SmartMatchApp HIPAA 適合性

この表は、SmartMatchAppのSOC2 Type 2 ControlsがHIPAA（米国医療保険の携行性と責任に関する法律）とどのように整合しているかを示しています。さらに、HIPAAのセキュリティルールの一部の規制はSmartMatchApp製品には適用されず、この表には示されていません。この情報は、SmartMatchAppのSOC Type 2コントロールとHIPAAセキュリティルールの要件との関係を理解するために読者を支援するためにSmartMatchAppによって提供されており、監査人の意見には含まれていません。

AA1, AA2
アプリケーションをサポートするインフラストラクチャ（例：Active Directory、サーバーおよびデータベースアカウント）にアクセスするには、ユニークなユーザーIDと強力なパスワードが必要です。

§164.308(a)(5)(ii)(D)
§164.312(a)(2)(i)
§164.312(d)
§164.530(c)

AA3
組織のプロダクションプラットフォームへの管理アクセスを持つユーザーアカウントには、多要素認証（MFA）が強制されています。

§164.312(d)

AC1
対象システムコンポーネント（アプリケーションおよびその基盤インフラストラクチャ）へのアクセスには、アクセスプロビジョニングの前に管理からの文書化されたアクセス要求と承認が必要です。

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.308(a)(3)(ii)(B)
§164.308(a)(3)(ii)(C)
§164.308(a)(4)(i)
§164.308(a)(4)(ii)(A)
§164.308(a)(4)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)

AC2
管理は、従業員の解雇プロセスが一貫して実行され、解雇された従業員のアクセスがタイムリーに取り消されることを保証するために、従業員解雇チェックリストを利用します。

§164.308(a)(3)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)-§164.514(d)(2)
§164.530(c)

AC3
アプリケーションをサポートするデータベースおよびサーバー上の一般管理者または特権アカウントへのアクセスは、役割ベースのアクセススキームに基づいて認可された人員に制限されています。

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)

AC4
管理は、対象システムコンポーネントの四半期ごとのユーザーアクセスレビューを実施し、アクセスが適切に制限されていることを確認します。レビュー結果に基づいて、アクセスはタイムリーに変更または削除されます。

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)

OC11 組織は、情報セキュリティポリシーと手順を管理するためにTugboat Logicプラットフォームを利用しています。セキュリティ、機密性、および可用性に関連する内部ポリシーおよび手順文書は、従業員に提供され、管理によって毎年または重要な変更時にレビューおよび承認されます。

§164.308(a)
§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(ii)
§164.310(a)(2)(iii)
§164.530(c)

OC12
従業員は、毎年情報セキュリティおよび意識向上トレーニングを完了する必要があります。

§164.308(a)(5)(i)
§164.308(a)(5)(ii)(A)
§164.308(a)(5)(ii)(B)
§164.308(a)(5)(ii)(C)
§164.308(a)(5)(ii)(D)

CR2
フルバックアップは6時間ごとに自動システムを使用して実行され、オフサイトの場所に複製されます。バックアップは自動システムを使用して失敗を監視されます。

§164.308(a)(7)(ii)(A)
§164.310(d)(2)(iv)

CR6
事業継続および災害復旧計画（バックアップの復元を含む）が開発され、毎年テストされています。テスト結果はレビューされ、その結果に基づいてコンティンジェンシープランが更新されます。

§164.308(a)(7)(i)
§164.308(a)(7)(ii)(B)
§164.308(a)(7)(ii)(C)
§164.308(a)(7)(ii)(D)
§164.308(a)(7)(ii)(E)
§164.308(a)(8)
§164.310(a)(2)(i)

DP8
データの整合性に関するガイドラインを提供するデータ整合性ポリシーが存在します。組織は、データ主体が収集時または変更があった場合に完全かつ正確な個人情報を提供する責任を負うことを規定するプライバシーポリシーを持っています。

§164.312(c)(1)
§164.312(c)(2)

DP9
組織は、個人情報の収集、使用、維持、共有、および開示に関するすべての適用法および規制の遵守を確保するために、組織全体のガバナンスおよびプライバシープログラムを開発、実施、および維持する責任を負うプライバシーオフィサーを任命しています。

§164.308(a)(2)
§164.530(a)

DS4
情報の安全な保持および廃棄を指導する正式なデータ保持および廃棄手順が確立されています。

§164.316(b)(2) (i)
§164.414(a)
§164.508(b)(6)
§164.508(c)(1-4)
§164.310(d)(2)(i)
§164.310(d)(2)(ii)
§164.520(e)
§164.524(e)
§164.530(j)

IR2
確認されたデータ侵害に関する通知は、影響を受けたデータ主体、規制当局、およびその他の関係者に、組織のプライバシーコミットメントを満たすために許容される時間枠内で提供されます。

§164.404(a)
§164.404(b)
§164.404(c)(1)
§164.410
§164.314(a)(2)(i)(C)
§164.412
§164.414(b)

