Mi è stato detto da un venditore che nel 2017 è prevista una nuova guida che impone l'autenticazione a più fattori per tutti i sistemi che ospitano PHI. Hanno detto che cose come gli indirizzi IP con elenchi in bianco erano sufficienti per soddisfare questo requisito. È solo un venditore che sta cercando di vendermi qualcosa? Oppure ci sono delle indicazioni veramente aggiornate su questo problema?
L'HIPAA non impone esplicitamente l'MFA, ma a causa degli aggiornamenti alla guida NIST (800-63), sarebbe molto ragionevole sostenere che una soluzione senza MFA non è in grado di soddisfare qualcosa come la sezione 164.312d, e quindi non soddisfare i requisiti HIPAA.
Detto questo, la whitelisting degli IP è una soluzione di sicurezza piuttosto mediocre e non è sicuramente considerata come MFA.
Leggi altre domande sui tag multi-factor hipaa