Strumento di controllo e reporting della conformità a HIPPA
Active Directory Audit »

Strumento di controllo e reporting della conformità a HIPPA

Segmento: Settori Salute/Assicurazioni

 
icon-selected-opt
      

HIPAA è l'acronimo dell'Health Insurance Portability and Accountability Act del 1996. La è una legge federale che è stata emendata nell'Internal Revenue Code del 1996. È stata pensata per migliorare la portabilità e la continuità della copertura assicurativa sanitaria nei mercati di gruppi e singoli.

Titolo 1: Conformità HIPAA - HIPAA protegge la copertura assicurativa sanitaria per i lavoratori e i loro familiari quando questi cambiano o perdono il lavoro.

Titolo 2: Conformità HIPAA - Per le misure per applicare dell'Administrative Simplification (AS), è necessario implementare standard nazionali per le transazioni elettroniche per l'assistenza sanitaria e identificatori nazionali per i fornitori, piani assicurativi sanitari e dipendenti. Le misure dell'AS riguardano anche la sicurezza e la riservatezza dei dati sulla salute. Il rispetto degli standard consente di migliorare l'efficienza e l'efficacia del sistema sanitario nazionale incoraggiando l'uso massiccio dell'interscambio dei dati sulla salute dei pazienti all'interno del sistema sanitario statunitense.

Omnibus HIPAA Rulemaking (2013)

HIPAA / HITECH Omnibus Final Rule diventa effettivo nella seconda metà di marzo 2013, con un periodo di conformità parallelo di 180 giorni, terminato il 23 settembre 2013. La normativa migliora enormemente la protezione della riservatezza dei pazienti, fornisce nuovi diritti individuali alle informazioni sanitarie e rafforza la capacità del governo di applicare la legge. Le regole di riservatezza e protezione dell'HIPAA si focalizzano sui provider di servizi sanitari, sui piani della salute e su altre entità che trattano le denunce danni assicurative. I cambiamenti annunciati oggi estendono molti dei requisiti alle associate aziendali di queste entità che ricevono informazioni sanitarie protette, quali ad esempio gli appaltatori e subappaltatori.

In breve:

  1. Implementazione/aggiornamento di criteri e procedure di sicurezza.
  2. Entrata in vigore o aggiornamento dei contratti di associazione aziendale.
  3. Implementazione/aggiornamento di criteri e procedure di riservatezza.
  4. Aggiornamento di informative sulla privacy HIPAA.
  5. Conduzione di formazione sulla conformità HIPAA.

Parte 164 - Sicurezza e riservatezza

Nota: fai clic sui numeri di sezione nella tabella seguente per visualizzare i diversi report di controllo di ADAudit Plus che aiutano a soddisfare una particolare clausola.

Numero sezione Descrizione Report
164.308 (a) (3) (ii) (a) Implementa procedure per l'autorizzazione e/o la supervisione dei membri della forza lavoro che lavorano con informazioni sanitarie elettroniche protette o in luoghi dove vi si può accedere.
  1. Autenticazione in AD riuscita
  2. Autenticazione in AD non riuscita
  3. Attività di accesso server
164.308 (a) (1) (ii) (d) / 164.312 (b)

Implementa procedure per esaminare regolarmente i record delle attività del sistema informativo, come registri di controllo, report degli accessi e report di tracciamento incidenti di sicurezza.

Implementa meccanismi hardware, software e/o procedurali che registrano ed esaminano le attività nei sistemi informativi che contengono o utilizzano informazioni sanitarie elettroniche protette.

 Attività del sistema:
  1. Accesso
  2. Registri di controllo
  3. Modifiche ai file
  4. File eliminati
  5. Creazione file
  6. Accesso ai file
164.308 (a) (4) / 164.308 (a) (1) Implementa criteri e procedure per prevenire, rilevare, contenere e correggere violazioni alla sicurezza. (Modifiche non autorizzate). Cambiamenti degli oggetti in AD e oggetti Criteri di gruppo/file server
164.308 (a) (5) (ii) (c) Procedure per il monitoraggio dei tentativi di accesso e reporting delle discrepanze.
  1. Accesso/disconnessione riuscita
  2. Accesso non riuscito
  3. Accesso ai Servizi terminali
164.308 (a) (4) (c) Implementa criteri e procedure che, in base ai criteri di autorizzazione degli accessi delle entità, stabilisce, documenta, esamina e modifica il diritto di accesso di un utente a una workstation, una transazione, un programma o un processo.
  1. Cambiamenti degli oggetti Criteri di gruppo
  2. Modifiche a diritti utente/opzioni di sicurezza
  3. Gestione degli utenti (modifiche attributi)

Report sul controllo in tempo reale di ADAudit Plus

Ampia panoramica su alcuni report di controllo presenti in ADAudit Plus, che soddisfano i requisiti in una particolare categoria. I report assicurano monitoraggio e report/avvisi esaustivi, oltre che reporting personalizzato e basato su profili.

