Adekwatność SmartMatchApp do HIPAA

Ta tabela pokazuje, jak Kontrole SOC2 Typu 2 SmartMatchApp SOC2 Type 2 Controls są zgodne z HIPAA (Ustawą o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych w USA). Dodatkowo, niektóre z przepisów Zasady Bezpieczeństwa HIPAA nie mają zastosowania do produktów SmartMatchApp i nie są przedstawione w tej tabeli. Informacje te są dostarczane przez SmartMatchApp, aby pomóc czytelnikom zrozumieć związek między kontrolami SOC Typu 2 SmartMatchApp a wymaganiami Zasady Bezpieczeństwa HIPAA i nie są uwzględnione ani podlegają opinii audytora.

AA1, AA2
Unikalne identyfikatory użytkowników i silne hasła są wymagane, aby uzyskać dostęp do infrastruktury wspierającej aplikację (tj. Active Directory, konta serwerowe i baz danych).

§164.308(a)(5)(ii)(D)
§164.312(a)(2)(i)
§164.312(d)
§164.530(c)

AA3
Uwierzytelnianie wieloskładnikowe (MFA) jest wymuszane dla kont użytkowników z dostępem administracyjnym do platformy produkcyjnej organizacji.

§164.312(d)

AC1
Dostęp do komponentów systemu objętych zakresem (aplikacja(e) i jej podstawowa infrastruktura) wymaga udokumentowanego wniosku o dostęp i zatwierdzenia przez zarząd przed udzieleniem dostępu.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.308(a)(3)(ii)(B)
§164.308(a)(3)(ii)(C)
§164.308(a)(4)(i)
§164.308(a)(4)(ii)(A)
§164.308(a)(4)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)

AC2
Zarząd wykorzystuje listę kontrolną zakończenia zatrudnienia, aby zapewnić, że proces zakończenia jest konsekwentnie realizowany, a dostęp dla zwolnionych pracowników jest cofany w odpowiednim czasie.

§164.308(a)(3)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)-§164.514(d)(2)
§164.530(c)

AC3
Dostęp do ogólnych kont administratora lub uprzywilejowanych na bazach danych i serwerach wspierających aplikację jest ograniczony do upoważnionego personelu na podstawie schematu dostępu opartego na rolach.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)

AC4
Zarząd przeprowadza kwartalną kontrolę dostępu użytkowników do komponentów systemu objętych zakresem, aby zapewnić, że dostęp jest odpowiednio ograniczony. Dostęp jest modyfikowany lub usuwany w odpowiednim czasie na podstawie wyników kontroli.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)

OC11 Organizacja wykorzystuje platformę Tugboat Logic do zarządzania swoimi politykami i procedurami bezpieczeństwa informacji. Dokumenty dotyczące polityki i procedur wewnętrznych związanych z bezpieczeństwem, poufnością i dostępnością są utrzymywane i udostępniane pracownikom. Dokumenty dotyczące polityki i procedur są przeglądane i zatwierdzane przez zarząd co roku lub podczas istotnych zmian.

§164.308(a)
§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(ii)
§164.310(a)(2)(iii)
§164.530(c)

OC12
Pracownicy są zobowiązani do ukończenia szkolenia z zakresu bezpieczeństwa informacji i świadomości co roku.

§164.308(a)(5)(i)
§164.308(a)(5)(ii)(A)
§164.308(a)(5)(ii)(B)
§164.308(a)(5)(ii)(C)
§164.308(a)(5)(ii)(D)

CR2
Pełne kopie zapasowe są wykonywane co sześć godzin za pomocą zautomatyzowanego systemu i replikowane do lokalizacji zewnętrznej. Kopie zapasowe są monitorowane pod kątem awarii za pomocą zautomatyzowanego systemu.

§164.308(a)(7)(ii)(A)
§164.310(d)(2)(iv)

CR6
Plany ciągłości działania i odzyskiwania po awarii (w tym przywracanie kopii zapasowych) zostały opracowane i testowane co roku. Wyniki testów są przeglądane, a w konsekwencji plany awaryjne są aktualizowane.

