Saya memiliki vendor yang menyatakan bahwa mereka tidak akan mendukung Server Terminal Microsoft Server 2008 R2 yang mereka instal kecuali semua pengguna login menggunakan nama pengguna dan kata sandi yang sama. Mereka mengklaim ini untuk membuat segalanya lebih mudah bagi pengguna akhir.
Server berdiri sendiri dan menjalankan aplikasi (EMR) dan databse backend (MySQL). Setiap kantor kami akan mendapatkan salah satu dari server ini. Kekhawatiran saya adalah 1) keamanan dan 2) kemungkinan masalah dengan semua pengguna menggunakan akun pengguna yang sama. Keamanan adalah masalah ketika kita berada di bawah HIPAA dan DB dan semua dokumen yang disimpan, yang berisi PHI, disimpan di TS yang tidak terenkripsi dan tanpa ACL yang membatasi akses dari akun pengguna umum. Vendor mengatakan bahwa DB memerlukan kata sandi untuk masuk, sehingga pengaturan ini aman.
Saya selalu meminta pengguna untuk memiliki akun sendiri ketika menggunakan RDP, Citix, dll server atau server farm, jadi saya tidak punya pengalaman dunia nyata dengan pengaturan seperti ini. Ingin tahu apa yang semua orang pikirkan tentang jenis pengaturan ini.
Jawaban:
Jika file disimpan pada level sistem file tanpa enkripsi berbasis pengguna dan tanpa ACL maka ya, larilah. Jika SEMUA data disimpan di dalam basis data maka saya akan merasa sedikit kurang ragu-ragu tetapi bahkan tetap saja, setiap vendor yang mengatakan tidak apa-apa (terutama ketika HIPPA dalam campuran) untuk menggunakan ID bersama dicurigai dalam buku saya. Jika Anda bergabung dengan mesin ke domain maka tidak ada yang membingungkan dari sudut pandang pengguna akhir tentang menggunakan ID individual mereka sendiri. Sebaliknya, akan lebih membingungkan bagi mereka untuk memiliki ID bersama tambahan.
sumber
Setuju, dengan berbagi profil datang sejumlah masalah - tidak sedikit di antaranya adalah ketidakmampuan untuk memiliki akuntabilitas yang baik (atau bahkan akuntabilitas APAPUN) untuk siapa yang melakukan apa dan kapan tepatnya itu terjadi. Temukan vendor lain - vendor yang mematuhi prinsip dasar keamanan. Cobalah untuk menemukan seseorang dengan sertifikasi SAS 70 tipe II jika memungkinkan. Saya akan menjamin organisasi-organisasi itu tidak akan mengizinkan berbagi profil. Terima kasih telah bertanya sebelum melompat ke yang ini dan menyesalinya nanti.
sumber
Setuju. Ini adalah bencana yang menunggu untuk terjadi. Jika mereka lesu dengan sesuatu yang dapat Anda lihat (memerlukan login bersama), apa yang mereka lakukan yang tidak bisa Anda lihat?
sumber