SmartMatchApp HIPAA-Konformität

Diese Tabelle zeigt, wie SmartMatchApp SOC2 Kontrollen des Typs 2 dem HIPAA-Gesetz (Gesetz zur Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen) entsprechen. Darüber hinaus gelten einige HIPAA-Sicherheitsstandards nicht für SmartMatchApp-Produkte und sind in dieser Tabelle nicht dargestellt. Diese Informationen werden von SmartMatchApp zur Verfügung gestellt, um den Lesern zu helfen, die Beziehung zwischen SmartMatchApps SOC-Kontrollen des Typs 2 und den Anforderungen der HIPAA-Sicherheitsregel zu verstehen, und sind nicht enthalten oder unterliegen der Meinung des Prüfers.

AA1, AA2
Für den Zugriff auf die Infrastruktur, die die Anwendung unterstützt (d. h. Aktives Verzeichnis, Server - und Datenbankkonten), sind eindeutige Kennungen und starke Passwörter erforderlich.

§164.308(a)(5)(ii)(D)
§164.312(a)(2)(i)
§164.312(d)
§164.530(c)

AA3
Die Multifaktor-Authentifizierung (MFA) gilt für Benutzerkonten mit administrativem Zugriff auf die Produktionsplattform der Organisation.

§164.312(d)

AC1
Der Zugang zu den Komponenten des betreffenden Systems (Anwendung(en) und zugrunde liegende Infrastruktur) erfordert einen dokumentierten Antrag auf Zugang und die Zustimmung der Geschäftsleitung, bevor der Zugang gewährt wird.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.308(a)(3)(ii)(B)
§164.308(a)(3)(ii)(C)
§164.308(a)(4)(i)
§164.308(a)(4)(ii)(A)
§164.308(a)(4)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)

AC2
Das Management verwendet eine Checkliste, um sicherzustellen, dass der Entlassungsprozess konsequent durchgeführt wird und der Zugang der entlassenen Mitarbeiter rechtzeitig widerrufen wird.

§164.308(a)(3)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)-§164.514(d)(2)
§164.530(c)

AC3
Der Zugriff eines generischen Administrators oder privilegierter Konten auf die Datenbanken und Server, die die Anwendung unterstützen, ist auf der Grundlage eines rollenbasierten Zugriffsschemas auf autorisiertes Personal beschränkt.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)

AC4
Die Leitung führt vierteljährlich eine Überprüfung des Benutzerzugriffs auf Systemkomponenten im Geltungsbereich durch, um sicherzustellen, dass der Zugriff angemessen beschränkt ist. Der Zugang wird auf der Grundlage der Ergebnisse der Überprüfung zeitnah geändert oder aufgehoben.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)

OC11 Die Organisation nutzt die Tugboat-Logic-Plattform, um ihre Richtlinien und Verfahren zur Informationssicherheit zu verwalten. Die internen Richtlinien- und Verfahrensdokumente zu Sicherheit, Vertraulichkeit und Verfügbarkeit werden auf dem neuesten Stand gehalten und den Mitarbeitern zur Verfügung gestellt. Die Dokumente zu den Richtlinien und Verfahren werden jährlich oder bei wesentlichen Änderungen von der Unternehmensleitung überprüft und genehmigt.

§164.308(a)
§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(ii)
§164.310(a)(2)(iii)
§164.530(c)

OC12
Die Mitarbeiter müssen jährlich an einer Schulung zur Sensibilisierung für Informationssicherheit teilnehmen.

§164.308(a)(5)(i)
§164.308(a)(5)(ii)(A)
§164.308(a)(5)(ii)(B)
§164.308(a)(5)(ii)(C)
§164.308(a)(5)(ii)(D)

CR2
Vollständige Datensicherungen werden alle sechs Stunden von einem automatisierten System durchgeführt und an einem externen Standort repliziert. Die Backups werden von einem automatisierten System auf Ausfälle hin überwacht.

§164.308(a)(7)(ii)(A)
§164.310(d)(2)(iv)

CR6
Pläne für Geschäftskontinuität und Notfallwiederherstellung (einschließlich der Wiederherstellung von Backups) wurden entwickelt und jedes Jahr getestet. Die Ergebnisse der Tests werden überprüft und die Notfallpläne entsprechend aktualisiert.

