Adecuación de SmartMatchApp a HIPAA
Adecuación de SmartMatchApp a HIPAA
Esta tabla demuestra cómo los Controles SOC2 Tipo 2 de SmartMatchApp se alinean con la HIPAA (La Ley de Portabilidad y Responsabilidad de Seguros de Salud de EE. UU.). Además, algunas de las regulaciones de la Regla de Seguridad de HIPAA no se aplican a los productos de SmartMatchApp y no están representadas en esta tabla. Esta información es proporcionada por SmartMatchApp para ayudar a los lectores a comprender la relación entre los controles SOC Tipo 2 de SmartMatchApp y los requisitos de la Regla de Seguridad de HIPAA y no está incluida ni sujeta a la opinión del auditor.
AA1, AA2
Se requieren identificaciones de usuario únicas y contraseñas fuertes para obtener acceso a la infraestructura que soporta la aplicación (es decir, Active Directory, cuentas de servidor y base de datos).
§164.308(a)(5)(ii)(D)
§164.312(a)(2)(i)
§164.312(d)
§164.530(c)
AA3
Se aplica la autenticación multifactor (MFA) para cuentas de usuario con acceso administrativo a la plataforma de producción de la organización.
§164.312(d)
AC1
El acceso a los componentes del sistema dentro del alcance (aplicación(es) y su infraestructura subyacente) requiere una solicitud de acceso documentada y aprobación de la gerencia antes de la provisión de acceso.
§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.308(a)(3)(ii)(B)
§164.308(a)(3)(ii)(C)
§164.308(a)(4)(i)
§164.308(a)(4)(ii)(A)
§164.308(a)(4)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)
AC2
La gerencia utiliza una lista de verificación de terminación de empleados para asegurar que el proceso de terminación se ejecute de manera consistente y que el acceso sea revocado para los empleados terminados de manera oportuna.
§164.308(a)(3)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)-§164.514(d)(2)
§164.530(c)
AC3
El acceso a cuentas genéricas de administrador o privilegiadas en las bases de datos y servidores que soportan la aplicación está restringido a personal autorizado basado en un esquema de acceso basado en roles.
§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)
AC4
La gerencia realiza una revisión trimestral del acceso de usuarios para los componentes del sistema dentro del alcance para asegurar que el acceso esté restringido adecuadamente. El acceso se modifica o elimina de manera oportuna basado en los resultados de la revisión.
§164.308(a)(3)(i)
§164.308(a)(3)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
OC11 La organización utiliza la plataforma Tugboat Logic para gestionar sus políticas y procedimientos de Seguridad de la Información. Los documentos de políticas y procedimientos internos relacionados con seguridad, confidencialidad y disponibilidad se mantienen y están disponibles para los empleados. Las políticas y documentos de procedimientos son revisados y aprobados por la gerencia anualmente o durante cambios significativos.
§164.308(a)
§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(ii)
§164.310(a)(2)(iii)
§164.530(c)
OC12
Se requiere que los empleados completen una capacitación de seguridad de la información y concienciación anualmente.
§164.308(a)(5)(i)
§164.308(a)(5)(ii)(A)
§164.308(a)(5)(ii)(B)
§164.308(a)(5)(ii)(C)
§164.308(a)(5)(ii)(D)
CR2
Se realizan copias de seguridad completas cada seis horas utilizando un sistema automatizado y se replican a una ubicación externa. Las copias de seguridad son monitoreadas para detectar fallos utilizando un sistema automatizado.
§164.308(a)(7)(ii)(A)
§164.310(d)(2)(iv)
CR6
Se han desarrollado y probado anualmente planes de Continuidad del Negocio y recuperación ante desastres (incluyendo la restauración de copias de seguridad). Los resultados de las pruebas son revisados y, en consecuencia, se actualizan los planes de contingencia.
§164.308(a)(7)(i)
§164.308(a)(7)(ii)(B)
§164.308(a)(7)(ii)(C)
§164.308(a)(7)(ii)(D)
§164.308(a)(7)(ii)(E)
§164.308(a)(8)
§164.310(a)(2)(i)
DP8
Existe una política de integridad de datos que proporciona directrices con respecto a la integridad de los datos. La organización tiene una política de privacidad que especifica que los sujetos de datos son responsables de proporcionar información personal completa y precisa a la organización durante la recopilación o en caso de cualquier cambio.
§164.312(c)(1)
§164.312(c)(2)
DP9
La organización ha designado un Oficial de Privacidad que es responsable de desarrollar, implementar y mantener un programa de gobernanza y privacidad a nivel organizacional para asegurar el cumplimiento de todas las leyes y regulaciones aplicables con respecto a la recopilación, uso, mantenimiento, intercambio y divulgación de información personal.
§164.308(a)(2)
§164.530(a)
DS4
Se han establecido procedimientos formales de retención y eliminación de datos para guiar la retención segura y la eliminación de información.
§164.316(b)(2) (i)
§164.414(a)
§164.508(b)(6)
§164.508(c)(1-4)
§164.310(d)(2)(i)
§164.310(d)(2)(ii)
§164.520(e)
§164.524(e)
§164.530(j)
IR2
Las notificaciones sobre violaciones de datos confirmadas se proporcionan a los sujetos de datos afectados, reguladores y otros dentro de un plazo aceptable para cumplir con los compromisos de privacidad de la organización.
