خدمات اختبار الاختراق المتوافقة مع HIPAA

تتطلب قاعدة الأمان تحليل المخاطر بموجب §164.308(a)(1) وتقييماً تقنياً بموجب §164.308(a)(8). لا تظهر عبارة "اختبار الاختراق" في النظام الأساسي، لكن إرشادات OCR و NIST SP 800-66 توضح بوضوح أن الهجمات المحاكاة ضد الضمانات التقنية هي الطريقة المتوقعة لإثبات الامتثال. يتوقع معظم المدققين ذلك، والذين لا يتوقعونه سيرغبون في دليل على أنك فعلت شيئاً مكافئاً.

نعم — أي اشتباك قد نواجه فيه ePHI يتطلب BAA، ونقوم بتنفيذها قبل بدء الاختبار. تم تصميم منهجيتنا لتقليل التعرض لـ ePHI. حيثما أمكن، نتحقق من إمكانية الوصول دون الحاجة فعلياً إلى نقل بيانات المريض الحقيقية.

يقوم فحص الضعف بتشغيل الأدوات المؤتمتة للعثور على نقاط الضعف المعروفة. يذهب اختبار الاختراق أبعد من ذلك. نستغل الثغرات يدويًا ونربطها معاً، وتظهر لك التأثير في العالم الحقيقي. تفتقد الماسحات الضوئية عيوب المنطق والتحكم في الوصول المكسور وعمليات التحايل على المصادقة — والتي تحدث أن تكون بالضبط المشاكل التي تهم أكثر لحماية ePHI بموجب §164.312.

على الحد الأدنى، الاختبار سنوياً وبعد أي تغيير كبير في بيئة ePHI الخاصة بك — بوابة مريض جديدة أو ترحيل سحابي أو إصدار رمز كبير أو تجديد البنية التحتية. هل كان لديك خرق أو اقتراب حريق؟ الاختبار فوراً. يتوقع OCR أن يكون تحليل المخاطر جارياً، وليس شيئاً فعلته مرة واحدة في عام 2019.

نقوم بتصميم قواعد الاشتباك خصيصاً لمنع الانقطاع. يبقى اختبار الحرمان من الخدمة خارج النطاق ما لم تطلب صراحة القيام به ضد بيئة تجريبية. تبقى الاختبارات عالية المخاطر مجدولة خلال نوافذ الصيانة، ونبقى على اتصال مستمر مع فريقك طوال الوقت. في أكثر من 12 سنة، لم نسبب أي توقف غير مخطط له.

تحصل على ملخص تنفيذي وتقرير تقني كامل مع كل نتيجة مرسومة إلى أحكام §164.312 ودرجات CVSS وصور إثبات المفهوم وتعليمات إعادة الإنتاج خطوة بخطوة وإرشادات المعالجة ذات الأولويات. بمجرد إصلاح المشاكل، نختبر مرة أخرى ونصدر رسالة شهادة محدثة يمكنك فعلاً تسليمها لمحقق OCR.