§164.308(a)(7)(i)
§164.308(a)(7)(ii)(B)
§164.308(a)(7)(ii)(C)
§164.308(a)(7)(ii)(D)
§164.308(a)(7)(ii)(E)
§164.308(a)(8)
§164.310(a)(2)(i)

DP8
Es gibt eine Richtlinie zur Datenintegrität, die diesbezügliche Leitlinien enthält. Die Organisation verfügt über eine Datenschutzrichtlinie, in der festgelegt ist, dass die betroffenen Personen verpflichtet sind, der Organisation bei der Erhebung oder im Falle von Änderungen vollständige und genaue persönliche Informationen zur Verfügung zu stellen.

§164.312(c)(1)
§164.312(c)(2)

DP9
Die Organisation hat einen Datenschutzbeauftragten ernannt, der für die Entwicklung, Umsetzung und Aufrechterhaltung eines organisationsweiten Datenschutz- und Governance-Programms verantwortlich ist, um die Einhaltung aller Gesetze und Vorschriften zu gewährleisten, die für die Erfassung, Nutzung, Aufbewahrung, Weitergabe und Offenlegung personenbezogener Informationen gelten.

§164.308(a)(2)
§164.530(a)

DS4
Es gibt formelle Verfahren zur Aufbewahrung und Entsorgung von Daten, die die sichere Aufbewahrung und Entsorgung von Informationen anleiten.

§164.316(b)(2) (i)
§164.414(a)
§164.508(b)(6)
§164.508(c)(1-4)
§164.310(d)(2)(i)
§164.310(d)(2)(ii)
§164.520(e)
§164.524(e)
§164.530(j)

IR2
Benachrichtigungen über bestätigte Datenverletzungen werden den betroffenen Personen, Regulierungsbehörden und anderen Akteuren innerhalb eines akzeptablen Zeitraums mitgeteilt, um die Datenschutzverpflichtungen der Organisation zu erfüllen.

§164.404(a)
§164.404(b)
§164.404(c)(1)
§164.410
§164.314(a)(2)(i)(C)
§164.412
§164.414(b)

IR3
Es wurde ein formeller Prozess für das Management von Vorfällen eingerichtet und umgesetzt, der verlangt, dass Vorfälle vollständig, genau und zeitnah verfolgt, dokumentiert und gelöst werden. Das Dokument zu diesem Prozess wird jährlich von der Geschäftsleitung überprüft und bei Bedarf aktualisiert.

§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(i)
§164.308(a)(6)(ii)
§164.530(f)

IR4
Alle sicherheitsrelevanten Vorfälle werden aufgezeichnet, nachverfolgt und den zuständigen Korrespondenzen mitgeteilt. Vorfälle werden zeitnah gemäß dem formalen Prozess des Vorfallsmanagements gelöst.

§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(ii)
§164.530(f)

OC1
Die Organisation führt ein Inventar der Vermögenswerte an Produktionsinformationen, das Einzelheiten über das Eigentum an den Vermögenswerten, die Klassifizierung der Daten und den Standort enthält. Das Management überprüft und aktualisiert das Bestandsverzeichnis der Vermögenswerte bei Bedarf.

§164.310(b)
§164.310(c)

OC8
Die Organisation verwendet Tugboat Logic, um ihre internen Kontrollen zu dokumentieren und deren Effektivität kontinuierlich zu überwachen. Eine Bewertung der Effektivität und Effizienz der internen Kontrollen, Prozesse und Richtlinien wird mindestens einmal jährlich von der Geschäftsleitung überprüft und identifizierte Mängel werden zeitnah behoben.

§164.316(b)(1)
§164.316(b)(2) (i)

OC9
Die Organisation hat Kommunikationskanäle eingerichtet, über die Mitarbeiter sicher und anonym Probleme im Zusammenhang mit Betrug, Belästigung und anderen Themen melden können, die die Anforderungen der Organisation an Ethik und Integrität berühren.

§164.308(a)(1)(ii)(C)
§164.414(a)
§164.530(e)
§164.530(e)(1)
§164.530(g)

RA1
Die Geschäftsleitung unterhält über einen externen Dienstleister einen Versicherungsschutz gegen die wichtigsten finanziellen Risiken für das gesamte Unternehmen.