§164.404(a)
§164.404(b)
§164.404(c)(1)
§164.410
§164.314(a)(2)(i)(C)
§164.412
§164.414(b)
IR3
Se ha establecido e implementado un proceso formal de gestión de incidentes que requiere que los incidentes sean rastreados, documentados y resueltos de manera completa, precisa y oportuna. El documento del proceso es revisado por la gerencia anualmente y actualizado según sea necesario.
§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(i)
§164.308(a)(6)(ii)
§164.530(f)
IR4
Todos los incidentes relacionados con la seguridad se registran, rastrean y comunican a las partes afectadas. Los incidentes son resueltos de manera oportuna de acuerdo con el proceso formal de gestión de incidentes.
§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(ii)
§164.530(f)
OC1
La organización mantiene un inventario de activos de información de producción que incluye detalles sobre la propiedad de los activos, clasificación de datos y ubicación. La lista de inventario de activos es revisada y actualizada por la gerencia según sea necesario.
§164.310(b)
§164.310(c)
OC8
La organización utiliza Tugboat Logic para documentar sus controles internos y monitorear continuamente su efectividad. Una evaluación sobre la efectividad y eficiencia de los controles internos, procesos y políticas es revisada por la gerencia al menos una vez al año y las deficiencias identificadas son remediadas de manera oportuna.
§164.316(b)(1)
§164.316(b)(2) (i)
OC9
La organización ha establecido canales de comunicación que permiten a los empleados reportar de manera segura y anónima problemas relacionados con fraude, acoso y otros problemas que impactan los requisitos éticos y de integridad de la organización.
§164.308(a)(1)(ii)(C)
§164.414(a)
§164.530(e)
§164.530(e)(1)
§164.530(g)
RA1
La gerencia mantiene cobertura de seguro a través de un proveedor de servicios externo contra riesgos financieros importantes para el negocio en general.
§164.402(1)(i)-(iii)
§164.402(2)(i)-(iv)
RA2
La gerencia realiza una evaluación formal de riesgos (que incluye riesgos relacionados con seguridad, fraude, cambios regulatorios y tecnológicos) de manera anual o en caso de cambios significativos. Los riesgos identificados junto con las estrategias de mitigación son documentados e implementados por la gerencia ejecutiva de la organización.
§164.308(a)(1)(ii)(A)
§164.308(a)(1)(ii)(B)
§164.308(a)(8)
SO11
Se mantiene un diagrama de red formal que describe los mecanismos de protección de límites (por ejemplo, firewalls, IDS, etc.) para todas las conexiones de red y es revisado anualmente por la gerencia de TI.
§164.312(e)(1)
SO13
Se realiza una prueba de penetración externa de manera anual para identificar explotaciones de seguridad. Los problemas identificados se clasifican según el riesgo, se analizan y se remedian de manera oportuna.
§164.308(a)(8)
SO14
Se habilita el registro para monitorear actividades administrativas, intentos de inicio de sesión y eliminaciones de datos a nivel de aplicación e infraestructura. Los registros se retienen para propósitos forenses y se interrogan según sea necesario para la resolución de problemas.
§164.308(a)(1)(ii)(D)
§164.308(a)(5)(ii)(C)
§164.312(b)
SO15
Los firewalls del sistema están configurados en la puerta de enlace de la aplicación y la red de producción para limitar puertos, protocolos y servicios innecesarios. Las reglas de firewall son revisadas anualmente por la gerencia de TI.
§164.312(e)(1)
SO17
Se realiza un escaneo de vulnerabilidades de manera trimestral para identificar amenazas y vulnerabilidades en los sistemas de producción. Los problemas identificados se analizan y se remedian de manera oportuna.
§164.308(a)(8)
SO4
La organización utiliza el servicio de gestión de claves de su proveedor de nube para cifrar datos en reposo y para almacenar y gestionar claves de cifrado. El acceso a las claves de acceso de producción está restringido a individuos autorizados.
§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)
SO5
Los datos de los clientes están cifrados en reposo (almacenados y en copia de seguridad) utilizando tecnologías de cifrado fuertes.
§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(2)(ii)
§164.530(c)
SO6
Se utilizan tecnologías de cifrado para proteger la comunicación y transmisión de datos a través de redes públicas y entre sistemas.
§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)
VM1
Se requiere que los contratistas externos que trabajan en nombre de la organización firmen un acuerdo que describa el código de conducta estándar, los requisitos de seguridad y confidencialidad.
§164.308(b)(1)
§164.308(b)(2)
§164.308(b)(3)
§164.504(e)
§164.314(a)(1)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(i)(A)
§164.314(a)(2)(i)(B)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(ii)
§164.410
VM2, VM3
De manera anual, la gerencia realiza revisiones de los informes SOC de los proveedores de servicios que están en un servicio basado en suscripción para revisar la adecuación del alcance, el impacto de las excepciones identificadas y los controles de entidad de usuario complementarios aplicables. Se ha implementado un proceso de gestión de proveedores mediante el cual la gerencia realiza evaluaciones de riesgos de posibles nuevos proveedores y evalúa el desempeño de los proveedores existentes de manera anual. Se toman acciones correctivas según sea necesario basado en los resultados de las evaluaciones.
§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(iv)
§164.504(e)(1)
VM4
Se ha implementado un proceso de gestión de proveedores que incluye procedimientos de seguridad a seguir en caso de terminaciones de proveedores.
§164.504(e)
SmartMatchApp es un software CRM de matchmaking y gestión de membresías galardonado, con más de 100.000 usuarios en todo el mundo
Recursos
Contactos
Idioma
Español
English 
Deutsch 
Nederlands 
Français 
Italiano 
Українська 
Português 
Polski 
日本語
2026 © SmartMatch Systems Inc.
