Adecuación a la HIPAA de SmartMatchApp

Esta tabla muestra cómo SmartMatchApp Controles SOC2 Tipo 2 se ajustan a la HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico de EE.UU.). Además, algunas de las normas de seguridad de la HIPAA no se aplican a los productos de SmartMatchApp y no están representadas en esta tabla. Esta información es proporcionada por SmartMatchApp para ayudar a los lectores a entender la relación entre los controles SOC Tipo 2 de SmartMatchApp y los requisitos de la Regla de Seguridad HIPAA y no está incluida ni sujeta a la opinión del auditor.

AA1, AA2
Se necesitan identificadores de usuario únicos y contraseñas seguras para acceder a la infraestructura que soporta la aplicación (es decir, Active Directory, servidor y cuentas de base de datos).

§164.308(a)(5)(ii)(D)
§164.312(a)(2)(i)
§164.312(d)
§164.530(c)

AA3
La autenticación multifactor (MFA) se aplica a las cuentas de usuario con acceso administrativo a la plataforma de producción de la organización.

§164.312(d)

AC1
El acceso a los componentes del sistema incluidos en el ámbito de aplicación (aplicación(es) y su infraestructura subyacente) requiere una solicitud de acceso documentada y la aprobación de la dirección antes de la provisión de acceso.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.308(a)(3)(ii)(B)
§164.308(a)(3)(ii)(C)
§164.308(a)(4)(i)
§164.308(a)(4)(ii)(A)
§164.308(a)(4)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)

AC2
La dirección utiliza una lista de comprobación para garantizar que el proceso de rescisión se lleva a cabo de forma coherente y que se revoca el acceso a los empleados rescindidos en el momento oportuno.

§164.308(a)(3)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)-§164.514(d)(2)
§164.530(c)

AC3
El acceso a un administrador genérico o a cuentas privilegiadas en las bases de datos y servidores que soportan la aplicación está restringido al personal autorizado en función de un esquema de acceso basado en roles.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)

AC4
La dirección realiza una revisión trimestral del acceso de los usuarios a los componentes del sistema incluidos en el ámbito de aplicación para garantizar que el acceso está restringido adecuadamente. El acceso se modifica o suprime oportunamente en función de los resultados de la revisión.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)

OC11 La organización utiliza la plataforma Tugboat Logic para gestionar sus políticas y procedimientos de seguridad de la información. Se mantienen y ponen a disposición de los empleados documentos internos de políticas y procedimientos relativos a la seguridad, confidencialidad y disponibilidad. Los documentos de políticas y procedimientos son revisados y aprobados por la dirección anualmente o cuando se producen cambios significativos.

§164.308(a)
§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(ii)
§164.310(a)(2)(iii)
§164.530(c)

OC12
Los empleados deben completar anualmente una formación sobre seguridad de la información y concienciación.

§164.308(a)(5)(i)
§164.308(a)(5)(ii)(A)
§164.308(a)(5)(ii)(B)
§164.308(a)(5)(ii)(C)
§164.308(a)(5)(ii)(D)

CR2
Las copias de seguridad completas se realizan cada seis horas mediante un sistema automatizado y se replican en una ubicación externa. Las copias de seguridad se supervisan para detectar fallos mediante un sistema automatizado.

§164.308(a)(7)(ii)(A)
§164.310(d)(2)(iv)

CR6
Los planes de continuidad de la actividad y de recuperación en caso de catástrofe (incluida la restauración de las copias de seguridad) se han elaborado y probado anualmente. Los resultados de las pruebas se revisan y, en consecuencia, se actualizan los planes de contingencia.

§164.308(a)(7)(i)
§164.308(a)(7)(ii)(B)
§164.308(a)(7)(ii)(C)
§164.308(a)(7)(ii)(D)
§164.308(a)(7)(ii)(E)
§164.308(a)(8)
§164.310(a)(2)(i)

DP8
Existe una política de integridad de datos que proporciona directrices con respecto a la integridad de los datos. La organización dispone de una política de privacidad que especifica que los interesados son responsables de proporcionar información personal completa y exacta a la organización durante la recogida o en caso de cualquier cambio.

§164.312(c)(1)
§164.312(c)(2)

DP9
La organización ha designado a un Responsable de Privacidad que es responsable de desarrollar, implementar y mantener un programa de gobierno y privacidad para toda la organización que garantice el cumplimiento de todas las leyes y reglamentos aplicables en materia de recopilación, uso, mantenimiento, intercambio y divulgación de información personal.

§164.308(a)(2)
§164.530(a)

DS4
Existen procedimientos formales de conservación y eliminación de datos que guían la conservación y eliminación seguras de la información.

§164.316(b)(2) (i)
§164.414(a)
§164.508(b)(6)
§164.508(c)(1-4)
§164.310(d)(2)(i)
§164.310(d)(2)(ii)
§164.520(e)
§164.524(e)
§164.530(j)

IR2
Las notificaciones relativas a las violaciones de datos confirmadas se proporcionan a los interesados afectados, a los reguladores y a otros dentro de un plazo aceptable para cumplir con los compromisos de privacidad de la organización.

