Outil d'audit et de rapports de conformité HIPAA
Segment : Secteur de la santé ou de l'assurance
 |  |  |  |  |
 |
La loi HIPAA (Health Insurance Portability and Accountability Act, ou loi sur la protection des données médicales) de 1996 est une loi fédérale modifiée par le code des impôts de 1996. Elle visait à améliorer la portabilité et la continuité de la couverture d'assurance maladie collective ou individuelle.
Conformité HIPAA titre I - La loi HIPAA protège la couverture d'assurance maladie des salariés et de leurs familles en cas de changement ou de perte d'emploi.
Conformité HIPAA titre II - Les dispositions de simplification administrative exigent l'établissement de normes nationales en matière de transactions de santé électroniques et d'identifiants nationaux pour les prestataires, les régimes d'assurance maladie et les employeurs. Ces dispositions concernent aussi la sécurité et la confidentialité des données médicales. Les normes visent à améliorer l'efficience et l'efficacité du système de santé national en encourageant un usage généralisé de l'échange de données informatisé entre les acteurs.
Réglementation Omnibus HIPAA (2013)
La réglementation définitive HIPAA/HITECH Omnibus est entrée en vigueur fin mars 2013, avec une période de 180 jours pour la mise en conformité qui s'est achevée le 23 septembre 2013. Elle améliore grandement la protection de la vie privée des patients, octroie aux individus de nouveaux droits sur leurs données de santé et renforce la capacité des autorités à faire respecter la loi. La réglementation HIPAA sur la confidentialité et la sécurité s'adresse aux prestataires de services de santé, aux régimes de santé et aux autres entités qui traitent des demandes de remboursement. Les changements récents annoncés étendent nombre de ces exigences aux partenaires de ces entités qui reçoivent des données de santé protégées, comme les prestataires extérieurs et les sous-traitants.
En bref :
- Mettre en place ou mettre à jour des stratégies et des procédures de sécurité.
- Conclure ou mettre à jour des accords de partenariat.
- Mettre en place ou mettre à jour des stratégies et des procédures de confidentialité.
- Mettre à jour les avis de confidentialité HIPAA.
- Dispenser une formation à la conformité HIPAA.
Article 164 - Confidentialité et sécurité
Remarque : Cliquez sur les numéros de section dans le tableau ci-dessous pour afficher les divers rapports d'audit ADAudit Plus qui permettent de satisfaire des exigences particulières.
| Numéro de section | Description | Rapports |
| 164.308 (a) (3) (ii) (a) | Mettre en place des procédures pour l'autorisation et/ou la supervision des membres du personnel qui utilisent des données de santé protégées informatisées ou qui se trouvent dans un lieu où elles sont accessibles. |
|
| 164.308 (a) (1) (ii) (d) / 164.312 (b) | Mettre en place des procédures pour examiner régulièrement les enregistrements de l'activité des systèmes informatiques, comme les journaux d'audit, les rapports d'accès et les rapports de suivi des incidents de sécurité. Mettre en place des mécanismes matériels, logiciels et/ou procéduraux qui consignent et examinent l'activité des systèmes informatiques qui contiennent ou utilisent des données de santé protégées informatisées. | Activité système :
|
| 164.308 (a) (4) / 164.308 (a) (1) | Mettre en place des stratégies et des procédures pour prévenir, détecter, contenir et corriger les violations de sécurité (modifications non autorisées). | Modifications d'objet dans AD et GPO/serveurs de fichiers |
| 164.308 (a) (5) (ii) (c) | Procédures pour contrôler les tentatives de connexion et signaler les divergences.. |
|
| 164.308 (a) (4) (c) | Mettre en place des stratégies et des procédures qui, selon les règles d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, une transaction, un programme ou un processus. |
|
Rapports d'audit en temps réel dans ADAudit Plus
Voici une perspective plus large sur les divers rapports d'audit dans ADAudit Plus, qui satisfont les exigences d'une catégorie particulière. Les rapports assurent un suivi détaillé et un audit complet avec des alertes, outre les rapports personnalisés et ceux basés sur un profil d'édition.
