Un proveedor me dijo que hay una nueva guía efectiva en 2017 que exige la autenticación multifactor para todos los sistemas que albergan PHI. Dijeron que cosas como las direcciones IP de listas blancas eran lo suficientemente buenas para satisfacer este requisito. ¿Es solo un vendedor tratando de venderme algo? ¿O hay una guía realmente actualizada sobre este tema?
HIPAA no obliga explícitamente a MFA, pero debido a las actualizaciones de la guía NIST (800-63), sería muy razonable argumentar que una solución sin MFA es deficiente para cumplir con algo como la sección 164.312d, y por lo tanto no cumplir con los requisitos de HIPAA.
Dicho esto, la inclusión en la lista blanca de IP es una solución de seguridad bastante mediocre y definitivamente no se considera MFA.
Lea otras preguntas en las etiquetas multi-factor hipaa