§164.308(a)(7)(i)
§164.308(a)(7)(ii)(B)
§164.308(a)(7)(ii)(C)
§164.308(a)(7)(ii)(D)
§164.308(a)(7)(ii)(E)
§164.308(a)(8)
§164.310(a)(2)(i)

DP8
Istnieje polityka integralności danych, która zapewnia wytyczne dotyczące integralności danych. Organizacja posiada politykę prywatności, która określa, że podmioty danych są odpowiedzialne za dostarczanie pełnych i dokładnych informacji osobowych do organizacji podczas zbierania lub w przypadku jakichkolwiek zmian.

§164.312(c)(1)
§164.312(c)(2)

DP9
Organizacja wyznaczyła Inspektora Ochrony Danych, który jest odpowiedzialny za opracowanie, wdrożenie i utrzymanie ogólnokrajowego programu zarządzania i prywatności w celu zapewnienia zgodności ze wszystkimi obowiązującymi przepisami dotyczącymi zbierania, używania, utrzymywania, udostępniania i ujawniania informacji osobowych.

§164.308(a)(2)
§164.530(a)

DS4
Formalne procedury przechowywania i usuwania danych są wdrożone, aby kierować bezpiecznym przechowywaniem i usuwaniem informacji.

§164.316(b)(2) (i)
§164.414(a)
§164.508(b)(6)
§164.508(c)(1-4)
§164.310(d)(2)(i)
§164.310(d)(2)(ii)
§164.520(e)
§164.524(e)
§164.530(j)

IR2
Powiadomienia o potwierdzonych naruszeniach danych są przekazywane dotkniętym podmiotom danych, regulatorom i innym w akceptowalnym czasie, aby spełnić zobowiązania organizacji dotyczące prywatności.

§164.404(a)
§164.404(b)
§164.404(c)(1)
§164.410
§164.314(a)(2)(i)(C)
§164.412
§164.414(b)

IR3
Formalny proces zarządzania incydentami został ustanowiony i wdrożony, który wymaga, aby incydenty były śledzone, dokumentowane i rozwiązywane w sposób kompletny, dokładny i terminowy. Dokument procesu jest przeglądany przez zarząd co roku i aktualizowany w razie potrzeby.

§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(i)
§164.308(a)(6)(ii)
§164.530(f)

IR4
Wszystkie incydenty związane z bezpieczeństwem są rejestrowane, śledzone i komunikowane do dotkniętych stron. Incydenty są rozwiązywane w odpowiednim czasie zgodnie z formalnym procesem zarządzania incydentami.

§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(ii)
§164.530(f)

OC1
Organizacja prowadzi inwentaryzację aktywów informacyjnych produkcji, w tym szczegóły dotyczące własności aktywów, klasyfikacji danych i lokalizacji. Lista inwentaryzacyjna aktywów jest przeglądana i aktualizowana przez zarząd w miarę potrzeb.

§164.310(b)
§164.310(c)

OC8
Organizacja wykorzystuje Tugboat Logic do dokumentowania swoich wewnętrznych kontroli i ciągłego monitorowania ich skuteczności. Ocena skuteczności i efektywności wewnętrznych kontroli, procesów i polityk jest przeglądana przez zarząd co najmniej raz w roku, a zidentyfikowane niedociągnięcia są naprawiane w odpowiednim czasie.

§164.316(b)(1)
§164.316(b)(2) (i)

OC9
Organizacja ustanowiła kanały komunikacyjne, które pozwalają pracownikom na bezpieczne i anonimowe zgłaszanie problemów związanych z oszustwami, molestowaniem i innymi kwestiami wpływającymi na wymagania organizacji dotyczące etyki i integralności.

§164.308(a)(1)(ii)(C)
§164.414(a)
§164.530(e)
§164.530(e)(1)
§164.530(g)

RA1
Zarząd utrzymuje ubezpieczenie za pośrednictwem zewnętrznego dostawcy usług przeciwko głównym ryzykom finansowym dla całego biznesu.

