Adéquation HIPAA de SmartMatchApp

Ce tableau démontre comment les contrôles SOC2 Type 2 de SmartMatchApp s'alignent avec la HIPAA (Loi américaine sur la portabilité et la responsabilité en matière d'assurance maladie). De plus, certaines des réglementations de la règle de sécurité HIPAA ne s'appliquent pas aux produits SmartMatchApp et ne sont pas représentées dans ce tableau. Ces informations sont fournies par SmartMatchApp pour aider les lecteurs à comprendre la relation entre les contrôles SOC Type 2 de SmartMatchApp et les exigences de la règle de sécurité HIPAA et ne sont pas incluses ou soumises à l'opinion de l'auditeur.

AA1, AA2
Des identifiants utilisateur uniques et des mots de passe forts sont requis pour accéder à l'infrastructure supportant l'application (c'est-à-dire Active Directory, comptes serveur et base de données).

§164.308(a)(5)(ii)(D)
§164.312(a)(2)(i)
§164.312(d)
§164.530(c)

AA3
L'authentification multi-facteurs (MFA) est imposée pour les comptes utilisateurs ayant un accès administratif à la plateforme de production de l'organisation.

§164.312(d)

AC1
L'accès aux composants système concernés (application(s) et son infrastructure sous-jacente) nécessite une demande d'accès documentée et une approbation de la direction avant la fourniture de l'accès.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.308(a)(3)(ii)(B)
§164.308(a)(3)(ii)(C)
§164.308(a)(4)(i)
§164.308(a)(4)(ii)(A)
§164.308(a)(4)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)

AC2
La direction utilise une liste de contrôle de résiliation des employés pour s'assurer que le processus de résiliation est exécuté de manière cohérente et que l'accès est révoqué pour les employés licenciés en temps opportun.

§164.308(a)(3)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)-§164.514(d)(2)
§164.530(c)

AC3
L'accès à un administrateur générique ou à des comptes privilégiés sur les bases de données et les serveurs supportant l'application est restreint au personnel autorisé selon un schéma d'accès basé sur les rôles.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)

AC4
La direction effectue une revue trimestrielle des accès utilisateurs pour les composants système concernés afin de s'assurer que l'accès est restreint de manière appropriée. L'accès est modifié ou supprimé en temps opportun en fonction des résultats de la revue.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)

OC11 L'organisation utilise la plateforme Tugboat Logic pour gérer ses politiques et procédures de sécurité de l'information. Les documents internes relatifs à la sécurité, la confidentialité et la disponibilité sont maintenus et mis à disposition des employés. Les politiques et les documents de procédure sont examinés et approuvés par la direction chaque année ou lors de changements significatifs.

§164.308(a)
§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(ii)
§164.310(a)(2)(iii)
§164.530(c)

OC12
Les employés sont tenus de suivre une formation annuelle sur la sécurité de l'information et la sensibilisation.

§164.308(a)(5)(i)
§164.308(a)(5)(ii)(A)
§164.308(a)(5)(ii)(B)
§164.308(a)(5)(ii)(C)
§164.308(a)(5)(ii)(D)

CR2
Des sauvegardes complètes sont effectuées toutes les six heures à l'aide d'un système automatisé et répliquées vers un site distant. Les sauvegardes sont surveillées pour détecter les échecs à l'aide d'un système automatisé.

§164.308(a)(7)(ii)(A)
§164.310(d)(2)(iv)

CR6
Des plans de continuité des activités et de reprise après sinistre (y compris la restauration des sauvegardes) ont été développés et testés annuellement. Les résultats des tests sont examinés et, par conséquent, les plans de contingence sont mis à jour.

§164.308(a)(7)(i)
§164.308(a)(7)(ii)(B)
§164.308(a)(7)(ii)(C)
§164.308(a)(7)(ii)(D)
§164.308(a)(7)(ii)(E)
§164.308(a)(8)
§164.310(a)(2)(i)

DP8
Une politique d'intégrité des données existe qui fournit des directives concernant l'intégrité des données. L'organisation dispose d'une politique de confidentialité qui précise que les personnes concernées sont responsables de fournir des informations personnelles complètes et exactes à l'organisation lors de la collecte ou en cas de modifications.

§164.312(c)(1)
§164.312(c)(2)

DP9
L'organisation a nommé un responsable de la confidentialité qui est chargé de développer, de mettre en œuvre et de maintenir un programme de gouvernance et de confidentialité à l'échelle de l'organisation pour assurer la conformité avec toutes les lois et réglementations applicables concernant la collecte, l'utilisation, la maintenance, le partage et la divulgation des informations personnelles.

§164.308(a)(2)
§164.530(a)

DS4
Des procédures formelles de rétention et de destruction des données sont en place pour guider la rétention et la destruction sécurisées des informations.

§164.316(b)(2) (i)
§164.414(a)
§164.508(b)(6)
§164.508(c)(1-4)
§164.310(d)(2)(i)
§164.310(d)(2)(ii)
§164.520(e)
§164.524(e)
§164.530(j)

IR2
Les notifications concernant les violations de données confirmées sont fournies aux personnes concernées, aux régulateurs et à d'autres dans un délai acceptable pour répondre aux engagements de confidentialité de l'organisation.

