Conformità HIPAA di SmartMatchApp

Questa tabella mostra come SmartMatchApp Controlli SOC2 di tipo 2 sono conformi all'HIPAA Legge sulla portabilità e la responsabilità dell'assicurazione sanitaria). Inoltre, alcuni standard di sicurezza HIPAA non si applicano ai prodotti SmartMatchApp e non sono rappresentati in questa tabella. Queste informazioni sono fornite da SmartMatchApp per aiutare i lettori a comprendere la relazione tra i controlli SOC di tipo 2 di SmartMatchApp e i requisiti della HIPAA Security Rule e non sono incluse o soggette al parere del revisore.

AA1, AA2
Per accedere all'infrastruttura che supporta l'applicazione (ad es. directory attiva, account di server e database) sono necessari identificatori unici e password forti.

§164.308(a)(5)(ii)(D)
§164.312(a)(2)(i)
§164.312(d)
§164.530(c)

AA3
L'autenticazione a più fattori (MFA) si applica agli account utente con accesso amministrativo alla piattaforma di produzione dell'organizzazione.

§164.312(d)

AC1
L'accesso ai componenti del sistema in questione (applicazioni e infrastrutture sottostanti) richiede una richiesta di accesso documentata e l'approvazione della direzione prima che l'accesso venga concesso.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.308(a)(3)(ii)(B)
§164.308(a)(3)(ii)(C)
§164.308(a)(4)(i)
§164.308(a)(4)(ii)(A)
§164.308(a)(4)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)

AC2
La direzione utilizza una lista di controllo per garantire che il processo di licenziamento sia eseguito in modo coerente e che l'accesso dei dipendenti licenziati sia revocato in tempo utile.

§164.308(a)(3)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)-§164.514(d)(2)
§164.530(c)

AC3
L'accesso da parte di un amministratore generico o di account privilegiati ai database e ai server che supportano l'applicazione è limitato al personale autorizzato sulla base di uno schema di accesso basato sui ruoli.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)

AC4
La direzione effettua una revisione trimestrale dell'accesso degli utenti ai componenti del sistema per garantire che l'accesso sia adeguatamente limitato. L'accesso viene modificato o annullato tempestivamente in base ai risultati della revisione.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)

OC11 L'organizzazione utilizza la piattaforma Tugboat Logic per gestire le politiche e le procedure di sicurezza delle informazioni. I documenti delle politiche e delle procedure interne in materia di sicurezza, riservatezza e disponibilità sono aggiornati e messi a disposizione dei dipendenti. I documenti delle politiche e delle procedure sono rivisti e approvati dalla direzione ogni anno o quando si verificano cambiamenti significativi.

§164.308(a)
§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(ii)
§164.310(a)(2)(iii)
§164.530(c)

OC12
I dipendenti devono partecipare a una formazione annuale di sensibilizzazione sulla sicurezza delle informazioni.

§164.308(a)(5)(i)
§164.308(a)(5)(ii)(A)
§164.308(a)(5)(ii)(B)
§164.308(a)(5)(ii)(C)
§164.308(a)(5)(ii)(D)

CR2
I backup completi dei dati vengono eseguiti ogni sei ore da un sistema automatico e replicati in una sede esterna. I backup sono monitorati da un sistema automatico per individuare eventuali guasti.

§164.308(a)(7)(ii)(A)
§164.310(d)(2)(iv)

CR6
I piani di continuità operativa e di ripristino in caso di disastro (compreso il ripristino di backup) sono stati sviluppati e testati annualmente. I risultati dei test vengono esaminati e i piani di emergenza vengono aggiornati di conseguenza.

§164.308(a)(7)(i)
§164.308(a)(7)(ii)(B)
§164.308(a)(7)(ii)(C)
§164.308(a)(7)(ii)(D)
§164.308(a)(7)(ii)(E)
§164.308(a)(8)
§164.310(a)(2)(i)

DP8
Esiste una politica di integrità dei dati che fornisce indicazioni in merito. L'organizzazione ha una politica di protezione dei dati che stabilisce che gli interessati sono tenuti a fornire all'organizzazione informazioni personali complete e accurate quando vengono raccolte o in caso di modifiche.

§164.312(c)(1)
§164.312(c)(2)

DP9
L'organizzazione ha nominato un Responsabile della protezione dei dati che è responsabile dello sviluppo, dell'implementazione e del mantenimento di un programma di privato e di governance a livello dell'organizzazione per garantire la conformità con tutte le leggi e i regolamenti che si applicano alla raccolta, all'uso, alla conservazione, al trasferimento e alla divulgazione delle informazioni personali.

§164.308(a)(2)
§164.530(a)

DS4
Sono in vigore procedure formali di conservazione e smaltimento dei dati per guidare la conservazione e lo smaltimento sicuro delle informazioni.

§164.316(b)(2) (i)
§164.414(a)
§164.508(b)(6)
§164.508(c)(1-4)
§164.310(d)(2)(i)
§164.310(d)(2)(ii)
§164.520(e)
§164.524(e)
§164.530(j)

IR2
Le notifiche di violazioni di dati confermate vengono comunicate agli interessati, alle autorità di regolamentazione e alle altre parti interessate entro un lasso di tempo accettabile per soddisfare gli obblighi di protezione dei dati dell'organizzazione.

