Mi aplicación de chat médico está manejando PHI, y está aplicando inicios de sesión únicos y seguros que aseguran que solo las personas autorizadas / apropiadas puedan acceder a esos datos. Por ahora, implementé la autenticación touchID con iOS. Con esta función, el propietario del dispositivo puede iniciar sesión en la cuenta del último usuario registrado con touchID.
Bajo HIPAA, ¿es posible recordar / almacenar credenciales de usuario en aplicaciones web / móviles / de escritorio?
La regla de seguridad de HIPAA no aborda específicamente esto. Sin embargo, si puede probar que TouchID requiere la validación real de la persona autorizada para el acceso a ePHI, entonces es suficiente. Sin embargo, podría estar sujeto a la configuración de implementación para las salvaguardas de seguridad del sistema, por lo que deberá contar con documentación y controles de compensación si es necesario para detectar cualquier debilidad relacionada con la TouchID y, específicamente, cómo se administra su dispositivo móvil. También es posible que desee validar con el proveedor si se ha realizado una evaluación de riesgos para otros clientes para entornos HIPAA.
Lea otras preguntas en las etiquetas authentication credentials hipaa