Adeguatezza HIPAA di SmartMatchApp
Adeguatezza HIPAA di SmartMatchApp
Questa tabella dimostra come i Controlli SOC2 Tipo 2 di SmartMatchApp si allineano con l'HIPAA (The U.S. Health Insurance Portability and Accountability Act). Inoltre, alcune delle normative della HIPAA Security Rule non si applicano ai prodotti SmartMatchApp e non sono rappresentate in questa tabella. Queste informazioni sono fornite da SmartMatchApp per assistere i lettori nella comprensione della relazione tra i controlli SOC Tipo 2 di SmartMatchApp e i requisiti della HIPAA Security Rule e non sono incluse o soggette all'opinione dell'auditor.
AA1, AA2
Sono richiesti ID utente unici e password robuste per ottenere l'accesso all'infrastruttura che supporta l'applicazione (cioè Active Directory, account server e database).
§164.308(a)(5)(ii)(D)
§164.312(a)(2)(i)
§164.312(d)
§164.530(c)
AA3
L'autenticazione multi-fattore (MFA) è applicata per gli account utente con accesso amministrativo alla piattaforma di produzione dell'organizzazione.
§164.312(d)
AC1
L'accesso ai componenti di sistema in-scope (applicazione/i e la sua infrastruttura sottostante) richiede una richiesta di accesso documentata e l'approvazione da parte della direzione prima della fornitura dell'accesso.
§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.308(a)(3)(ii)(B)
§164.308(a)(3)(ii)(C)
§164.308(a)(4)(i)
§164.308(a)(4)(ii)(A)
§164.308(a)(4)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)
AC2
La direzione utilizza un elenco di controllo per la cessazione del dipendente per garantire che il processo di cessazione sia eseguito in modo coerente e che l'accesso sia revocato per i dipendenti cessati in modo tempestivo.
§164.308(a)(3)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)-§164.514(d)(2)
§164.530(c)
AC3
L'accesso agli account amministratore generici o privilegiati sui database e server che supportano l'applicazione è limitato al personale autorizzato in base a uno schema di accesso basato sui ruoli.
§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)
AC4
La direzione effettua una revisione trimestrale degli accessi degli utenti per i componenti di sistema in-scope per garantire che l'accesso sia limitato in modo appropriato. L'accesso è modificato o rimosso in modo tempestivo in base ai risultati della revisione.
§164.308(a)(3)(i)
§164.308(a)(3)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
OC11 L'organizzazione utilizza la piattaforma Tugboat Logic per gestire le sue politiche e procedure di sicurezza delle informazioni. I documenti interni relativi alla sicurezza, riservatezza e disponibilità sono mantenuti e resi disponibili ai dipendenti. Le politiche e i documenti delle procedure sono revisionati e approvati dalla direzione annualmente o durante cambiamenti significativi.
§164.308(a)
§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(ii)
§164.310(a)(2)(iii)
§164.530(c)
OC12
I dipendenti sono tenuti a completare un corso di formazione sulla sicurezza delle informazioni e sulla consapevolezza annualmente.
§164.308(a)(5)(i)
§164.308(a)(5)(ii)(A)
§164.308(a)(5)(ii)(B)
§164.308(a)(5)(ii)(C)
§164.308(a)(5)(ii)(D)
CR2
I backup completi vengono eseguiti ogni sei ore utilizzando un sistema automatizzato e replicati in una posizione remota. I backup sono monitorati per eventuali errori utilizzando un sistema automatizzato.
§164.308(a)(7)(ii)(A)
§164.310(d)(2)(iv)
CR6
I piani di continuità aziendale e di recupero in caso di disastro (incluso il ripristino dei backup) sono stati sviluppati e testati annualmente. I risultati dei test sono revisionati e conseguentemente, i piani di contingenza sono aggiornati.
§164.308(a)(7)(i)
§164.308(a)(7)(ii)(B)
§164.308(a)(7)(ii)(C)
§164.308(a)(7)(ii)(D)
§164.308(a)(7)(ii)(E)
§164.308(a)(8)
§164.310(a)(2)(i)
DP8
Esiste una politica di integrità dei dati che fornisce linee guida in merito all'integrità dei dati. L'organizzazione ha una politica sulla privacy che specifica che i soggetti dei dati sono responsabili di fornire informazioni personali complete e accurate all'organizzazione durante la raccolta o in caso di modifiche.
§164.312(c)(1)
§164.312(c)(2)
DP9
L'organizzazione ha nominato un Responsabile della Privacy che è responsabile dello sviluppo, dell'implementazione e del mantenimento di un programma di governance e privacy a livello organizzativo per garantire la conformità a tutte le leggi e regolamenti applicabili riguardanti la raccolta, l'uso, la manutenzione, la condivisione e la divulgazione delle informazioni personali.
§164.308(a)(2)
§164.530(a)
DS4
Sono in atto procedure formali di conservazione e smaltimento dei dati per guidare la conservazione e lo smaltimento sicuro delle informazioni.
§164.316(b)(2) (i)
§164.414(a)
§164.508(b)(6)
§164.508(c)(1-4)
§164.310(d)(2)(i)
§164.310(d)(2)(ii)
§164.520(e)
§164.524(e)
§164.530(j)
IR2
Le notifiche riguardanti violazioni confermate dei dati sono fornite ai soggetti dei dati interessati, ai regolatori e ad altri entro un lasso di tempo accettabile per soddisfare gli impegni di privacy dell'organizzazione.
§164.404(a)
§164.404(b)
§164.404(c)(1)
§164.410
§164.314(a)(2)(i)(C)
§164.412
§164.414(b)
IR3
È stato stabilito e implementato un processo formale di gestione degli incidenti che richiede che gli incidenti siano tracciati, documentati e risolti in modo completo, accurato e tempestivo. Il documento del processo è revisionato dalla direzione su base annuale e aggiornato secondo necessità.
