Adequação do SmartMatchApp à HIPAA

Esta tabela demonstra como os Controles SOC2 Tipo 2 da SmartMatchApp se alinham com a HIPAA (Lei de Portabilidade e Responsabilidade de Seguro de Saúde dos EUA). Além disso, algumas das regulamentações da Regra de Segurança da HIPAA não se aplicam aos produtos da SmartMatchApp e não estão representadas nesta tabela. Esta informação é fornecida pela SmartMatchApp para ajudar os leitores a entender a relação entre os controles SOC Tipo 2 da SmartMatchApp e os requisitos da Regra de Segurança da HIPAA e não está incluída ou sujeita à opinião do auditor.

AA1, AA2
IDs de usuário únicos e senhas fortes são necessários para obter acesso à infraestrutura que suporta a aplicação (ou seja, Active Directory, contas de servidor e banco de dados).

§164.308(a)(5)(ii)(D)
§164.312(a)(2)(i)
§164.312(d)
§164.530(c)

AA3
A autenticação multifator (MFA) é aplicada para contas de usuário com acesso administrativo à plataforma de produção da organização.

§164.312(d)

AC1
O acesso aos componentes do sistema em escopo (aplicação(s) e sua infraestrutura subjacente) requer uma solicitação de acesso documentada e aprovação da gestão antes da provisão de acesso.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.308(a)(3)(ii)(B)
§164.308(a)(3)(ii)(C)
§164.308(a)(4)(i)
§164.308(a)(4)(ii)(A)
§164.308(a)(4)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)

AC2
A gestão utiliza uma lista de verificação de desligamento de funcionários para garantir que o processo de desligamento seja executado de forma consistente e o acesso seja revogado para funcionários desligados de maneira oportuna.

§164.308(a)(3)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)-§164.514(d)(2)
§164.530(c)

AC3
O acesso a contas de administrador genéricas ou privilegiadas nos bancos de dados e servidores que suportam a aplicação é restrito a pessoal autorizado com base em um esquema de acesso baseado em funções.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)

AC4
A gestão realiza uma revisão trimestral de acesso de usuários para componentes do sistema em escopo para garantir que o acesso seja restrito de forma apropriada. O acesso é modificado ou removido de forma oportuna com base nos resultados da revisão.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)

OC11 A organização utiliza a plataforma Tugboat Logic para gerenciar suas políticas e procedimentos de Segurança da Informação. Documentos internos de políticas e procedimentos relacionados à segurança, confidencialidade e disponibilidade são mantidos e disponibilizados para os funcionários. As políticas e documentos de procedimentos são revisados e aprovados pela gestão anualmente ou durante mudanças significativas.

§164.308(a)
§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(ii)
§164.310(a)(2)(iii)
§164.530(c)

OC12
Os funcionários são obrigados a completar um treinamento de segurança da informação e conscientização anualmente.

§164.308(a)(5)(i)
§164.308(a)(5)(ii)(A)
§164.308(a)(5)(ii)(B)
§164.308(a)(5)(ii)(C)
§164.308(a)(5)(ii)(D)

CR2
Backups completos são realizados a cada seis horas usando um sistema automatizado e replicados para um local externo. Os backups são monitorados quanto a falhas usando um sistema automatizado.

§164.308(a)(7)(ii)(A)
§164.310(d)(2)(iv)

CR6
Planos de Continuidade de Negócios e recuperação de desastres (incluindo restauração de backups) foram desenvolvidos e testados anualmente. Os resultados dos testes são revisados e, consequentemente, os planos de contingência são atualizados.

§164.308(a)(7)(i)
§164.308(a)(7)(ii)(B)
§164.308(a)(7)(ii)(C)
§164.308(a)(7)(ii)(D)
§164.308(a)(7)(ii)(E)
§164.308(a)(8)
§164.310(a)(2)(i)

DP8
Existe uma política de integridade de dados que fornece diretrizes com respeito à integridade dos dados. A organização possui uma política de privacidade que especifica que os titulares dos dados são responsáveis por fornecer informações pessoais completas e precisas à organização durante a coleta ou em caso de quaisquer alterações.

§164.312(c)(1)
§164.312(c)(2)

DP9
A organização nomeou um Oficial de Privacidade que é responsável por desenvolver, implementar e manter um programa de governança e privacidade em toda a organização para garantir a conformidade com todas as leis e regulamentos aplicáveis sobre a coleta, uso, manutenção, compartilhamento e divulgação de informações pessoais.

§164.308(a)(2)
§164.530(a)

DS4
Procedimentos formais de retenção e descarte de dados estão em vigor para orientar a retenção segura e o descarte de informações.

§164.316(b)(2) (i)
§164.414(a)
§164.508(b)(6)
§164.508(c)(1-4)
§164.310(d)(2)(i)
§164.310(d)(2)(ii)
§164.520(e)
§164.524(e)
§164.530(j)

IR2
Notificações sobre violações de dados confirmadas são fornecidas aos titulares dos dados afetados, reguladores e outros dentro de um prazo aceitável para atender aos compromissos de privacidade da organização.

