a segurança e a privacidade dos dados de saúde. Os padrões destinam-se a melhorar a eficiência e a eficácia do sistema de saúde nacional, incentivando o uso generalizado do intercâmbio eletrônico de dados no sistema de saúde dos EUA.
Coletânea de regulamentações da lei HIPAA (2013)
A regra final da coletânea da lei HIPAA/HITECH entrou em vigor no final de março de 2013, com um período de conformidade segura de 180 dias que terminou em 23 de setembro de 2013. A regra aumenta bastante as proteções de privacidade de um paciente, fornece aos indivíduos novos direitos às suas informações de saúde e reforça a capacidade do governo de aplicar a lei. As regras de privacidade e segurança da lei HIPAA se concentraram em provedores de assistência médica, planos de saúde e outras entidades que processam reclamações de seguro saúde. As mudanças anunciadas hoje expandem muitos dos requisitos para os associados de negócios dessas entidades que recebem informações de saúde protegidas, como prestadores de serviços e subcontratados.
Resumindo:
- Implementar ou atualizar políticas e procedimentos de segurança.
- Assinar ou atualizar contratos de associado de negócios.
- Atualizar ou implementar políticas e procedimentos de privacidade.
- Atualizar os avisos de privacidade da lei HIPAA.
- Conduzir treinamento de conformidade com a lei HIPAA.
Parte 164 - Segurança e Privacidade
Nota: Clique nos números de seção na tabela a seguir para exibir os vários relatórios de auditoria do ADAudit Plus que ajudarão a satisfazer uma cláusula específica.
Número da seção | Descrição | Relatórios |
164.308 (a) (3) (ii) (a) | Implementar procedimentos de autorização e/ou supervisão de membros da força de trabalho que trabalham com informações de saúde protegidas eletronicamente ou em locais onde possam ser acessados. | - Autenticação do AD bem-sucedida
- Autenticação do AD malsucedida
- Atividades de logon do servidor
|
164.308 (a) (1) (ii) (d) / 164.312 (b) | Implementar procedimentos para analisar regularmente registros de atividades do sistema de informações, como logs de auditoria, relatórios de acesso e relatórios de rastreamento de incidentes de segurança. Implementar mecanismos de hardware, software e/ou procedimentos que registram e examinam a atividade em sistemas de informação que contêm ou usam informações eletrônicas de saúde protegidas. | System Activity:- Logon
- Auditoria de logs
- Mudanças de arquivo
- Eliminação de arquivo
- Criação de arquivo
- Acesso ao arquivo
|
164.308 (a) (4) / 164.308 (a) (1) | Implementar políticas e procedimentos para evitar, detectar, conter e corrigir violações de segurança. (mudanças não autorizadas). | Mudanças de objeto no AD e no GPO/servidores de arquivos |
164.308 (a) (5) (ii) (c) | Procedimentos para o monitoramento de tentativas de login e relatar discrepâncias. | - Logon/Logoff bem-sucedido
- Logon malsucedido
- Logon do serviço de terminais
|
164.308 (a) (4) (c) | Implementar políticas e procedimentos que com base nas políticas de autorização de acesso da entidade, estabeleçam, documentem, revisem e modifiquem o direito de acesso de um usuário a uma estação de trabalho, transação, programa ou processo. | - Mudanças do GPO
- Mudanças de direitos de usuário/opções de segurança
- Gerenciamento de usuários (mudanças de atributos)
|
Relatórios de auditoria em tempo real do ADAudit Plus
Uma análise mais ampla de vários relatórios de auditoria no ADAudit Plus que satisfazem os requisitos de uma determinada categoria. Os relatórios garantem monitoramento completo e relatórios/alertas, além de relatórios personalizados e relatórios baseados em perfis.
Relatórios de amostra para auditoria de conformidade em tempo real
Visualização do painel Relatórios de auditoria Relatórios de conformidade Relatórios de auditoria de arquivos 164.308 (a) (3) (ii) (a)
Autenticação bem-sucedida do AD | Autenticação do AD com falha | Atividade de logon do servidor
Falhas de logon | Falhas de logon baseadas em usuários | Falhas devido a senha incorreta | Falhas devido a um nome de usuário inválido | Atividade de logon baseada em DC | Atividade de logon baseada em Endereço IP | Atividade de logon do controlador de domínio | Atividade de logon no Member Server | Atividade de logon na estação de trabalho | Atividade de logon do usuário | Atividade recente de logon do usuário | Último logon nas estações de trabalho | Último logon do usuário | Usuários logados em vários computadores
Usuários logados atualmente | Duração de logon | Falhas de logon local | Histórico de logon | Atividade de serviços de terminal | Duração de logon dos usuários em computadores | Falha de logon interativo | Sessões de usuários canceladas | Falhas de logon do Radius (NPS)
164.308 (a) (1) (ii) (d) / 164.312 (b)
Todas as mudanças de arquivo ou pasta | Arquivos criados | Arquivos modificados | Arquivos excluídos | Acesso de leitura de arquivo bem-sucedido | Falha na tentativa de ler arquivo | Falha na tentativa de gravar arquivo | Falha na tentativa de excluir arquivo | mudanças da permissão de pasta | mudanças nas configurações de auditoria de pasta (SACL) | Arquivos movidos (ou) renomeados | Mudanças baseadas em usuários | Mudanças baseadas em servidores | Arquivos copiados e colados
