强制使用HIPAA规则是强制性的吗?
问题描述:
我正在为网络和移动客户编写医疗保健软件。最近,我遇到另一个关于Access Control- App Session timeout的新HIPAA规则。强制使用HIPAA规则是强制性的吗?
我的问题是,是否有可能给应用程序设置选项从用户可以启用 - 禁用安全级别,而不是强制它们。
有什么建议吗?
答
是的,您必须实现该功能才能在不活动的情况下自动注销。
您还可以要求在使会话无效之前执行一些操作并警告用户。如果您设置了10分钟的超时时间,那么在9.5分钟不活动后,您可以警告用户“您的会话将在30秒后过期(您也可以在此倒计时)秒,点击取消继续,确定退出”。
谢谢Savan,AFAIU,HIPPA告诉我要实施和解决安全级别,但我想用户仍然可以选择启用/禁用功能(无论如何将成为TOS指南的一部分)。是否强制执行这种可能会激怒他们的安全性的强制授权,如果他们介于应用程序调用之间,它会禁用你的会话。 – CoDe
嗨Shubh,我建议你实现前面评论中提到的自动注销功能。但是,如果您认为用户将受到弹出消息或禁用会话的影响,用户基础,系统的位置和可访问性应该被正确地审查。 [参考](https://www.hipaa.com/access-control-automatic-logoff-what-to-do-and-how-to-do-it-) -------超时设置将根据设施的规模,电子信息系统设备的位置和可访问性(来自参考资料)进行风险分析。 –