SmartMatchApp Conformité HIPAA

Ce tableau montre comment SmartMatchApp SOC2 Contrôles de type 2 se conformer à la loi HIPAA (Health Insurance Portability and Accountability Act). De plus, certains standards de sécurité HIPAA ne s'appliquent pas aux produits SmartMatchApp et ne sont pas représentés dans ce tableau. Ces informations sont fournies par SmartMatchApp pour aider les lecteurs à comprendre la relation entre les contrôles SOC de type 2 de SmartMatchApp et les exigences de la règle de sécurité HIPAA et ne sont pas incluses ou sujettes à l'opinion de l'auditeur.

AA1, AA2
Des identifiants uniques et des mots de passe forts sont nécessaires pour accéder à l'infrastructure soutenant l'application (c'est-à-dire Active Directory, comptes de serveur et de base de données).

§164.308(a)(5)(ii)(D)
§164.312(a)(2)(i)
§164.312(d)
§164.530(c)

AA3
L'authentification multifactorielle (AMF) s'applique aux comptes d'utilisateurs ayant un accès administratif à la plateforme de production de l'organisation.

§164.312(d)

AC1
L'accès aux composants du système en question (application(s) et infrastructure sous-jacente) nécessite une demande d'accès documentée et l'approbation de la direction avant que l'accès ne soit accordé.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.308(a)(3)(ii)(B)
§164.308(a)(3)(ii)(C)
§164.308(a)(4)(i)
§164.308(a)(4)(ii)(A)
§164.308(a)(4)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)

AC2
La direction utilise une liste de contrôle pour s'assurer que le processus de licenciement est mené de manière cohérente et que l'accès des employés licenciés est révoqué en temps voulu.

§164.308(a)(3)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)-§164.514(d)(2)
§164.530(c)

AC3
L'accès à un administrateur générique ou à des comptes privilégiés sur les bases de données et les serveurs soutenant l'application est limité au personnel autorisé sur la base d'un schéma d'accès basé sur les rôles.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)

AC4
La direction procède à un examen trimestriel de l'accès des utilisateurs aux composants du système dans le champ d'application afin de s'assurer que l'accès est limité de manière appropriée. L'accès est modifié ou supprimé en temps utile en fonction des résultats de l'examen.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)

OC11 L'organisation utilise la plateforme Tugboat Logic pour gérer ses politiques et procédures de sécurité de l'information. Les documents de politique et de procédure internes relatifs à la sécurité, à la confidentialité et à la disponibilité sont tenus à jour et mis à la disposition des employés. Les documents relatifs aux politiques et procédures sont examinés et approuvés par la direction chaque année ou lorsque des changements importants interviennent.

§164.308(a)
§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(ii)
§164.310(a)(2)(iii)
§164.530(c)

OC12
Les employés doivent suivre une formation annuelle de sensibilisation à la sécurité de l'information.

§164.308(a)(5)(i)
§164.308(a)(5)(ii)(A)
§164.308(a)(5)(ii)(B)
§164.308(a)(5)(ii)(C)
§164.308(a)(5)(ii)(D)

CR2
Des sauvegardes complètes sont effectuées toutes les six heures par un système automatisé et répliquées sur un site extérieur. Les sauvegardes sont surveillées par un système automatisé afin de détecter toute défaillance.

§164.308(a)(7)(ii)(A)
§164.310(d)(2)(iv)

CR6
Des plans de continuité des activités et de reprise après sinistre (y compris la restauration des sauvegardes) ont été élaborés et testés chaque année. Les résultats des tests sont examinés et les plans d'urgence sont mis à jour en conséquence.

§164.308(a)(7)(i)
§164.308(a)(7)(ii)(B)
§164.308(a)(7)(ii)(C)
§164.308(a)(7)(ii)(D)
§164.308(a)(7)(ii)(E)
§164.308(a)(8)
§164.310(a)(2)(i)

DP8
Il existe une politique d'intégrité des données qui fournit des lignes directrices en la matière. L'organisation dispose d'une politique de confidentialité qui précise que les personnes concernées sont tenues de fournir des informations personnelles complètes et exactes à l'organisation lors de la collecte ou en cas de modification.

§164.312(c)(1)
§164.312(c)(2)

DP9
L'organisation a désigné un responsable de la protection de la vie privée chargé d'élaborer, de mettre en œuvre et de maintenir un programme de protection de la vie privée et de gouvernance à l'échelle de l'organisation, afin de garantir le respect de toutes les lois et réglementations applicables à la collecte, à l'utilisation, à la conservation, au partage et à la divulgation des informations à caractère personnel.

§164.308(a)(2)
§164.530(a)

DS4
Des procédures formelles de conservation et d'élimination des données sont en place pour guider la conservation et l'élimination des informations en toute sécurité.

§164.316(b)(2) (i)
§164.414(a)
§164.508(b)(6)
§164.508(c)(1-4)
§164.310(d)(2)(i)
§164.310(d)(2)(ii)
§164.520(e)
§164.524(e)
§164.530(j)

IR2
Les notifications concernant les violations de données confirmées sont communiquées aux personnes concernées, aux autorités de réglementation et à d'autres acteurs dans un délai acceptable pour respecter les engagements de l'organisation en matière de protection de la vie privée.

