电子新闻独家

生物特征签名认证:
保障电子病历访问的新选择模式

通过大卫·里索

有意义的使用。这两句话非常重要，提醒着每一位医院管理者、首席财务官和医疗集团首席执行官，他们必须遵守联邦HIPAA和HITECH立法新颁布的规定，否则就有可能丧失以前从医疗保险和医疗补助服务中心获得的资金。

但是，虽然最初的重点停留在“有意义”这个词上——比如，EMR系统是否按照法律的要求被使用——但现在的重点完全落在了“使用”这个词上——比如，医生、医务辅助人员、记录保存和保险计费部门是否真的按照要求使用EMR ?毕竟，如果用户体验受到影响，任何电子系统都有什么用呢?

随着最近引入的生物特征签名授权系统，用户可以在现有的智能手机、平板电脑或台式机上轻松管理，现在可以解决后半部分的问题。与此同时，最新迭代的生物识别签名授权，通过接近100%的门禁特异性，符合医疗机构的“有意义”需求，遵守法律的文字。事实上，这些新系统位于公司业务系统之外的“云中”，并且绝对不需要额外的硬件现金支出，因此它们被标记为符合成本效益的选择。beplay最新备用网站

Play or Pay
到目前为止，整个医学界都明白了没有有效利用和保护个人健康信息的后果。联邦法律(42 USC§1320d-5)对这一信息进行了严格的处罚，每次违规最低罚款100美元，每次违规罚款50000美元，每年最高罚款150万美元。

访问门户充当任何EMR系统的警惕哨兵。当它们失败时，整个系统就会受到损害。2012年3月，黑客成功窃取了犹他州卫生部(Utah state Health Department)管理的28万名患者的医疗记录，包括社会安全号码。据报道，多达50万份其他健康记录遭到泄露。泄露发生在密码身份验证级别。

“与我交谈过的大多数管理人员都告诉我，他们最担心的是自己公司的电子病历系统遭到入侵，”德克萨斯州路易斯维尔市生物识别签名ID公司的首席执行官杰夫·梅纳德说。目前，在美国50个州和大约60个国家，有超过80家客户和近200万用户使用该公司的生物签名软件。“HIPAA和HITECH法案增加了风险。如果你允许未经授权的访问，那么你个人和公司都要为罚款负责。”

为了将违规行为与系统联系起来，并在底线上停止出血，医疗保健门户网站必须满足几个标准，包括以下几点:确保首次用户是他们所说的那个人;确保医生、护士等访问包含患者数据的临床应用程序的安全;确保收款人和其他第三方的访问安全;并且在登录之前和之后保护任何会话。

CFR 45, Section 170.314(d)(1)总结了这一切——系统必须根据唯一标识符(例如，用户名或号码)验证寻求访问EHR的人是否被要求访问。

寻找安全的解决方案
目前存在许多身份验证模式，可分为三种基本类型:只有(大概)用户知道的东西，例如PIN或密码;用户拥有的物品，如邻近卡、闪存驱动器或提供随机认证代码的令牌;生物识别技术，一个人的身体特征是独一无二的。然而，挑战从这一点开始。

依赖用户所知道的东西的失败已经变得太明显了。网络犯罪分子已经多次证明破解密码和个人识别码很容易。其次，要求用户拥有验证工具，如闪存驱动器或邻近，需要购买，生产和分发必要硬件的成本。更令人担忧的是，这些设备不一定能验证个人身份。它们只验证一个人是否拥有该设备或卡。

这就剩下生物识别技术了。例子包括指纹、虹膜扫描、面部识别、DNA测序，以及在“出血”边缘的静脉扫描。虽然这些可能提供近乎绝对的验证，但这种类型的识别需要复杂而昂贵的硬件设备来捕获和解释生物特征模式。

为了避免医院为其医务人员和其他员工购买扫描设备，苹果以其Touch ID应用程序的形式将指纹扫描引入了个人智能手机，但并非没有缺陷。

梅纳德说:“指纹扫描似乎很方便，但会导致很多情况下无法访问，尤其是在临床环境中。”“抗菌护手霜、乳胶手套上的粉末等会弄脏屏幕，将准确率降低到20%或30%。如果授权用户无法访问系统，他们就会反抗并拒绝使用它。”