§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(i)
§164.308(a)(6)(ii)
§164.530(f)
IR4
Tutti gli incidenti relativi alla sicurezza sono registrati, tracciati e comunicati alle parti interessate. Gli incidenti sono risolti in modo tempestivo in conformità con il processo formale di gestione degli incidenti.
§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(ii)
§164.530(f)
OC1
L'organizzazione mantiene un inventario degli asset informativi di produzione, inclusi dettagli sulla proprietà degli asset, classificazione dei dati e posizione. L'elenco dell'inventario degli asset è revisionato e aggiornato dalla direzione secondo necessità.
§164.310(b)
§164.310(c)
OC8
L'organizzazione utilizza Tugboat Logic per documentare i propri controlli interni e monitorarne continuamente l'efficacia. Una valutazione sull'efficacia e l'efficienza dei controlli interni, dei processi e delle politiche è revisionata dalla direzione almeno su base annuale e le carenze identificate sono risolte in modo tempestivo.
§164.316(b)(1)
§164.316(b)(2) (i)
OC9
L'organizzazione ha stabilito canali di comunicazione che consentono ai dipendenti di segnalare in modo sicuro e anonimo problemi relativi a frodi, molestie e altri problemi che influenzano i requisiti etici e di integrità dell'organizzazione.
§164.308(a)(1)(ii)(C)
§164.414(a)
§164.530(e)
§164.530(e)(1)
§164.530(g)
RA1
La direzione mantiene una copertura assicurativa tramite un fornitore di servizi esterno contro i principali rischi finanziari per l'intera attività.
§164.402(1)(i)-(iii)
§164.402(2)(i)-(iv)
RA2
La direzione esegue una valutazione formale dei rischi (che include rischi relativi alla sicurezza, frodi, cambiamenti normativi e tecnologici) su base annuale o in caso di cambiamenti significativi. I rischi identificati insieme alle strategie di mitigazione sono documentati e implementati dalla direzione esecutiva dell'organizzazione.
§164.308(a)(1)(ii)(A)
§164.308(a)(1)(ii)(B)
§164.308(a)(8)
SO11
È mantenuto un diagramma di rete formale che delinea i meccanismi di protezione dei confini (ad es. firewall, IDS, ecc.) per tutte le connessioni di rete ed è revisionato annualmente dalla direzione IT.
§164.312(e)(1)
SO13
Un test di penetrazione esterno viene eseguito su base annuale per identificare le vulnerabilità di sicurezza. I problemi identificati sono classificati in base al rischio, analizzati e risolti in modo tempestivo.
§164.308(a)(8)
SO14
Il logging è abilitato per monitorare le attività amministrative, i tentativi di accesso e le cancellazioni di dati a livello di applicazione e infrastruttura. I log sono conservati per scopi forensi e interrogati secondo necessità per la risoluzione dei problemi.
§164.308(a)(1)(ii)(D)
§164.308(a)(5)(ii)(C)
§164.312(b)
SO15
I firewall di sistema sono configurati sul gateway dell'applicazione e sulla rete di produzione per limitare porte, protocolli e servizi non necessari. Le regole del firewall sono revisionate su base annuale dalla direzione IT.
§164.312(e)(1)
SO17
Una scansione delle vulnerabilità viene eseguita su base trimestrale per identificare minacce e vulnerabilità ai sistemi di produzione. I problemi identificati sono analizzati e risolti in modo tempestivo.
§164.308(a)(8)
SO4
L'organizzazione utilizza il servizio di gestione delle chiavi del proprio provider cloud per crittografare i dati a riposo e per memorizzare e gestire le chiavi di crittografia. L'accesso alle chiavi di accesso alla produzione è limitato agli individui autorizzati.
§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)
SO5
I dati dei clienti sono crittografati a riposo (memorizzati e di backup) utilizzando tecnologie di crittografia robuste.
§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(2)(ii)
§164.530(c)
SO6
Le tecnologie di crittografia sono utilizzate per proteggere la comunicazione e la trasmissione dei dati su reti pubbliche e tra sistemi.
§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)
VM1
I contrattisti terzi che lavorano per conto dell'organizzazione sono tenuti a firmare un accordo che delinea il codice di condotta standard, i requisiti di sicurezza e riservatezza.
§164.308(b)(1)
§164.308(b)(2)
§164.308(b)(3)
§164.504(e)
§164.314(a)(1)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(i)(A)
§164.314(a)(2)(i)(B)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(ii)
§164.410
VM2, VM3
Su base annuale, la direzione esegue revisioni dei rapporti SOC dai fornitori di servizi/venditori che sono su un servizio basato su abbonamento per esaminare l'adeguatezza dell'ambito, l'impatto delle eccezioni identificate e i controlli utente complementari applicabili. È stato implementato un processo di gestione dei fornitori in cui la direzione esegue valutazioni del rischio di potenziali nuovi fornitori e valuta le prestazioni dei fornitori esistenti su base annuale. Le azioni correttive sono intraprese come richiesto in base ai risultati delle valutazioni.
§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(iv)
§164.504(e)(1)
VM4
È stato implementato un processo di gestione dei fornitori che include procedure di sicurezza da seguire in caso di cessazione del fornitore.
§164.504(e)
SmartMatchApp è un software CRM pluripremiato per il matchmaking e la gestione dei membri, con oltre 100.000 utenti in tutto il mondo
Risorse
Contatti
Lingua
Italiano
English 
Deutsch 
Nederlands 
Français 
Español 
Українська 
Português 
Polski 
日本語
2026 © SmartMatch Systems Inc.