§164.402(1)(i)-(iii)
§164.402(2)(i)-(iv)

RA2
Zarząd przeprowadza formalną ocenę ryzyka (która obejmuje ryzyka związane z bezpieczeństwem, oszustwami, zmianami regulacyjnymi i technologicznymi) co roku lub w przypadku istotnych zmian. Zidentyfikowane ryzyka wraz z strategiami łagodzenia są dokumentowane i wdrażane przez kierownictwo wykonawcze organizacji.

§164.308(a)(1)(ii)(A)
§164.308(a)(1)(ii)(B)
§164.308(a)(8)

SO11
Formalny diagram sieciowy przedstawiający mechanizmy ochrony granic (np. zapory ogniowe, IDS itp.) jest utrzymywany dla wszystkich połączeń sieciowych i przeglądany co roku przez zarząd IT.

§164.312(e)(1)

SO13
Zewnętrzny test penetracyjny jest przeprowadzany co roku w celu identyfikacji luk w zabezpieczeniach. Zidentyfikowane problemy są klasyfikowane według ryzyka, analizowane i naprawiane w odpowiednim czasie.

§164.308(a)(8)

SO14
Logowanie jest włączone do monitorowania działań administracyjnych, prób logowania i usuwania danych na poziomie aplikacji i infrastruktury. Logi są przechowywane w celach kryminalistycznych i analizowane w razie potrzeby w celu rozwiązania problemów.

§164.308(a)(1)(ii)(D)
§164.308(a)(5)(ii)(C)
§164.312(b)

SO15
Zapory ogniowe systemu są skonfigurowane na bramie aplikacji i sieci produkcyjnej, aby ograniczyć niepotrzebne porty, protokoły i usługi. Zasady zapory są przeglądane co roku przez zarząd IT.

§164.312(e)(1)

SO17
Skanowanie podatności jest przeprowadzane co kwartał w celu identyfikacji zagrożeń i podatności systemów produkcyjnych. Zidentyfikowane problemy są analizowane i naprawiane w odpowiednim czasie.

§164.308(a)(8)

SO4
Organizacja korzysta z usługi zarządzania kluczami dostawcy chmury do szyfrowania danych w stanie spoczynku oraz do przechowywania i zarządzania kluczami szyfrowania. Dostęp do kluczy dostępu produkcji jest ograniczony do upoważnionych osób.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)

SO5
Dane klientów są szyfrowane w stanie spoczynku (przechowywane i kopie zapasowe) za pomocą silnych technologii szyfrowania.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(2)(ii)
§164.530(c)

SO6
Technologie szyfrowania są używane do ochrony komunikacji i transmisji danych przez sieci publiczne i między systemami.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)

VM1
Zewnętrzni wykonawcy pracujący w imieniu organizacji są zobowiązani do podpisania umowy określającej standardowy kodeks postępowania, wymagania dotyczące bezpieczeństwa i poufności.

§164.308(b)(1)
§164.308(b)(2)
§164.308(b)(3)
§164.504(e)
§164.314(a)(1)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(i)(A)
§164.314(a)(2)(i)(B)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(ii)
§164.410

VM2, VM3
Co roku zarząd przeprowadza przeglądy raportów SOC od dostawców usług/kontrahentów, którzy korzystają z usług subskrypcyjnych, aby ocenić odpowiedniość zakresu, wpływ zidentyfikowanych wyjątków i odpowiednie uzupełniające kontrole użytkowników. Wdrożono proces zarządzania dostawcami, w ramach którego zarząd przeprowadza oceny ryzyka potencjalnych nowych dostawców i ocenia wydajność istniejących dostawców co roku. Działania naprawcze są podejmowane w razie potrzeby na podstawie wyników ocen.

§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(iv)
§164.504(e)(1)

VM4
Wdrożono proces zarządzania dostawcami, który obejmuje procedury bezpieczeństwa do przestrzegania w przypadku zakończenia umów z dostawcami.

§164.504(e)