§164.404(a)
§164.404(b)
§164.404(c)(1)
§164.410
§164.314(a)(2)(i)(C)
§164.412
§164.414(b)

IR3
Un processus formel de gestion des incidents a été établi et mis en œuvre, qui exige que les incidents soient suivis, documentés et résolus de manière complète, précise et opportune. Le document relatif au processus est revu chaque année par la direction et mis à jour si nécessaire.

§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(i)
§164.308(a)(6)(ii)
§164.530(f)

IR4
Tous les incidents liés à la sécurité sont enregistrés, suivis et communiqués aux Correspondance concernées. Les incidents sont résolus en temps utile conformément au processus formel de gestion des incidents.

§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(ii)
§164.530(f)

OC1
L'organisme tient à jour un inventaire des actifs d'information de production qui comprend des détails sur la propriété des actifs, la classification des données et l'emplacement. La direction examine et met à jour l'inventaire des actifs si nécessaire.

§164.310(b)
§164.310(c)

OC8
L'organisation utilise Tugboat Logic pour documenter ses contrôles internes et surveiller en permanence leur efficacité. Une évaluation de l'efficacité et de l'efficience des contrôles internes, des processus et des politiques est examinée par la direction au moins une fois par an et les déficiences identifiées sont traitées en temps utile.

§164.316(b)(1)
§164.316(b)(2) (i)

OC9
L'organisation a mis en place des canaux de communication qui permettent aux employés de signaler en toute sécurité et de manière anonyme les problèmes liés à la fraude, au harcèlement et à d'autres questions touchant aux exigences de l'organisation en matière d'éthique et d'intégrité.

§164.308(a)(1)(ii)(C)
§164.414(a)
§164.530(e)
§164.530(e)(1)
§164.530(g)

RA1
La direction maintient une couverture d'assurance par l'intermédiaire d'un prestataire de services externe contre les principaux risques financiers pour l'ensemble de l'entreprise.

§164.402(1)(i)-(iii)
§164.402(2)(i)-(iv)

RA2
La direction procède à une évaluation formelle des risques (y compris les risques liés à la sécurité, à la fraude, aux changements réglementaires et technologiques) sur une base annuelle ou en cas de changements significatifs. Les risques identifiés, ainsi que les stratégies d'atténuation, sont documentés et mis en œuvre par la direction générale de l'organisation.

§164.308(a)(1)(ii)(A)
§164.308(a)(1)(ii)(B)
§164.308(a)(8)

SO11
Un diagramme de réseau formel décrivant les mécanismes de protection des frontières (par exemple, pare-feu, IDS, etc.) pour toutes les connexions de réseau est tenu à jour et revu chaque année par la direction informatique.

§164.312(e)(1)

SO13
Un test de pénétration externe est effectué chaque année pour détecter les problèmes de sécurité. Les problèmes détectés sont classés en fonction du risque, analysés et corrigés en temps utile.

§164.308(a)(8)

SO14
La journalisation est activée pour surveiller les activités administratives, les tentatives de connexion et les suppressions de données au niveau de l'application et de l'infrastructure. Les journaux sont conservés à des fins médico-légales et consultés si nécessaire pour le dépannage.

§164.308(a)(1)(ii)(D)
§164.308(a)(5)(ii)(C)
§164.312(b)

SO15
Des pare-feu sont configurés dans la passerelle d'application et le réseau de production pour limiter les ports, les protocoles et les services inutiles. Les règles des pare-feux sont révisées chaque année par la direction informatique.

§164.312(e)(1)

SO17
L'analyse des vulnérabilités est effectuée sur une base trimestrielle afin d'identifier les menaces et les vulnérabilités dans les systèmes de production. Les problèmes détectés sont analysés et corrigés en temps utile.

§164.308(a)(8)

SO4
L'organisation utilise le service de gestion des clés de son fournisseur d'informatique en nuage pour chiffrer les données au repos et pour stocker et gérer les clés de chiffrement. L'accès aux clés d'accès à la production est limité aux personnes autorisées.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)

SO5
Les données des clients sont cryptées au repos (stockées et sauvegardées) à l'aide de technologies de cryptage puissantes.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(2)(ii)
§164.530(c)

SO6
Les technologies de cryptage sont utilisées pour protéger la communication et la transmission de données sur les réseaux publics et entre les systèmes.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)

VM1
Les contractants externes travaillant pour le compte de l'organisation doivent signer un accord décrivant le code de conduite standard et les exigences en matière de sécurité et de confidentialité.

§164.308(b)(1)
§164.308(b)(2)
§164.308(b)(3)
§164.504(e)
§164.314(a)(1)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(i)(A)
§164.314(a)(2)(i)(B)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(ii)
§164.410

VM2, VM3
Sur une base annuelle, la direction effectue des revues des rapports SOC des prestataires de services/fournisseurs qui proposent des services sur abonnement pour évaluer la pertinence du périmètre, l'impact des exceptions identifiées et les contrôles des entités d'utilisateurs complémentaires applicables. Un processus de gestion des fournisseurs a été mis en place, selon lequel la direction effectue des évaluations des risques des nouveaux fournisseurs potentiels et évalue la performance des fournisseurs existants sur une base annuelle. Des actions correctives sont prises si nécessaire en fonction des résultats des évaluations.

§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(iv)
§164.504(e)(1)

VM4
Un processus de gestion des fournisseurs a été mis en place, qui comprend des procédures de sécurité à suivre en cas de cessation d'activité d'un fournisseur.

§164.504(e)