SmartMatchApp HIPAA-naleving
SmartMatchApp HIPAA-naleving
Deze tabel toont hoe de SOC2 Type 2 Controls van SmartMatchApp in lijn zijn met de HIPAA (De Amerikaanse Health Insurance Portability and Accountability Act). Daarnaast zijn sommige van de HIPAA Security Rule-regelgevingen niet van toepassing op SmartMatchApp-producten en worden ze niet in deze tabel weergegeven. Deze informatie wordt verstrekt door SmartMatchApp om lezers te helpen de relatie tussen de SOC Type 2-controles van SmartMatchApp en de vereisten van de HIPAA Security Rule te begrijpen en is niet opgenomen of onderworpen aan de mening van de auditor.
AA1, AA2
Unieke gebruikers-ID's en sterke wachtwoorden zijn vereist om toegang te krijgen tot de infrastructuur die de applicatie ondersteunt (d.w.z. Active Directory, server- en databaseaccounts).
§164.308(a)(5)(ii)(D)
§164.312(a)(2)(i)
§164.312(d)
§164.530(c)
AA3
Multi-factor authenticatie (MFA) is verplicht voor gebruikersaccounts met administratieve toegang tot het productieplatform van de organisatie.
§164.312(d)
AC1
Toegang tot systeemcomponenten binnen de scope (applicatie(s) en de onderliggende infrastructuur) vereist een gedocumenteerd toegangsverzoek en goedkeuring van het management voorafgaand aan de toekenning van toegang.
§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.308(a)(3)(ii)(B)
§164.308(a)(3)(ii)(C)
§164.308(a)(4)(i)
§164.308(a)(4)(ii)(A)
§164.308(a)(4)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)
AC2
Het management gebruikt een checklist voor beëindiging van werknemers om ervoor te zorgen dat het beëindigingsproces consistent wordt uitgevoerd en dat de toegang voor beëindigde werknemers tijdig wordt ingetrokken.
§164.308(a)(3)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)-§164.514(d)(2)
§164.530(c)
AC3
Toegang tot generieke beheerder- of bevoorrechte accounts op de databases en servers die de applicatie ondersteunen, is beperkt tot geautoriseerd personeel op basis van een rolgebaseerd toegangsmodel.
§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)
AC4
Het management voert elk kwartaal een gebruikersrechtencontrole uit voor systeemcomponenten binnen de scope om ervoor te zorgen dat toegang op de juiste manier is beperkt. Toegang wordt aangepast of verwijderd op basis van de resultaten van de controle.
§164.308(a)(3)(i)
§164.308(a)(3)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
OC11 De organisatie maakt gebruik van het Tugboat Logic-platform om haar informatiebeveiligingsbeleid en -procedures te beheren. Interne beleids- en proceduredocumenten met betrekking tot beveiliging, vertrouwelijkheid en beschikbaarheid worden onderhouden en beschikbaar gesteld aan werknemers. De beleids- en proceduredocumenten worden jaarlijks of bij significante wijzigingen door het management beoordeeld en goedgekeurd.
§164.308(a)
§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(ii)
§164.310(a)(2)(iii)
§164.530(c)
OC12
Werknemers zijn verplicht om jaarlijks een training over informatiebeveiliging en bewustwording te volgen.
§164.308(a)(5)(i)
§164.308(a)(5)(ii)(A)
§164.308(a)(5)(ii)(B)
§164.308(a)(5)(ii)(C)
§164.308(a)(5)(ii)(D)
CR2
Volledige back-ups worden elke zes uur uitgevoerd met een geautomatiseerd systeem en gerepliceerd naar een externe locatie. Back-ups worden gecontroleerd op fouten met behulp van een geautomatiseerd systeem.
§164.308(a)(7)(ii)(A)
§164.310(d)(2)(iv)
CR6
Continuïteits- en rampenherstelplannen (inclusief herstel van back-ups) zijn ontwikkeld en worden jaarlijks getest. Testresultaten worden beoordeeld en de noodplannen worden dienovereenkomstig bijgewerkt.