作为生物识别物理特性的一个子集，动态(行为)生物识别技术提供了更准确的识别和更少的假阴性的可能性。经过验证的类型之一是“手指书写”，这是一种手势识别验证。

通过移动鼠标、触控笔或在智能手机屏幕上拖拽手指，医务人员在网页上有限的空间内手写四个字母或数字，几秒钟内就能完成身份识别。该软件评估长度、角度、速度、高度和笔划数量的独特模式，并将信息存储在加密数据库中。将这些数据与用户随后登录收集的模式进行比较，确认注册的人就是试图访问该帐户的人。

Tolly集团是一家自1989年以来为IT行业提供测试和第三方验证和认证服务的全球供应商。在Tolly集团的独立测试中，BioSig-ID手势识别系统被发现比早期评估中报告的击键分析准确27倍。观察到的置信度为99.97%，这意味着这个特定软件的误报水平比国家标准与技术研究所发布的指导方针好三倍。

但他们会使用它吗?
除了准确性之外，这种系统的回报是医务人员随时都可以采用。

事实上，由于缺乏假阴性，它的准确性有助于确保被接受。此外，由于阅读器是虚拟的，位于“云”中，即使没有智能手机的用户也可以通过任何平板电脑或台式电脑访问它，使其即时和普遍可用。

根据梅纳德的说法，这一切都是关于用户体验和灵活性。体验调查显示，98%的用户对这款游戏给予了积极评价，许多人甚至认为这款游戏很“有趣”。

“更进一步，在节省时间和方便方面，使用我们的移动应用程序，用户只需要通过他或她的生物签名获得一次身份验证。在此基础上，系统可以设置响应RSA风格的密钥码，QR码，甚至是智能手机上的nfc，”梅纳德说。“从那时起，用户可以使用该代码作为访问该设施电子病历的‘钥匙’。密钥访问权限的持续时间可以从组到个人进行配置。”

由于当今最大的问题之一是如何管理和保护个人设备，使用BioSig-ID生物识别技术的bioect - id被创建用于锁定移动设备，平板电脑和工作站，以进一步防止未经授权的访问和数据泄露。

通过简单、方便、安全的访问医疗记录、应用程序，甚至物理走廊，医生和工作人员可以完成指定的任务，而不必担心违反法律和给设施带来风险。

认识到这些优势后，Epic和Ping Identity等领先的医疗保健和企业公司已经开始整合生物识别签名ID。

承保未来或有事项
美国卫生与公众服务部去年发布的新规定进一步收紧了保护患者隐私和保护其健康信息的要求。

《联邦条例/医院解释性准则》(482.24(c)(1)(i))要求健康记录中的每一个条目都应经过认证，并可追溯到条目的作者。因此，任何身份验证系统都必须包含某种跟踪方法。

梅纳德说:“一个好的生物签名系统可以提供审计跟踪，包括时间、日期、物理位置、历史，甚至是用户登录任何医疗记录或通过门户网站时的ISP/IP地址。”“通过持续的数据挖掘，我们开发了风险评分算法，可以发现欺诈活动。例子包括比较IP地址、isp、准确性级别、密码重置、验证尝试和更多指向非典型行为的数据。我们可以设置某些警报，并将这些信息引起医疗机构的注意。”

SAML 2.0和SSO-IO等行业公认的应用程序接口标准与医疗企业的业务系统进行通信，以实现此类跟踪信息的无缝交换。

提供围绕身份验证活动的所有事件的证据的能力不仅为打击欺诈提供了强大的工具，而且还确保符合不断发展的法规，这些法规预示着在医疗保健行业中强制执行更严格的身份授权标准。beplay最新备用网站领先的医疗保健和企业公司，如Epic和Ping Identity，已经看到了不祥之兆，并与之进行了整合生物识别签名ID．

- - - - - -大卫·里佐是加州托伦斯的作家。他写了三本行业书籍、200篇技术文章和500个报纸专栏。里佐涵盖了广泛的主题，专门研究技术，医学和交通。