IR3
事件を完全かつ正確でタイムリーに追跡、文書化、および解決することを要求する正式なインシデント管理プロセスが確立され、実施されています。プロセス文書は、管理によって毎年レビューされ、必要に応じて更新されます。

§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(i)
§164.308(a)(6)(ii)
§164.530(f)

IR4
セキュリティに関連するすべてのインシデントは、ログに記録され、追跡され、影響を受けた関係者に通知されます。インシデントは、正式なインシデント管理プロセスに従ってタイムリーに解決されます。

§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(ii)
§164.530(f)

OC1
組織は、資産の所有権、データ分類、および場所に関する詳細を含む生産情報資産のインベントリを維持しています。資産インベントリリストは、必要に応じて管理によってレビューおよび更新されます。

§164.310(b)
§164.310(c)

OC8
組織は、内部統制を文書化し、その有効性を継続的に監視するためにTugboat Logicを使用しています。内部統制、プロセス、およびポリシーの有効性と効率性に関する評価は、少なくとも年に一度管理によってレビューされ、特定された欠陥はタイムリーに是正されます。

§164.316(b)(1)
§164.316(b)(2) (i)

OC9
組織は、従業員が詐欺、ハラスメント、および組織の倫理および整合性要件に影響を与えるその他の問題に関連する問題を安全かつ匿名で報告できる通信チャネルを確立しています。

§164.308(a)(1)(ii)(C)
§164.414(a)
§164.530(e)
§164.530(e)(1)
§164.530(g)

RA1
管理は、全体的なビジネスに対する主要な財務リスクに対して外部サービスプロバイダーを通じて保険を維持しています。

§164.402(1)(i)-(iii)
§164.402(2)(i)-(iv)

RA2
管理は、毎年または重要な変更があった場合に、セキュリティ、詐欺、規制、および技術の変更に関連するリスクを含む正式なリスク評価を実施します。特定されたリスクと緩和戦略は、組織の経営陣によって文書化され、実施されます。

§164.308(a)(1)(ii)(A)
§164.308(a)(1)(ii)(B)
§164.308(a)(8)

SO11
境界保護メカニズム（例：ファイアウォール、IDSなど）を示す正式なネットワーク図がすべてのネットワーク接続に対して維持され、IT管理によって毎年レビューされます。

§164.312(e)(1)

SO13
セキュリティの脆弱性を特定するために、毎年外部のペネトレーションテストが実施されます。特定された問題はリスクに応じて分類され、分析され、タイムリーに是正されます。

§164.308(a)(8)

SO14
管理活動、ログイン試行、およびデータ削除を監視するためにログが有効にされています。ログは法医学目的で保持され、問題解決のために必要に応じて調査されます。

§164.308(a)(1)(ii)(D)
§164.308(a)(5)(ii)(C)
§164.312(b)

SO15
システムファイアウォールは、アプリケーションゲートウェイおよびプロダクションネットワーク上で構成され、不要なポート、プロトコル、およびサービスを制限します。ファイアウォールルールは、IT管理によって毎年レビューされます。

§164.312(e)(1)

SO17
プロダクションシステムに対する脅威と脆弱性を特定するために、四半期ごとに脆弱性スキャンが実施されます。特定された問題は分析され、タイムリーに是正されます。

§164.308(a)(8)

SO4
組織は、クラウドプロバイダーのキー管理サービスを使用してデータを静止状態で暗号化し、暗号化キーを保存および管理します。プロダクションアクセスキーへのアクセスは、認可された個人に制限されています。

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)

SO5
顧客データは、強力な暗号化技術を使用して静止状態（保存およびバックアップ）で暗号化されます。

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(2)(ii)
§164.530(c)

SO6
暗号化技術は、公共ネットワークおよびシステム間でのデータの通信および送信を保護するために使用されます。

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)

VM1
組織の代理として働く第三者契約者は、標準的な行動規範、セキュリティ、および機密性要件を概説する契約に署名する必要があります。

§164.308(b)(1)
§164.308(b)(2)
§164.308(b)(3)
§164.504(e)
§164.314(a)(1)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(i)(A)
§164.314(a)(2)(i)(B)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(ii)
§164.410

VM2, VM3
管理は、サブスクリプションベースのサービスを利用しているサービスプロバイダー/ベンダーのSOCレポートを毎年レビューし、スコープの適切性、特定された例外の影響、および適用可能な補完的ユーザーエンティティコントロールを確認します。ベンダー管理プロセスが実施されており、管理は潜在的な新しいベンダーのリスク評価を行い、既存のベンダーのパフォーマンスを毎年評価します。評価結果に基づいて必要な是正措置が取られます。

§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(iv)
§164.504(e)(1)

VM4
ベンダーの解雇時に従うべきセキュリティ手順を含むベンダー管理プロセスが実施されています。

§164.504(e)