Workfront的HIPAA准备工作
按照HIPAA的定义,如果某个Workfront客户是商业合作伙伴和/或代表其商业合作伙伴提供Adobe Workfront的受覆盖实体,则应使用以下准则配置Workfront以便HIPAA随时可用:
密码要求
安全设置
这是什么?
要求
协议的最小密码强度
协议密码的最低强度是多少?
不少于8个字符
用户密码的最小密码强度
用户密码的最低强度是多少?
以下三个类别的字符:
*大写字母(拉丁字母)
*小写字母(拉丁字母)
*以10位数字
*非字母数字字符
*大写字母(拉丁字母)
*小写字母(拉丁字母)
*以10位数字
*非字母数字字符
密码持续时间
密码应该保持不变多久?
密码应至少每90天更改一次
密码历史
应该记住和禁止多少个过去的密码?
不小于5
登录要求
安全设置
这是什么?
要求
最大登录失败次数
多少次失败的登录尝试导致用户被锁定?
在5分钟期间内不超过5次尝试;30分钟后允许重试
最大SSO验证失败数
有多少失败的SSO验证尝试会导致锁定?
不超过5(仅适用于使用SSO的客户)
会话要求
安全设置
这是什么?
要求
会话超时
多长时间不活动会导致注销?
不超过15分钟
客户责任
确保所有员工、代表和/或代理都了解并理解各方之间签署的许可和/或服务协议(如适用)中与Workfront的数据使用相关的条款。
特别是,应审查和通报下列责任和义务:
-
客户负责其所有用户使用Workfront服务。
-
客户需要遵守其与Adobe协议的所有条款,其中包括禁止将数据元素上传到Workfront的条款。
-
任何敏感数据,包括但不限于ePHI,均由客户自行上传。 客户在任何时候都要对所有客户数据负责。
数据保护和法规遵从性
IMPORTANT
Workfront并非旨在作为电子医疗记录(EHR)的存储库。 仅当Adobe以书面形式明确授权时,才可处理ePHI。
-
对于可能访问ePHI的任何Workfront数据库,请确保启用 静态加密(EAR)。
- 请联系您的客户经理(AE)来验证您的Workfront购买中包含了EAR。
- 配置可通过Workfront访问的系统/数据库,以履行合规性义务。
-
确保ePHI不被传输、链接或与其他不符合HIPAA要求的Adobe解决方案共享。
-
确保通过Workfront处理的患者照片安全存储且不可公开访问。
recommendation-more-help
5f00cc6b-2202-40d6-bcd0-3ee0c2316b43