La mia applicazione di chat medica sta gestendo PHI e applica accessi unici e sicuri che assicurano che solo le persone autorizzate / appropriate possano accedere a tali dati. Per ora, ho implementato l'autenticazione touchID con iOS. Con questa funzione, il proprietario del dispositivo può accedere all'ultimo account utente connesso con touchID.
Sotto HIPAA, è possibile ricordare / memorizzare le credenziali dell'utente in applicazioni web / mobile / desktop?
La regola di sicurezza di HIPAA non riguarda specificamente questo. Tuttavia, se è possibile dimostrare che touchID richiede l'effettiva convalida di chiunque sia autorizzato per l'eFI per l'accesso, allora è sufficiente. Tuttavia, è possibile utilizzare la configurazione di implementazione per le protezioni di sicurezza del sistema, pertanto è necessario disporre di controlli di documentazione e compensazione se necessario per eventuali punti deboli relativi a touchID e in particolare a come viene gestito il dispositivo mobile. Si consiglia inoltre di convalidare con il fornitore se è stata eseguita una valutazione del rischio per altri clienti per ambienti HIPAA.
Leggi altre domande sui tag authentication credentials hipaa