164.308 (a) (4) / 164.308 (a) (1)
Mudanças de objeto no AD
Todas as mudanças do AD | Todas as mudanças do AD por usuário | Todas as mudanças do AD em DCs | Gerenciamento de usuários | Gerenciamento de grupos | Gerenciamento de computadores | Gerenciamento de UO | Gerenciamento do GPO | Ações administrativas de usuários
164.308 (a) (5) (ii) (c)
Logon/Logoff bem-sucedido | Logon malsucedido | Logon de serviço de terminal
Usuários logados atualmente | Duração de logon | Falhas de logon local | Histórico de logon | Atividade de serviços de terminal | Duração de logon dos usuários em computadores | Falha de logon interativo | Sessões de usuários canceladas | Falhas de logon do Radius (NPS) | Histórico de logon do Radius (NPS)
164.308 (a) (4) (c)
Mudanças de direitos do usuário/opções de segurança | Mudanças de política de auditoria local
Mudanças na permissão de usuário | mudanças na permissão do nível de domínio | mudanças nas configurações da política de grupo | mudanças na configuração do computador | mudanças na configuração do usuário | mudanças na política de senhas | mudanças na política de bloqueio de conta | mudanças nas configurações de segurança | mudanças no modelo administrativo | mudanças na atribuição de direitos de usuário | mudanças nas configurações do Windows | mudanças na permissão da política de grupo | mudanças nas preferências da política de grupo | Histórico de configurações de política de grupo | mudanças de atributos ampliados | mudanças do objeto de domínio: mudanças na política de domínio | mudanças do objeto de domínio DNS | mudanças da permissão do nível de domínio
Mudanças na política local (relatórios de auditoria do servidor)
Relatório de resumo | Rastreamento de processos | Mudanças de políticas | Eventos do sistema | Gerenciamento de objetos | Tarefa agendada
Alguns dos outros relatórios de conformidade
em tempo real pré-configurados
Atividade recente de logon do usuário | Falhas de logon | Atividade de serviços de terminal | Duração de logon | mudanças de política de domínio | Histórico de logon | Gerenciamento de usuários | Gerenciamento de grupos | Gerenciamento de computadores | Gerenciamento de UO | Gerenciamento do GPO | Ações administrativas de usuários | Todas as mudanças de arquivos ou pastas
Atividade recente de logon do usuário | Falhas de logon | Atividade de serviços de terminal | Histórico de logon | Ações administrativas do usuário | Todas as mudanças de arquivo ou pasta | Histórico de logon do Radius (NPS) | Acesso de leitura de arquivo bem-sucedido | mudanças da permissão de pasta | mudanças nas configurações de auditoria de pasta
Mudanças nas configurações de auditoria de pasta | mudanças da permissão de pasta | Acesso de leitura de arquivo bem-sucedido | Todas as mudanças de arquivo ou pasta | Gerenciamento do GPO | Gerenciamento de usuários | Gerenciamento de grupos | mudanças na política de domínio | Duração de logon | Falhas de logon locais | Atividade dos serviços de terminal
Atividade de Serviços de Terminal | Falhas de logon local | Histórico de logon | Gerenciamento de Grupos | Gerenciamento de usuários | Ações administrativas do usuário | Gerenciamento de computadores | Gerenciamento de UO | Todas as mudanças de arquivo ou pasta | Falha na tentativa de gravar arquivo | Falha na tentativa de excluir arquivo
O ADAudit Plus tem nos ajudado a cumprir certos requisitos de conformidade com a lei SOX e o PCI. Gosto dos relatórios mensais automatizados para a lei SOX, da facilidade de uso e implementação e por ser uma solução muito econômica.
Jeffrey O'Donnell
Diretor de TI,
Uncle Bob’s Self Storage
Concluímos escolhendo o ADAudit Plus da ManageEngine, principalmente para os nossos relatórios de auditoria da lei SOX, e eu acho que a ferramenta, com a sua saída fácil de compreender, é muito legal e o seu custo altamente competitivo ajudou a chamar a nossa atenção.
Andreas Ederer
Cosma International
Somos um prestador de assistência médica emergencial. Vemos o software como um bom meio de prevenção de riscos, com algumas boas práticas de gerenciamento de riscos, que nos ajuda a atender a conformidade com a lei HIPAA. Escolhemos o ADAudit Plus, que funciona 24 horas por dia, 7 dias por semana, 365 dias por ano, como nós.
JT Mason
Diretor de TI
California Transplant Donor Network (CTDN)
Avaliamos diversos softwares; o ADAudit Plus é extremamente fácil de implantar e uma solução rentável, que nos ajudou a receber a aprovação em várias auditorias de segurança no setor e do teste de auditoria PEN detalhada, além de atender as diretrizes de segurança da lei HIPAA.
Renee Davis
Diretor de informação
Life Management Center
Somos uma organização sem fins lucrativos e precisamos cumprir os requisitos da lei HIPAA. Escolhemos o ADAudit Plus, que nos ajudou a ver quais mudanças foram feitas em nosso AD e quem as fez.
CMenendez
Gerente de operações de rede
Kendal
O ADAudit Plus foi o mais simples e mais relevante dos vários produtos que testamos para monitorar falhas de logon do usuário, fazer uma limpeza nas contas, manter uma verificação das atividades mal-intencionadas e atender à conformidade com o PCI-DSS.
Bernie Camus
Gerente de TI
Iglu.com