SmartMatchApp HIPAA-Angemessenheit
SmartMatchApp HIPAA-Angemessenheit
Diese Tabelle zeigt, wie die SOC2 Type 2 Controls von SmartMatchApp mit dem HIPAA (dem US-amerikanischen Gesetz zur Portabilität und Verantwortlichkeit von Krankenversicherungen) übereinstimmen. Darüber hinaus gelten einige der HIPAA-Sicherheitsregeln nicht für die Produkte von SmartMatchApp und sind in dieser Tabelle nicht dargestellt. Diese Informationen werden von SmartMatchApp bereitgestellt, um den Lesern zu helfen, die Beziehung zwischen den SOC Type 2 Controls von SmartMatchApp und den Anforderungen der HIPAA-Sicherheitsregeln zu verstehen und sind nicht in die Meinung des Prüfers einbezogen oder unterliegen dieser.
AA1, AA2
Einzigartige Benutzer-IDs und starke Passwörter sind erforderlich, um Zugang zur Infrastruktur zu erhalten, die die Anwendung unterstützt (d.h. Active Directory, Server- und Datenbankkonten).
§164.308(a)(5)(ii)(D)
§164.312(a)(2)(i)
§164.312(d)
§164.530(c)
AA3
Multi-Faktor-Authentifizierung (MFA) wird für Benutzerkonten mit administrativem Zugriff auf die Produktionsplattform der Organisation erzwungen.
§164.312(d)
AC1
Der Zugriff auf Systemkomponenten im Geltungsbereich (Anwendung(en) und deren zugrunde liegende Infrastruktur) erfordert eine dokumentierte Zugriffsanfrage und Genehmigung durch das Management vor der Bereitstellung des Zugangs.
§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.308(a)(3)(ii)(B)
§164.308(a)(3)(ii)(C)
§164.308(a)(4)(i)
§164.308(a)(4)(ii)(A)
§164.308(a)(4)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)
AC2
Das Management verwendet eine Checkliste zur Beendigung von Mitarbeitern, um sicherzustellen, dass der Beendigungsprozess konsequent ausgeführt wird und der Zugang für entlassene Mitarbeiter zeitnah widerrufen wird.
§164.308(a)(3)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)-§164.514(d)(2)
§164.530(c)
AC3
Der Zugriff auf generische Administrator- oder privilegierte Konten in den Datenbanken und Servern, die die Anwendung unterstützen, ist auf autorisiertes Personal basierend auf einem rollenbasierten Zugriffsschema beschränkt.
§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)
AC4
Das Management führt vierteljährlich eine Überprüfung des Benutzerzugriffs für Systemkomponenten im Geltungsbereich durch, um sicherzustellen, dass der Zugriff angemessen eingeschränkt ist. Der Zugriff wird basierend auf den Ergebnissen der Überprüfung zeitnah geändert oder entfernt.
§164.308(a)(3)(i)
§164.308(a)(3)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
OC11 Die Organisation nutzt die Tugboat Logic Plattform, um ihre Informationssicherheitsrichtlinien und -verfahren zu verwalten. Interne Richtlinien- und Verfahrensdokumente in Bezug auf Sicherheit, Vertraulichkeit und Verfügbarkeit werden gepflegt und den Mitarbeitern zur Verfügung gestellt. Die Richtlinien- und Verfahrensdokumente werden jährlich oder bei wesentlichen Änderungen vom Management überprüft und genehmigt.
§164.308(a)
§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(ii)
§164.310(a)(2)(iii)
§164.530(c)
OC12
Mitarbeiter sind verpflichtet, jährlich eine Schulung zur Informationssicherheit und Sensibilisierung abzuschließen.
§164.308(a)(5)(i)
§164.308(a)(5)(ii)(A)
§164.308(a)(5)(ii)(B)
§164.308(a)(5)(ii)(C)
§164.308(a)(5)(ii)(D)
CR2
Vollständige Backups werden alle sechs Stunden mit einem automatisierten System durchgeführt und an einem externen Standort repliziert. Backups werden mit einem automatisierten System auf Fehler überwacht.
§164.308(a)(7)(ii)(A)
§164.310(d)(2)(iv)
CR6
Pläne zur Geschäftskontinuität und Katastrophenwiederherstellung (einschließlich der Wiederherstellung von Backups) wurden entwickelt und jährlich getestet. Testergebnisse werden überprüft und dementsprechend werden Notfallpläne aktualisiert.