§164.404(a)
§164.404(b)
§164.404(c)(1)
§164.410
§164.314(a)(2)(i)(C)
§164.412
§164.414(b)

IR3
Um processo formal de gerenciamento de incidentes foi estabelecido e implementado, exigindo que os incidentes sejam rastreados, documentados e resolvidos de forma completa, precisa e oportuna. O documento do processo é revisado pela gestão anualmente e atualizado conforme necessário.

§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(i)
§164.308(a)(6)(ii)
§164.530(f)

IR4
Todos os incidentes relacionados à segurança são registrados, rastreados e comunicados às partes afetadas. Os incidentes são resolvidos de forma oportuna de acordo com o processo formal de gerenciamento de incidentes.

§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(ii)
§164.530(f)

OC1
A organização mantém um inventário de ativos de informação de produção, incluindo detalhes sobre a propriedade dos ativos, classificação de dados e localização. A lista de inventário de ativos é revisada e atualizada pela gestão conforme necessário.

§164.310(b)
§164.310(c)

OC8
A organização usa o Tugboat Logic para documentar seus controles internos e monitorar continuamente sua eficácia. Uma avaliação sobre a eficácia e eficiência dos controles internos, processos e políticas é revisada pela gestão pelo menos anualmente e as deficiências identificadas são corrigidas de forma oportuna.

§164.316(b)(1)
§164.316(b)(2) (i)

OC9
A organização estabeleceu canais de comunicação que permitem que os funcionários relatem de forma segura e anônima questões relacionadas a fraude, assédio e outros problemas que impactam os requisitos éticos e de integridade da organização.

§164.308(a)(1)(ii)(C)
§164.414(a)
§164.530(e)
§164.530(e)(1)
§164.530(g)

RA1
A gestão mantém cobertura de seguro através de um fornecedor de serviços externo contra riscos financeiros significativos para o negócio como um todo.

§164.402(1)(i)-(iii)
§164.402(2)(i)-(iv)

RA2
A gestão realiza uma avaliação formal de riscos (que inclui riscos relacionados à segurança, fraude, mudanças regulatórias e tecnológicas) anualmente ou no caso de mudanças significativas. Os riscos identificados juntamente com as estratégias de mitigação são documentados e implementados pela gestão executiva da organização.

§164.308(a)(1)(ii)(A)
§164.308(a)(1)(ii)(B)
§164.308(a)(8)

SO11
Um diagrama de rede formal delineando mecanismos de proteção de fronteira (por exemplo, firewalls, IDS, etc.) é mantido para todas as conexões de rede e revisado anualmente pela gestão de TI.

§164.312(e)(1)

SO13
Um teste de penetração externo é realizado anualmente para identificar explorações de segurança. Questões identificadas são classificadas de acordo com o risco, analisadas e corrigidas de forma oportuna.

§164.308(a)(8)

SO14
O registro é habilitado para monitorar atividades administrativas, tentativas de login e exclusões de dados no nível da aplicação e infraestrutura. Os registros são retidos para fins forenses e interrogados conforme necessário para a resolução de problemas.

§164.308(a)(1)(ii)(D)
§164.308(a)(5)(ii)(C)
§164.312(b)

SO15
Firewalls de sistema são configurados no gateway de aplicação e na rede de produção para limitar portas, protocolos e serviços desnecessários. As regras de firewall são revisadas anualmente pela gestão de TI.

§164.312(e)(1)

SO17
Uma varredura de vulnerabilidade é realizada trimestralmente para identificar ameaças e vulnerabilidades nos sistemas de produção. Questões identificadas são analisadas e corrigidas de forma oportuna.

§164.308(a)(8)

SO4
A organização usa o serviço de gerenciamento de chaves do provedor de nuvem para criptografar dados em repouso e para armazenar e gerenciar chaves de criptografia. O acesso às chaves de acesso de produção é restrito a indivíduos autorizados.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)

SO5
Os dados dos clientes são criptografados em repouso (armazenados e em backup) usando tecnologias de criptografia fortes.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(2)(ii)
§164.530(c)

SO6
Tecnologias de criptografia são usadas para proteger a comunicação e transmissão de dados em redes públicas e entre sistemas.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)

VM1
Contratados de terceiros que trabalham em nome da organização são obrigados a assinar um acordo que descreve o código de conduta padrão, requisitos de segurança e confidencialidade.

§164.308(b)(1)
§164.308(b)(2)
§164.308(b)(3)
§164.504(e)
§164.314(a)(1)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(i)(A)
§164.314(a)(2)(i)(B)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(ii)
§164.410

VM2, VM3
Anualmente, a gestão realiza revisões dos relatórios SOC de fornecedores/prestadores de serviços que estão em um serviço baseado em assinatura para revisar a adequação do escopo, impacto das exceções identificadas e controles complementares de entidade de usuário aplicáveis. Um processo de gerenciamento de fornecedores foi implementado, pelo qual a gestão realiza avaliações de risco de novos fornecedores potenciais e avalia o desempenho de fornecedores existentes anualmente. Ações corretivas são tomadas conforme necessário com base nos resultados das avaliações.

§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(iv)
§164.504(e)(1)

VM4
Um processo de gerenciamento de fornecedores foi implementado que inclui procedimentos de segurança a serem seguidos em caso de rescisões de fornecedores.

§164.504(e)