这是一个简单的问题,我似乎找不到答案。如您所知,Windows Server 允许您为 RDP 会话设置自动注销。在具有 ePHI 的虚拟环境中,完全禁用此功能(允许 RDP 会话永久存在)是否存在安全风险/违反 HIPAA?
有问题的虚拟机位于完全配置的 Juniper 防火墙后面,并且对 RDP 访问进行了 IP 限制。
答案1
我们无法回答有关您的环境的问题。您需要一名合规人员来审查您的整个系统。
请注意,法规中明确提到了自动注销:
如果本实施规范对涵盖实体而言是合理且适当的保障措施,则涵盖实体必须:
“实施电子程序,在预定的不活动时间后终止电子会话。”
想一想:这将让用户无限期地在屏幕上显示敏感信息。想想你自己的病史。如果这是不受欢迎的,你打算如何解决它?
更重要的是,HIPPA 安全系列文件描述了一个全面的战略。管理流程、物理安全、技术保障、文档和风险管理。如果工作人员向候诊室大声喊信息,而没有技术解决方案,网络安全对您没有任何好处。