§164.308(a)(7)(i)
§164.308(a)(7)(ii)(B)
§164.308(a)(7)(ii)(C)
§164.308(a)(7)(ii)(D)
§164.308(a)(7)(ii)(E)
§164.308(a)(8)
§164.310(a)(2)(i)
DP8
Eine Datenintegritätsrichtlinie existiert, die Richtlinien in Bezug auf die Datenintegrität bereitstellt. Die Organisation hat eine Datenschutzrichtlinie, die festlegt, dass die Datenverantwortlichen dafür verantwortlich sind, der Organisation vollständige und genaue persönliche Informationen während der Erfassung oder im Falle von Änderungen bereitzustellen.
§164.312(c)(1)
§164.312(c)(2)
DP9
Die Organisation hat einen Datenschutzbeauftragten ernannt, der für die Entwicklung, Implementierung und Aufrechterhaltung eines organisationsweiten Governance- und Datenschutzprogramms verantwortlich ist, um die Einhaltung aller geltenden Gesetze und Vorschriften bezüglich der Erfassung, Nutzung, Wartung, Weitergabe und Offenlegung persönlicher Informationen sicherzustellen.
§164.308(a)(2)
§164.530(a)
DS4
Formelle Verfahren zur Datenaufbewahrung und -entsorgung sind vorhanden, um die sichere Aufbewahrung und Entsorgung von Informationen zu leiten.
§164.316(b)(2) (i)
§164.414(a)
§164.508(b)(6)
§164.508(c)(1-4)
§164.310(d)(2)(i)
§164.310(d)(2)(ii)
§164.520(e)
§164.524(e)
§164.530(j)
IR2
Benachrichtigungen über bestätigte Datenverletzungen werden betroffenen Datenverantwortlichen, Regulierungsbehörden und anderen innerhalb eines akzeptablen Zeitrahmens bereitgestellt, um die Datenschutzverpflichtungen der Organisation zu erfüllen.
§164.404(a)
§164.404(b)
§164.404(c)(1)
§164.410
§164.314(a)(2)(i)(C)
§164.412
§164.414(b)
IR3
Ein formeller Vorfallmanagementprozess wurde etabliert und implementiert, der erfordert, dass Vorfälle vollständig, genau und zeitnah verfolgt, dokumentiert und gelöst werden. Das Prozessdokument wird jährlich vom Management überprüft und bei Bedarf aktualisiert.
§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(i)
§164.308(a)(6)(ii)
§164.530(f)
IR4
Alle sicherheitsrelevanten Vorfälle werden protokolliert, verfolgt und den betroffenen Parteien mitgeteilt. Vorfälle werden gemäß dem formellen Vorfallmanagementprozess zeitnah gelöst.
§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(ii)
§164.530(f)
OC1
Die Organisation führt ein Inventar der Produktionsinformationsressourcen, einschließlich Details zu Eigentum, Datenklassifizierung und Standort. Die Bestandsliste der Ressourcen wird bei Bedarf vom Management überprüft und aktualisiert.
§164.310(b)
§164.310(c)
OC8
Die Organisation nutzt Tugboat Logic, um ihre internen Kontrollen zu dokumentieren und kontinuierlich deren Wirksamkeit zu überwachen. Eine Bewertung der Wirksamkeit und Effizienz der internen Kontrollen, Prozesse und Richtlinien wird mindestens jährlich vom Management überprüft und identifizierte Mängel werden zeitnah behoben.
§164.316(b)(1)
§164.316(b)(2) (i)
OC9
Die Organisation hat Kommunikationskanäle eingerichtet, die es den Mitarbeitern ermöglichen, Probleme im Zusammenhang mit Betrug, Belästigung und anderen Themen, die die ethischen und Integritätsanforderungen der Organisation betreffen, sicher und anonym zu melden.
§164.308(a)(1)(ii)(C)
§164.414(a)
§164.530(e)
§164.530(e)(1)
§164.530(g)
RA1
Das Management hält eine Versicherung über einen externen Dienstleister gegen wesentliche finanzielle Risiken für das gesamte Geschäft.