§164.402(1)(i)-(iii)
§164.402(2)(i)-(iv)

RA2
Die Geschäftsleitung führt jährlich oder bei signifikanten Veränderungen eine formelle Risikobewertung durch (einschließlich Sicherheits- und Betrugsrisiken sowie regulatorischer und technologischer Veränderungen). Die identifizierten Risiken sowie die Strategien zu ihrer Minderung werden dokumentiert und von der obersten Leitung der Organisation umgesetzt.

§164.308(a)(1)(ii)(A)
§164.308(a)(1)(ii)(B)
§164.308(a)(8)

SO11
Ein formales Netzwerkdiagramm, das die Grenzschutzmechanismen (z. B. Firewalls, IDS usw.) für alle Netzwerkverbindungen beschreibt, wird von der IT-Leitung auf dem neuesten Stand gehalten und jährlich überprüft.

§164.312(e)(1)

SO13
Ein externer Penetrationstest wird jedes Jahr durchgeführt, um Sicherheitsprobleme zu erkennen. Erkannte Probleme werden nach Risiko eingestuft, analysiert und zeitnah behoben.

§164.308(a)(8)

SO14
Die Protokollierung wird aktiviert, um administrative Aktivitäten, Anmeldeversuche und Datenlöschungen auf Anwendungs- und Infrastrukturebene zu überwachen. Die Protokolle werden für forensische Zwecke aufbewahrt und bei Bedarf zur Fehlerbehebung herangezogen.

§164.308(a)(1)(ii)(D)
§164.308(a)(5)(ii)(C)
§164.312(b)

SO15
Im Anwendungsgateway und im Produktionsnetzwerk werden Firewalls konfiguriert, um unnötige Ports, Protokolle und Dienste einzuschränken. Die Regeln der Firewalls werden jährlich von der IT-Leitung überprüft.

§164.312(e)(1)

SO17
Die Schwachstellenanalyse wird auf vierteljährlicher Basis durchgeführt, um Bedrohungen und Schwachstellen in den Produktionssystemen zu identifizieren. Erkannte Probleme werden analysiert und zeitnah behoben.

§164.308(a)(8)

SO4
Die Organisation nutzt den Schlüsselverwaltungsdienst ihres Cloud-Computing-Anbieters, um Daten im Ruhezustand zu verschlüsseln und die Verschlüsselungsschlüssel zu speichern und zu verwalten. Der Zugriff auf die Schlüssel für den Produktionszugang ist auf befugte Personen beschränkt.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)

SO5
Die Daten der Kunden werden im Ruhezustand (gespeichert und gesichert) mithilfe starker Verschlüsselungstechnologien verschlüsselt.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(2)(ii)
§164.530(c)

SO6
Verschlüsselungstechnologien werden eingesetzt, um die Kommunikation und Datenübertragung in öffentlichen Netzen und zwischen Systemen zu schützen.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)

VM1
Externe Auftragnehmer, die im Auftrag der Organisation arbeiten, müssen eine Vereinbarung unterzeichnen, in der der Standard-Verhaltenskodex und die Sicherheits- und Vertraulichkeitsanforderungen beschrieben sind.

§164.308(b)(1)
§164.308(b)(2)
§164.308(b)(3)
§164.504(e)
§164.314(a)(1)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(i)(A)
§164.314(a)(2)(i)(B)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(ii)
§164.410

VM2, VM3
Auf jährlicher Basis führt das Management Überprüfungen der SOC-Berichte von Dienstleistern/Anbietern durch, die einen abonnementbasierten Dienst nutzen, um die Angemessenheit des Umfangs, die Auswirkungen identifizierter Ausnahmen und die anwendbaren komplementären Kontrollen der Nutzerentität zu bewerten. Ein Lieferantenmanagementprozess wurde implementiert, bei dem das Management Risikobewertungen potenzieller neuer Anbieter durchführt und die Leistung bestehender Anbieter jährlich evaluiert. Korrekturmaßnahmen werden erforderlichenfalls basierend auf den Ergebnissen der Bewertungen ergriffen.

§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(iv)
§164.504(e)(1)

VM4
Es wurde ein Prozess für das Lieferantenmanagement eingeführt, der auch Sicherheitsverfahren umfasst, die im Falle der Einstellung der Geschäftstätigkeit eines Lieferanten zu befolgen sind.

§164.504(e)