【问题标题】:Is it mandatory to force HIPAA rules to user?是否必须强制用户使用 HIPAA 规则?
【发布时间】:2016-12-19 01:30:18
【问题描述】:

我正在为网络和移动客户端编写医疗保健软件。最近,我遇到了另一个关于Access Control- App Session timeout 的新 HIPAA 规则。

我的问题是,是否可以在用户可以启用-禁用安全级别的位置提供应用程序设置选项,而不是强制它们。

有什么建议吗?

【问题讨论】:

    标签: security web-applications mobile-application hipaa


    【解决方案1】:

    是的,您必须实现在不活动的情况下自动注销的功能。

    您还可以在使会话无效之前要求执行一些操作并警告用户。例如,如果您将超时设置为 10 分钟,那么在 9.5 分钟不活动后,您可以警告用户“您的会话将在 30 秒后过期{您也可以在此处倒计时}秒,单击取消继续,然后单击确定注销”。

    【讨论】:

    • 感谢 Savan、AFAIU、HIPPA 告诉我们要实施和解决安全级别,但我猜用户仍然可以选择启用/禁用功能(无论如何这将成为 TOS 指南的一部分)。是否强制要求这种可能会激怒他们的安全性,如果他们在应用程序调用之间说什么,它会禁用您的会话。
    • 嗨,Shubh,我建议您实现前面评论中提到的自动注销功能。但是,如果您认为用户会受到弹出消息或禁用会话的影响;应适当审查系统的用户群、位置和可访问性。 Reference -------- 超时设置将由风险分析建议,基于设施的规模,以及电子信息系统设备的位置和可访问性(来自参考)。
    猜你喜欢
    • 2018-01-04
    • 1970-01-01
    • 2022-09-24
    • 1970-01-01
    • 1970-01-01
    • 2010-09-29
    • 2020-02-14
    • 1970-01-01
    • 2017-06-05
    相关资源
    最近更新 更多