§164.404(a)
§164.404(b)
§164.404(c)(1)
§164.410
§164.314(a)(2)(i)(C)
§164.412
§164.414(b)

IR3
Se ha establecido y aplicado un proceso formal de gestión de incidentes que exige que los incidentes se rastreen, documenten y resuelvan de forma completa, precisa y oportuna. La dirección revisa anualmente el documento del proceso y lo actualiza cuando es necesario.

§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(i)
§164.308(a)(6)(ii)
§164.530(f)

IR4
Todos los incidentes relacionados con la seguridad se registran, rastrean y comunican a las partes afectadas. Los incidentes se resuelven a tiempo de acuerdo con el proceso formal de gestión de incidentes.

§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(ii)
§164.530(f)

OC1
La organización mantiene un inventario de los activos de información de producción que incluye detalles sobre la propiedad de los activos, la clasificación de los datos y su ubicación. La dirección revisa y actualiza el inventario de activos cuando es necesario.

§164.310(b)
§164.310(c)

OC8
La organización utiliza Tugboat Logic para documentar sus controles internos y supervisar continuamente su eficacia. La dirección revisa al menos una vez al año una evaluación de la eficacia y eficiencia de los controles, procesos y políticas internos, y las deficiencias detectadas se subsanan oportunamente.

§164.316(b)(1)
§164.316(b)(2) (i)

OC9
La organización ha establecido canales de comunicación que permiten a los empleados informar de forma segura y anónima sobre cuestiones relacionadas con el fraude, el acoso y otros asuntos que afecten a los requisitos éticos y de integridad de la organización.

§164.308(a)(1)(ii)(C)
§164.414(a)
§164.530(e)
§164.530(e)(1)
§164.530(g)

RA1
La dirección mantiene una cobertura de seguros a través de un proveedor de servicios externo contra los principales riesgos financieros para el conjunto de la actividad.

§164.402(1)(i)-(iii)
§164.402(2)(i)-(iv)

RA2
La dirección realiza una evaluación formal de los riesgos (que incluye los riesgos relacionados con la seguridad, el fraude, la normativa y los cambios tecnológicos) con periodicidad anual o en caso de cambios significativos. Los riesgos identificados, junto con las estrategias de mitigación, son documentados y aplicados por la dirección ejecutiva de la organización.

§164.308(a)(1)(ii)(A)
§164.308(a)(1)(ii)(B)
§164.308(a)(8)

SO11
Se mantiene un diagrama formal de la red en el que se describen los mecanismos de protección de los límites (por ejemplo, cortafuegos, IDS, etc.) para todas las conexiones de la red, que es revisado anualmente por la dirección de TI.

§164.312(e)(1)

SO13
Todos los años se realiza una prueba de penetración externa para detectar problemas de seguridad. Los problemas detectados se clasifican en función del riesgo, se analizan y se corrigen oportunamente.

§164.308(a)(8)

SO14
El registro está habilitado para supervisar las actividades administrativas, los intentos de inicio de sesión y los borrados de datos a nivel de aplicación e infraestructura. Los registros se conservan con fines forenses y se consultan cuando es necesario para la resolución de problemas.

§164.308(a)(1)(ii)(D)
§164.308(a)(5)(ii)(C)
§164.312(b)

SO15
Los cortafuegos del sistema están configurados en la pasarela de aplicaciones y la red de producción para limitar los puertos, protocolos y servicios innecesarios. La dirección de TI revisa anualmente las reglas de los cortafuegos.

§164.312(e)(1)

SO17
El análisis de vulnerabilidades se realiza trimestralmente para identificar amenazas y vulnerabilidades en los sistemas de producción. Los problemas detectados se analizan y corrigen oportunamente.

§164.308(a)(8)

SO4
La organización utiliza el servicio de gestión de claves de su proveedor en la nube para cifrar los datos en reposo y almacenar y gestionar las claves de cifrado. El acceso a las claves de acceso de producción está restringido a las personas autorizadas.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)

SO5
Los datos de los clientes se cifran en reposo (almacenados y en copias de seguridad) mediante tecnologías de cifrado potentes.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(2)(ii)
§164.530(c)

SO6
Las tecnologías de cifrado se utilizan para proteger la comunicación y transmisión de datos a través de redes públicas y entre sistemas.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)

VM1
Los contratistas externos que trabajan en nombre de la organización deben firmar un acuerdo en el que se describen el código de conducta estándar y los requisitos de seguridad y confidencialidad.

§164.308(b)(1)
§164.308(b)(2)
§164.308(b)(3)
§164.504(e)
§164.314(a)(1)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(i)(A)
§164.314(a)(2)(i)(B)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(ii)
§164.410

VM2, VM3
Anualmente, la dirección realiza revisiones de los informes SOC de proveedores o vendedores que ofrecen servicios basados en suscripción para evaluar la idoneidad del alcance, el impacto de las excepciones identificadas y los controles complementarios de la entidad usuaria aplicables. Se ha implementado un proceso de gestión de proveedores mediante el cual la dirección realiza evaluaciones de riesgo de posibles nuevos proveedores y evalúa el rendimiento de los proveedores existentes anualmente. Se toman medidas correctivas según sea necesario basándose en los resultados de las evaluaciones.

§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(iv)
§164.504(e)(1)

VM4
Se ha implantado un proceso de gestión de proveedores que incluye procedimientos de seguridad a seguir en caso de cese de proveedores.

§164.504(e)