§164.308(a)(7)(i)
§164.308(a)(7)(ii)(B)
§164.308(a)(7)(ii)(C)
§164.308(a)(7)(ii)(D)
§164.308(a)(7)(ii)(E)
§164.308(a)(8)
§164.310(a)(2)(i)
DP8
Er is een gegevensintegriteitsbeleid dat richtlijnen biedt met betrekking tot gegevensintegriteit. De organisatie heeft een privacybeleid waarin wordt gespecificeerd dat betrokkenen verantwoordelijk zijn voor het verstrekken van volledige en nauwkeurige persoonlijke informatie aan de organisatie tijdens de verzameling of in geval van wijzigingen.
§164.312(c)(1)
§164.312(c)(2)
DP9
De organisatie heeft een Privacy Officer aangesteld die verantwoordelijk is voor het ontwikkelen, implementeren en onderhouden van een organisatiebreed governance- en privacyprogramma om te zorgen voor naleving van alle toepasselijke wetten en voorschriften met betrekking tot de verzameling, het gebruik, het onderhoud, het delen en de openbaarmaking van persoonlijke informatie.
§164.308(a)(2)
§164.530(a)
DS4
Er zijn formele procedures voor gegevensbewaring en -verwijdering opgesteld om de veilige bewaring en verwijdering van informatie te begeleiden.
§164.316(b)(2) (i)
§164.414(a)
§164.508(b)(6)
§164.508(c)(1-4)
§164.310(d)(2)(i)
§164.310(d)(2)(ii)
§164.520(e)
§164.524(e)
§164.530(j)
IR2
Meldingen over bevestigde datalekken worden binnen een acceptabele tijdspanne verstrekt aan de getroffen betrokkenen, regelgevers en anderen om te voldoen aan de privacyverplichtingen van de organisatie.
§164.404(a)
§164.404(b)
§164.404(c)(1)
§164.410
§164.314(a)(2)(i)(C)
§164.412
§164.414(b)
IR3
Er is een formeel incidentbeheerproces opgezet en geïmplementeerd dat vereist dat incidenten worden gevolgd, gedocumenteerd en opgelost op een volledige, nauwkeurige en tijdige manier. Het procesdocument wordt jaarlijks door het management beoordeeld en indien nodig bijgewerkt.
§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(i)
§164.308(a)(6)(ii)
§164.530(f)
IR4
Alle incidenten met betrekking tot beveiliging worden gelogd, gevolgd en gecommuniceerd aan de betrokken partijen. Incidenten worden tijdig opgelost in overeenstemming met het formele incidentbeheerproces.
§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(ii)
§164.530(f)
OC1
De organisatie onderhoudt een inventaris van productie-informatieactiva, inclusief details over eigendom van activa, gegevensclassificatie en locatie. De inventarislijst van activa wordt door het management beoordeeld en bijgewerkt indien nodig.
§164.310(b)
§164.310(c)
OC8
De organisatie gebruikt Tugboat Logic om hun interne controles te documenteren en de effectiviteit ervan continu te monitoren. Een beoordeling van de effectiviteit en efficiëntie van de interne controles, processen en beleidsregels wordt door het management ten minste jaarlijks beoordeeld en geïdentificeerde tekortkomingen worden tijdig verholpen.
§164.316(b)(1)
§164.316(b)(2) (i)
OC9
De organisatie heeft communicatiekanalen opgezet waarmee werknemers veilig en anoniem problemen kunnen melden met betrekking tot fraude, intimidatie en andere kwesties die van invloed zijn op de ethische en integriteitsvereisten van de organisatie.
§164.308(a)(1)(ii)(C)
§164.414(a)
§164.530(e)
§164.530(e)(1)
§164.530(g)
RA1
Het management onderhoudt een verzekeringsdekking via een externe dienstverlener tegen grote financiële risico's voor het gehele bedrijf.
§164.402(1)(i)-(iii)
§164.402(2)(i)-(iv)
RA2
Het management voert jaarlijks of bij significante wijzigingen een formele risicobeoordeling uit (inclusief risico's met betrekking tot beveiliging, fraude, regelgeving en technologische veranderingen). Geïdentificeerde risico's samen met mitigerende strategieën worden gedocumenteerd en geïmplementeerd door het uitvoerend management van de organisatie.
