HIPAAの下で、ユーザーの資格情報を記憶/保存することは許可されていますか?
私の医療チャットアプリケーションはPHIを処理しており、許可された適切な人だけがそのデータにアクセスできるようにする、一意の安全なログインを強制します。今のところ、iOSでtouchID認証を実装しました。この機能により、デバイスの所有者は、touchIDを使用して最後にログインしたユーザーのアカウントにサインインできます。
HIPAAの下で、Web /モバイル/デスクトップアプリケーションでユーザー資格情報を記憶/保存することは許可されていますか?
HIPAAのセキュリティルール は特にこれに対処していません。ただし、touchIDがePHIへのアクセスを許可されている人の実際の検証を必要とすることを証明できる場合は、それで十分です。ただし、システムセキュリティセーフガードの実装構成に悩まされる可能性があるため、touchIDに関連する弱点、特にモバイルデバイスの管理方法について、必要に応じてドキュメントと補正コントロールを用意する必要があります。また、HIPAA環境で他の顧客に対してリスク評価が実行されているかどうかを、ベンダーに確認することもできます。