§164.404(a)
§164.404(b)
§164.404(c)(1)
§164.410
§164.314(a)(2)(i)(C)
§164.412
§164.414(b)

IR3
Un processus formel de gestion des incidents a été établi et mis en œuvre, exigeant que les incidents soient suivis, documentés et résolus de manière complète, précise et en temps opportun. Le document de processus est examiné par la direction sur une base annuelle et mis à jour si nécessaire.

§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(i)
§164.308(a)(6)(ii)
§164.530(f)

IR4
Tous les incidents liés à la sécurité sont enregistrés, suivis et communiqués aux parties concernées. Les incidents sont résolus en temps opportun conformément au processus formel de gestion des incidents.

§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(ii)
§164.530(f)

OC1
L'organisation maintient un inventaire des actifs d'information de production, y compris les détails sur la propriété des actifs, la classification des données et l'emplacement. La liste d'inventaire des actifs est examinée et mise à jour par la direction au besoin.

§164.310(b)
§164.310(c)

OC8
L'organisation utilise Tugboat Logic pour documenter ses contrôles internes et surveiller en continu leur efficacité. Une évaluation de l'efficacité et de l'efficience des contrôles internes, des processus et des politiques est examinée par la direction au moins une fois par an et les déficiences identifiées sont corrigées en temps opportun.

§164.316(b)(1)
§164.316(b)(2) (i)

OC9
L'organisation a établi des canaux de communication qui permettent aux employés de signaler de manière sécurisée et anonyme des problèmes liés à la fraude, au harcèlement et à d'autres problèmes affectant les exigences éthiques et d'intégrité de l'organisation.

§164.308(a)(1)(ii)(C)
§164.414(a)
§164.530(e)
§164.530(e)(1)
§164.530(g)

RA1
La direction maintient une couverture d'assurance par l'intermédiaire d'un prestataire de services externe contre les principaux risques financiers pour l'ensemble de l'entreprise.

§164.402(1)(i)-(iii)
§164.402(2)(i)-(iv)

RA2
La direction effectue une évaluation formelle des risques (qui inclut les risques liés à la sécurité, à la fraude, aux changements réglementaires et technologiques) sur une base annuelle ou en cas de changements significatifs. Les risques identifiés ainsi que les stratégies d'atténuation sont documentés et mis en œuvre par la direction exécutive de l'organisation.

§164.308(a)(1)(ii)(A)
§164.308(a)(1)(ii)(B)
§164.308(a)(8)

SO11
Un schéma réseau formel décrivant les mécanismes de protection des frontières (par exemple, pare-feu, IDS, etc.) est maintenu pour toutes les connexions réseau et examiné annuellement par la direction informatique.

§164.312(e)(1)

SO13
Un test de pénétration externe est effectué chaque année pour identifier les failles de sécurité. Les problèmes identifiés sont classés selon le risque, analysés et corrigés en temps opportun.

§164.308(a)(8)

SO14
La journalisation est activée pour surveiller les activités administratives, les tentatives de connexion et les suppressions de données au niveau de l'application et de l'infrastructure. Les journaux sont conservés à des fins d'investigation et interrogés au besoin pour la résolution des problèmes.

§164.308(a)(1)(ii)(D)
§164.308(a)(5)(ii)(C)
§164.312(b)

SO15
Les pare-feu du système sont configurés sur la passerelle d'application et le réseau de production pour limiter les ports, protocoles et services inutiles. Les règles de pare-feu sont examinées chaque année par la direction informatique.

§164.312(e)(1)

SO17
Un scan de vulnérabilité est effectué trimestriellement pour identifier les menaces et vulnérabilités des systèmes de production. Les problèmes identifiés sont analysés et corrigés en temps opportun.

§164.308(a)(8)

SO4
L'organisation utilise le service de gestion des clés de son fournisseur de cloud pour chiffrer les données au repos et pour stocker et gérer les clés de chiffrement. L'accès aux clés d'accès de production est restreint aux personnes autorisées.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)

SO5
Les données des clients sont chiffrées au repos (stockées et sauvegardées) en utilisant des technologies de chiffrement fortes.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(2)(ii)
§164.530(c)

SO6
Des technologies de chiffrement sont utilisées pour protéger la communication et la transmission des données sur les réseaux publics et entre les systèmes.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)

VM1
Les sous-traitants tiers travaillant pour le compte de l'organisation sont tenus de signer un accord décrivant le code de conduite standard, les exigences de sécurité et de confidentialité.

§164.308(b)(1)
§164.308(b)(2)
§164.308(b)(3)
§164.504(e)
§164.314(a)(1)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(i)(A)
§164.314(a)(2)(i)(B)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(ii)
§164.410

VM2, VM3
Chaque année, la direction effectue des examens des rapports SOC des prestataires de services/fournisseurs qui sont sur un service par abonnement pour examiner la pertinence de la portée, l'impact des exceptions identifiées et les contrôles d'entité utilisateur complémentaires applicables. Un processus de gestion des fournisseurs a été mis en œuvre, par lequel la direction effectue des évaluations des risques des nouveaux fournisseurs potentiels et évalue la performance des fournisseurs existants sur une base annuelle. Des actions correctives sont prises si nécessaire en fonction des résultats des évaluations.

§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(iv)
§164.504(e)(1)

VM4
Un processus de gestion des fournisseurs a été mis en œuvre qui inclut des procédures de sécurité à suivre en cas de résiliation de fournisseurs.

§164.504(e)