§164.308(a)(1)(ii)(A)
§164.308(a)(1)(ii)(B)
§164.308(a)(8)
SO11
Er wordt een formeel netwerkdiagram bijgehouden dat grensbeschermingsmechanismen (bijv. firewalls, IDS, enz.) schetst voor alle netwerkverbindingen en jaarlijks door IT-management wordt beoordeeld.
§164.312(e)(1)
SO13
Er wordt jaarlijks een externe penetratietest uitgevoerd om beveiligingsexploits te identificeren. Geïdentificeerde problemen worden geclassificeerd op basis van risico, geanalyseerd en tijdig verholpen.
§164.308(a)(8)
SO14
Logging is ingeschakeld om administratieve activiteiten, inlogpogingen en gegevensverwijderingen op applicatie- en infrastructuurniveau te monitoren. Logs worden bewaard voor forensische doeleinden en indien nodig onderzocht voor probleemoplossing.
§164.308(a)(1)(ii)(D)
§164.308(a)(5)(ii)(C)
§164.312(b)
SO15
Systeemfirewalls zijn geconfigureerd op de applicatiegateway en het productienetwerk om onnodige poorten, protocollen en services te beperken. Firewallregels worden jaarlijks door IT-management beoordeeld.
§164.312(e)(1)
SO17
Er wordt elk kwartaal een kwetsbaarheidsscan uitgevoerd om bedreigingen en kwetsbaarheden voor de productiesystemen te identificeren. Geïdentificeerde problemen worden geanalyseerd en tijdig verholpen.
§164.308(a)(8)
SO4
De organisatie gebruikt de sleutelbeheerservice van haar cloudprovider om gegevens in rust te versleutelen en om versleutelingssleutels op te slaan en te beheren. Toegang tot productie-toegangssleutels is beperkt tot geautoriseerde individuen.
§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)
SO5
Klantgegevens worden in rust (opgeslagen en back-up) versleuteld met sterke versleutelingstechnologieën.
§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(2)(ii)
§164.530(c)
SO6
Versleutelingstechnologieën worden gebruikt om communicatie en gegevensoverdracht over openbare netwerken en tussen systemen te beschermen.
§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)
VM1
Derde partij aannemers die namens de organisatie werken, zijn verplicht een overeenkomst te ondertekenen waarin de standaard gedragscode, beveiligings- en vertrouwelijkheidseisen worden beschreven.
§164.308(b)(1)
§164.308(b)(2)
§164.308(b)(3)
§164.504(e)
§164.314(a)(1)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(i)(A)
§164.314(a)(2)(i)(B)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(ii)
§164.410
VM2, VM3
Op jaarlijkse basis voert het management beoordelingen uit van SOC-rapporten van dienstverleners/leveranciers die op abonnementsbasis diensten leveren om de geschiktheid van de scope, de impact van geïdentificeerde uitzonderingen en de toepasselijke aanvullende gebruikersentiteitscontroles te beoordelen. Er is een leveranciersbeheerproces geïmplementeerd waarbij het management risicoanalyses uitvoert van potentiële nieuwe leveranciers en de prestaties van bestaande leveranciers jaarlijks evalueert. Corrigerende maatregelen worden indien nodig genomen op basis van de resultaten van de beoordelingen.
§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(iv)
§164.504(e)(1)
VM4
Er is een leveranciersbeheerproces geïmplementeerd dat beveiligingsprocedures omvat die moeten worden gevolgd in geval van beëindiging van leveranciers.
§164.504(e)
SmartMatchApp is bekroonde matchmaking- en ledenbeheer software CRM die meer dan 100.000 gebruikers wereldwijd bedient
Middelen
Contacten
Taal
Nederlands
English 
Deutsch 
Français 
Español 
Italiano 
Українська 
Português 
Polski 
日本語
2026 © SmartMatch Systems Inc.