§164.402(1)(i)-(iii)
§164.402(2)(i)-(iv)
RA2
Das Management führt jährlich oder bei wesentlichen Änderungen eine formelle Risikobewertung durch (einschließlich Risiken im Zusammenhang mit Sicherheit, Betrug, regulatorischen und technologischen Änderungen). Identifizierte Risiken sowie Minderungsstrategien werden vom Führungsteam der Organisation dokumentiert und umgesetzt.
§164.308(a)(1)(ii)(A)
§164.308(a)(1)(ii)(B)
§164.308(a)(8)
SO11
Ein formelles Netzwerkdiagramm, das Schutzmechanismen an den Grenzen (z.B. Firewalls, IDS, etc.) skizziert, wird für alle Netzwerkverbindungen gepflegt und jährlich von der IT-Leitung überprüft.
§164.312(e)(1)
SO13
Ein externer Penetrationstest wird jährlich durchgeführt, um Sicherheitslücken zu identifizieren. Identifizierte Probleme werden nach Risiko klassifiziert, analysiert und zeitnah behoben.
§164.308(a)(8)
SO14
Logging ist aktiviert, um administrative Aktivitäten, Anmeldeversuche und Datenlöschungen auf Anwendungs- und Infrastrukturebene zu überwachen. Protokolle werden zu forensischen Zwecken aufbewahrt und bei Bedarf zur Problemlösung untersucht.
§164.308(a)(1)(ii)(D)
§164.308(a)(5)(ii)(C)
§164.312(b)
SO15
Systemfirewalls sind am Anwendungsgateway und im Produktionsnetzwerk konfiguriert, um unnötige Ports, Protokolle und Dienste zu begrenzen. Firewall-Regeln werden jährlich von der IT-Leitung überprüft.
§164.312(e)(1)
SO17
Ein Schwachstellenscan wird vierteljährlich durchgeführt, um Bedrohungen und Schwachstellen der Produktionssysteme zu identifizieren. Identifizierte Probleme werden analysiert und zeitnah behoben.
§164.308(a)(8)
SO4
Die Organisation nutzt den Schlüsselverwaltungsdienst ihres Cloud-Anbieters, um Daten im Ruhezustand zu verschlüsseln und Verschlüsselungsschlüssel zu speichern und zu verwalten. Der Zugriff auf Produktionszugriffsschlüssel ist auf autorisierte Personen beschränkt.
§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)
SO5
Kundendaten werden im Ruhezustand (gespeichert und gesichert) mit starken Verschlüsselungstechnologien verschlüsselt.
§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(2)(ii)
§164.530(c)
SO6
Verschlüsselungstechnologien werden verwendet, um die Kommunikation und Übertragung von Daten über öffentliche Netzwerke und zwischen Systemen zu schützen.
§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)
VM1
Dritte, die im Auftrag der Organisation arbeiten, sind verpflichtet, eine Vereinbarung zu unterzeichnen, die den Standardverhaltenskodex sowie Sicherheits- und Vertraulichkeitsanforderungen umreißt.
§164.308(b)(1)
§164.308(b)(2)
§164.308(b)(3)
§164.504(e)
§164.314(a)(1)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(i)(A)
§164.314(a)(2)(i)(B)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(ii)
§164.410
VM2, VM3
Jährlich führt das Management Überprüfungen der SOC-Berichte von Dienstleistern/Anbietern durch, die auf einem abonnementbasierten Dienst sind, um die Angemessenheit des Umfangs, die Auswirkungen identifizierter Ausnahmen und die anwendbaren ergänzenden Benutzerentitätskontrollen zu überprüfen. Ein Lieferantenmanagementprozess wurde implementiert, bei dem das Management Risikobewertungen potenzieller neuer Anbieter durchführt und die Leistung bestehender Anbieter jährlich bewertet. Korrekturmaßnahmen werden basierend auf den Ergebnissen der Bewertungen ergriffen.
§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(iv)
§164.504(e)(1)
VM4
Ein Lieferantenmanagementprozess wurde implementiert, der Sicherheitsverfahren umfasst, die im Falle von Lieferantenkündigungen zu befolgen sind.
§164.504(e)
SmartMatchApp ist eine preisgekrönte Matchmaking- und Mitgliederverwaltungs-CRM-Software, die weltweit mehr als 100.000 Nutzer bedient
Ressourcen
Kontakt
Sprache
Deutsch
English 
Nederlands 
Français 
Español 
Italiano 
Українська 
Português 
Polski 
日本語
2026 © SmartMatch Systems Inc.