Exemple de rapports d'audit de conformité en temps réel
Vue du tableau de bord
Rapports d'audit
Rapports de conformité
Rapports d'audit des fichiers
164.308 (a) (3) (ii) (a)
Authentification AD réussie | Authentification AD échouée | Activité de connexion aux serveurs
Échecs de connexion | Échecs de connexion par utilisateur | Échecs à cause d'un mot de passe incorrect | Échecs à cause d'un nom d'utilisateur incorrect | Activité de connexion par DC | Activité de connexion par adresse IP | Activité de connexion aux contrôleurs de domaine | Activité de connexion aux serveurs membres | Activité de connexion aux postes de travail | Activité de connexion des utilisateurs | Activité de connexion récente des utilisateurs | Dernière connexion aux postes de travail | Dernière connexion d'un utilisateur | Utilisateurs connectés à plusieurs ordinateurs
Utilisateurs actuellement connectés | Durée de connexion | Échecs de connexion locale | Historique de connexion | Activité des services Terminal Server | Durée de connexion d'utilisateurs sur des ordinateurs | Échecs de connexion interactive | Sessions d'utilisateurs terminées | Échecs de connexion RADIUS (NPS) | Historique de connexion RADIUS (NPS)
164.308 (a) (1) (ii) (d) / 164.312 (b)
Toutes les modifications de fichier ou de dossier | Fichiers créés | Fichiers modifiés | Fichiers supprimés | Accès en lecture à des fichiers | Échecs de lecture de fichiers | Échecs d'écriture de fichiers | Échecs de suppression de fichiers | Modifications d'autorisations de dossier | Modifications de paramètres d'audit de dossier (SACL) | Fichiers transférés ou renommés | Modifications par utilisateur | Modifications par serveur | Fichiers copiés-collés
164.308 (a) (4) / 164.308 (a) (1)
Modifications d'objet dans AD
Toutes les modifications AD | Toutes les modifications AD par utilisateur | Toutes les modifications AD sur DC | Gestion des utilisateurs | Gestion des groupes | Gestion des ordinateurs | Gestion des OU | Gestion des GPO | Actions administratives des utilisateurs
164.308 (a) (5) (ii) (c)
Connexion/déconnexion réussie | Connexion échouée | Connexion aux services Terminal Server
Utilisateurs actuellement connectés | Durée de connexion | Échecs de connexion locale | Historique de connexion | Activité des services Terminal Server | Durée de connexion d'utilisateurs sur des ordinateurs | Échecs de connexion interactive | Sessions d'utilisateurs terminées | Échecs de connexion RADIUS (NPS) | Historique de connexion RADIUS (NPS)
164.308 (a) (4) (c)
Modifications de droits d'utilisateur/options de sécurité | Modifications de stratégie d'audit locales
Modifications d'autorisations d'utilisateur | Modifications d'autorisations au niveau domaine | Modifications de paramètres de stratégie de groupe | Modifications de configuration d'ordinateur | Modifications de configuration d'utilisateur | Modifications de stratégie de mots de passe | Modifications de stratégie de verrouillage de compte | Modifications de paramètres de sécurité | Modifications de modèle d'administration | Modifications d'attribution de droits d'utilisateur | Modifications de paramètres Windows | Modifications d'autorisations de stratégie de groupe | Modifications de préférences de stratégie de groupe | Historique des paramètres de stratégie de groupe | Modifications d'attributs étendus | Modifications d'objets de domaine : Modifications de stratégie de domaine | Modifications d'objets DNS du domaine | Modifications d'autorisations au niveau domaine
Modifications de stratégie locales (rapports d'audit des serveurs)
Rapport résumé | Suivi de processus | Modifications de stratégie | Événements système | Gestion des objets | Tâches planifiées