Esempi di report sul controllo della conformità in tempo reale

adaudit-plus-dashboard-thumb
Visualizzazione dashboard
adaudit-plus-audit-reports-thumb
Report di controllo

Report per la conformità

Report sul controllo dei file

164.308 (a) (3) (ii) (a)

Autenticazione in AD riuscita | Autenticazione in AD non riuscita | Attività di accesso server

Accessi non riusciti | Accessi non riusciti basati su utenti | Errori dovuti a password errata | Errori dovuti a nome utente non valido | Attività accessi basati su controller di dominio | Attività accessi basata su indirizzo IP | Attività accessi controller di dominio | Attività accessi server membri | Attività accessi a workstation | Attività accessi utenti | Attività accessi utenti recenti | Ultimo accesso su workstation | Ultimo accesso degli utenti | Utenti connessi a computer multipli

Utenti correntemente connessi | Durata degli accessi | Accessi locali non riusciti | Cronologia degli accessi | Attività dei Servizi terminali | Durata accessi degli utenti su computer | Accessi interattivi non riusciti | Sessioni utente terminate | Accessi RADIUS non riusciti (NPS) | Cronologia accessi RADIUS (NPS)

164.308 (a) (1) (ii) (d) / 164.312 (b)

Cambiamenti di tutti i file/cartelle | File creati | File modificati | File eliminati | Accessi in lettura riusciti sui file | Tentativi non riusciti di leggere file | Tentativi non riusciti di scrivere file | Tentativi non riusciti di eliminare file | Modifiche alle autorizzazione delle cartelle | Modifiche alle impostazioni di controllo delle cartelle (SACL) | File spostati (o) rinominati | Cambiamenti basati sugli utenti | Cambiamenti basati sui server | File copiati e incollati

164.308 (a) (4) / 164.308 (a) (1)

Cambiamenti degli oggetti in AD

Tutti i cambiamenti in AD | Tutti i cambiamenti in AD per utente | Tutti i cambiamenti in AD su controller di dominio | Gestione degli utenti | Gestione dei gruppi | Gestione dei computer | Gestione delle unità organizzative | Gestione degli oggetti Criteri di gruppo | Azioni amministrative degli utenti

164.308 (a) (5) (ii) (c)

Accessi/disconnessioni riusciti | Accesso non riuscito | Accesso a Servizi terminali

Utenti correntemente connessi | Durata degli accessi | Accessi locali non riusciti | Cronologia degli accessi | Attività dei Servizi terminali | Durata accessi degli utenti su computer | Accessi interattivi non riusciti | Sessioni utente terminate | Accessi RADIUS non riusciti (NPS) | Cronologia accessi RADIUS (NPS)

164.308 (a) (4) (c)

Modifiche a diritti utente/opzioni di sicurezza | Modifiche al criterio di controllo locale

Modifiche alle autorizzazioni degli utenti Modifiche alle autorizzazioni a livello di dominio | Modifiche delle impostazioni degli oggetti Criteri di gruppo | Modifiche alla configurazione dei computer | Modifiche alla configurazione degli utenti | Modifiche ai criteri delle password | Modifiche ai criteri di blocco account | Modifiche alle impostazioni della sicurezza | Modifiche ai modelli amministrativi | Modifiche all'assegnazione dei diritti utente | Modifiche alle impostazioni di Windows | Modifiche alle autorizzazioni dei Criteri di gruppo | Modifiche alle preferenze dei Criteri di gruppo | Cronologia delle impostazioni dei Criteri di gruppo | Modifiche degli attributi estesi | Modifiche all'oggetto Dominio: Cambiamenti nei criteri di dominio | Cambiamenti all'oggetto DNS del dominio | Modifiche alle autorizzazioni a livello di dominio

Cambiamenti ai criteri locali (report sul controllo dei server

Report riepilogativi | Tracciamento processi | Cambiamenti dei criteri | Eventi di sistema | Gestione degli oggetti | Attività pianificate