我想知道其他人是如何做到这一点的。
我有一个客户需要满足 HIPAA 安全合规性。我有两件事想了解。
我需要加密所有离开办公室的笔记本电脑。有些用户偶尔会更换笔记本电脑,这使得加密密码难以实施。您认为让所有笔记本电脑使用相同的加密密码是否明智,或者可能只是密码的增量?例如设备 1 = PassA,设备 2 = PassB?
医生有家用电脑,他们使用 VPN 进入办公室。在我看来,这也应该加密,以防被盗。不过我们使用的软件不会在本地存储任何用户数据。你认为我还应该加密吗?
谢谢您的帮助!
答案1
不要共享密码,也不要让密码根据机器而“可预测”。每个像样的磁盘加密系统都应该允许使用多个密码来解锁磁盘——实际上加密磁盘的密钥不是基于输入的密码,而是存储在磁盘上,加密使用密码。其中一个密码应该是“管理员覆盖”密码,其他密码可以为每个需要使用机器的人设置。
如果医生无法从应用程序中下载敏感数据,则客户端计算机不需要加密,但这是一个巨大的“如果”。最好加密并保证安全,以免事后后悔。您需要在 VPN 上设置可靠的双因素身份验证和端点安全措施,这样至少合理的为想要破坏 VPN 的攻击者设置障碍。
最后,咨询专家。我并不经常这么说,但这些东西很乱,很难做好,而且人们的医疗记录在互联网上也不好。