§164.404(a)
§164.404(b)
§164.404(c)(1)
§164.410
§164.314(a)(2)(i)(C)
§164.412
§164.414(b)

IR3
È stato stabilito e implementato un processo formale di gestione degli incidenti che prevede che gli incidenti siano tracciati, documentati e risolti in modo completo, accurato e tempestivo. Il documento relativo a questo processo viene rivisto annualmente dalla direzione e aggiornato secondo le necessità.

§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(i)
§164.308(a)(6)(ii)
§164.530(f)

IR4
Tutti gli incidenti relativi alla sicurezza vengono registrati, tracciati e comunicati ai corrispondenti. Gli incidenti vengono risolti tempestivamente in conformità al processo formale di gestione degli incidenti.

§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(ii)
§164.530(f)

OC1
L'organizzazione mantiene un inventario delle informazioni sulla produzione che include i dettagli sulla proprietà delle risorse, la classificazione dei dati e l'ubicazione. La direzione rivede e aggiorna l'inventario degli asset secondo le necessità.

§164.310(b)
§164.310(c)

OC8
L'organizzazione utilizza Tugboat Logic per documentare i controlli interni e monitorarne costantemente l'efficacia. La valutazione dell'efficacia e dell'efficienza dei controlli interni, dei processi e delle linee guida viene riesaminata almeno una volta all'anno dalla direzione e le eventuali carenze individuate vengono corrette tempestivamente.

§164.316(b)(1)
§164.316(b)(2) (i)

OC9
L'organizzazione ha stabilito canali di comunicazione attraverso i quali i dipendenti possono segnalare in modo sicuro e anonimo questioni relative a frodi, molestie e altri argomenti che riguardano i requisiti di etica e integrità dell'organizzazione.

§164.308(a)(1)(ii)(C)
§164.414(a)
§164.530(e)
§164.530(e)(1)
§164.530(g)

RA1
La direzione mantiene una copertura assicurativa contro i rischi finanziari più importanti per l'intera azienda tramite un fornitore di servizi esterno.

§164.402(1)(i)-(iii)
§164.402(2)(i)-(iv)

RA2
La direzione effettua una valutazione formale dei rischi (compresi i rischi di sicurezza e di frode, nonché i cambiamenti normativi e tecnologici) ogni anno o quando si verificano cambiamenti significativi. I rischi identificati e le strategie per mitigarli sono documentati e implementati dal top management dell'organizzazione.

§164.308(a)(1)(ii)(A)
§164.308(a)(1)(ii)(B)
§164.308(a)(8)

SO11
Un diagramma di rete formale che descrive i meccanismi di protezione dei confini (ad es. firewall, IDS, ecc.) per tutte le connessioni di rete è tenuto aggiornato dalla direzione IT e rivisto annualmente.

§164.312(e)(1)

SO13
Ogni anno viene effettuato un test di penetrazione esterno per identificare i problemi di sicurezza. Tutti i problemi individuati vengono classificati in base al rischio, analizzati e risolti tempestivamente.

§164.308(a)(8)

SO14
La registrazione è abilitata per monitorare le attività amministrative, i tentativi di accesso e le cancellazioni di dati a livello di applicazione e di infrastruttura. I registri vengono archiviati per scopi forensi e utilizzati per la risoluzione dei problemi, se necessario.

§164.308(a)(1)(ii)(D)
§164.308(a)(5)(ii)(C)
§164.312(b)

SO15
I firewall sono configurati nel gateway applicativo e nella rete di produzione per limitare porte, protocolli e servizi non necessari. Le regole del firewall vengono riviste annualmente dalla direzione IT.

§164.312(e)(1)

SO17
L'analisi di vulnerabilità viene effettuata su base trimestrale per identificare le minacce e i punti deboli dei sistemi di produzione. Tutti i problemi individuati vengono analizzati e risolti tempestivamente.

§164.308(a)(8)

SO4
L'organizzazione utilizza il servizio di gestione delle chiavi del suo fornitore di cloud computing per crittografare i dati a riposo e per archiviare e gestire le chiavi di crittografia. L'accesso alle chiavi per la produzione è limitato alle persone autorizzate.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)

SO5
I dati dei clienti vengono crittografati a riposo (memorizzati e protetti) utilizzando tecnologie di crittografia forti.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(2)(ii)
§164.530(c)

SO6
Le tecnologie di crittografia sono utilizzate per proteggere la comunicazione e la trasmissione dei dati nelle reti pubbliche e tra i sistemi.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)

VM1
Gli appaltatori esterni che lavorano per conto dell'organizzazione devono firmare un accordo che descrive il codice di condotta standard e i requisiti di sicurezza e riservatezza.

§164.308(b)(1)
§164.308(b)(2)
§164.308(b)(3)
§164.504(e)
§164.314(a)(1)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(i)(A)
§164.314(a)(2)(i)(B)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(ii)
§164.410

VM2, VM3
Su base annuale, la direzione esegue revisioni dei rapporti SOC dei fornitori/vendor che offrono un servizio basato su abbonamento per esaminare l'adeguatezza dell'ambito, l'impatto delle eccezioni identificati e i controlli complementari applicabili dell'entità utente. È stato implementato un processo di gestione dei fornitori tramite il quale la direzione realizza valutazioni dei rischi dei potenziali nuovi fornitori e valuta annualmente la performance dei fornitori esistenti. Vengono intraprese azioni correttive come richiesto in base ai risultati delle valutazioni.

§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(iv)
§164.504(e)(1)

VM4
È stato introdotto un processo di gestione dei fornitori che comprende anche le procedure di sicurezza da seguire nel caso in cui un fornitore cessi le attività commerciali.

§164.504(e)