【发布时间】:2016-12-19 01:30:18
【问题描述】:
我正在为网络和移动客户端编写医疗保健软件。最近,我遇到了另一个关于Access Control- App Session timeout 的新 HIPAA 规则。
我的问题是,是否可以在用户可以启用-禁用安全级别的位置提供应用程序设置选项,而不是强制它们。
有什么建议吗?
【问题讨论】:
标签: security web-applications mobile-application hipaa
我正在为网络和移动客户端编写医疗保健软件。最近,我遇到了另一个关于Access Control- App Session timeout 的新 HIPAA 规则。
我的问题是,是否可以在用户可以启用-禁用安全级别的位置提供应用程序设置选项,而不是强制它们。
有什么建议吗?
【问题讨论】:
标签: security web-applications mobile-application hipaa
是的,您必须实现在不活动的情况下自动注销的功能。
您还可以在使会话无效之前要求执行一些操作并警告用户。例如,如果您将超时设置为 10 分钟,那么在 9.5 分钟不活动后,您可以警告用户“您的会话将在 30 秒后过期{您也可以在此处倒计时}秒,单击取消继续,然后单击确定注销”。
【讨论】: