Conformidade da SmartMatchApp com a HIPAA

Esta tabela mostra como a SmartMatchApp Controlos SOC2 de tipo 2 estão em conformidade com a lei HIPAA (Health Insurance Portability and Accountability Act). Além disso, alguns padrões de segurança HIPAA não se aplicam aos produtos SmartMatchApp e não estão representados nesta tabela. Esta informação é fornecida pela SmartMatchApp para ajudar os leitores a compreender a relação entre os controlos SOC Tipo 2 da SmartMatchApp e os requisitos da Regra de Segurança HIPAA e não está incluída ou sujeita à opinião do auditor.

AA1, AA2
São necessários identificadores únicos e palavras-passe fortes para aceder à infraestrutura que suporta a aplicação (por exemplo, contas do diretório ativo, do servidor e da base de dados).

§164.308(a)(5)(ii)(D)
§164.312(a)(2)(i)
§164.312(d)
§164.530(c)

AA3
A autenticação multifactor (MFA) aplica-se às contas de utilizador com acesso administrativo à plataforma de produção da organização.

§164.312(d)

AC1
O acesso aos componentes do sistema em questão (aplicações e infra-estruturas subjacentes) requer um pedido de acesso documentado e a aprovação da direção antes de ser concedido.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.308(a)(3)(ii)(B)
§164.308(a)(3)(ii)(C)
§164.308(a)(4)(i)
§164.308(a)(4)(ii)(A)
§164.308(a)(4)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)

AC2
A administração utiliza uma lista de controlo para garantir que o processo de despedimento é efectuado de forma coerente e que o acesso dos funcionários despedidos é revogado em tempo útil.

§164.308(a)(3)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)-§164.514(d)(2)
§164.530(c)

AC3
O acesso de um administrador geral ou de contas privilegiadas às bases de dados e servidores que suportam a aplicação é restringido ao pessoal autorizado com base num esquema de acesso baseado em funções.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)

AC4
A administração efectua uma revisão trimestral do acesso dos utilizadores aos componentes do sistema para garantir que o acesso é adequadamente restringido. O acesso é imediatamente alterado ou cancelado com base nos resultados da análise.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)

OC11 A organização utiliza a plataforma Tugboat Logic para gerir as políticas e os procedimentos de segurança da informação. Os documentos de políticas e procedimentos internos sobre segurança, confidencialidade e disponibilidade são actualizados e disponibilizados aos funcionários. Os documentos de políticas e procedimentos são revistos e aprovados pela direção anualmente ou quando ocorrem alterações significativas.

§164.308(a)
§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(ii)
§164.310(a)(2)(iii)
§164.530(c)

OC12
Os funcionários devem participar numa formação anual de sensibilização para a segurança da informação.

§164.308(a)(5)(i)
§164.308(a)(5)(ii)(A)
§164.308(a)(5)(ii)(B)
§164.308(a)(5)(ii)(C)
§164.308(a)(5)(ii)(D)

CR2
As cópias de segurança completas dos dados são efectuadas de seis em seis horas por um sistema automático e replicadas para um local externo. As cópias de segurança são monitorizadas por um sistema automático para detetar falhas.

§164.308(a)(7)(ii)(A)
§164.310(d)(2)(iv)

CR6
Os planos de continuidade das actividades e de recuperação de desastres (incluindo a recuperação de cópias de segurança) são desenvolvidos e testados anualmente. Os resultados dos testes são revistos e os planos de catástrofe são actualizados em conformidade.

§164.308(a)(7)(i)
§164.308(a)(7)(ii)(B)
§164.308(a)(7)(ii)(C)
§164.308(a)(7)(ii)(D)
§164.308(a)(7)(ii)(E)
§164.308(a)(8)
§164.310(a)(2)(i)

DP8
Existe uma política de integridade dos dados que fornece orientações a este respeito. A organização tem uma política de proteção de dados que estabelece que os titulares dos dados são obrigados a fornecer à organização informações pessoais completas e exactas quando estas são recolhidas ou em caso de alterações.

§164.312(c)(1)
§164.312(c)(2)

DP9
A organização nomeou um responsável pela proteção de dados, que é responsável pelo desenvolvimento, implementação e manutenção de um programa de privacidade e governação em toda a organização para garantir o cumprimento de todas as leis e regulamentos aplicáveis à recolha, utilização, armazenamento, transferência e divulgação de informações pessoais.

§164.308(a)(2)
§164.530(a)

DS4
Estão em vigor procedimentos formais de armazenamento e eliminação de dados para orientar o armazenamento e a eliminação seguros da informação.

§164.316(b)(2) (i)
§164.414(a)
§164.508(b)(6)
§164.508(c)(1-4)
§164.310(d)(2)(i)
§164.310(d)(2)(ii)
§164.520(e)
§164.524(e)
§164.530(j)

IR2
As notificações de violação de dados confirmadas são comunicadas aos titulares dos dados, aos reguladores e a outras partes interessadas dentro de um prazo aceitável para cumprir as obrigações de proteção de dados da organização.

§164.404(a)
§164.404(b)
§164.404(c)(1)
§164.410
§164.314(a)(2)(i)(C)
§164.412
§164.414(b)

IR3
Foi estabelecido e implementado um processo formal de gestão de incidentes que exige que estes sejam acompanhados, documentados e resolvidos de forma completa, exacta e atempada. O documento relativo a este processo é revisto anualmente pela direção e atualizado conforme necessário.

§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(i)
§164.308(a)(6)(ii)
§164.530(f)

IR4
Todos os incidentes de segurança são registados, acompanhados e comunicados aos correspondentes. Os incidentes são resolvidos prontamente de acordo com o processo formal de gestão de incidentes.

§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(ii)
§164.530(f)

OC1
A organização mantém um inventário da informação de produção que inclui pormenores sobre a propriedade dos activos, a classificação dos dados e a sua localização. A gestão revê e actualiza o inventário de activos conforme necessário.

§164.310(b)
§164.310(c)

OC8
A organização utiliza o sistema Tugboat Logic para documentar os controlos internos e monitorizar continuamente a sua eficácia. A avaliação da eficácia e da eficiência dos controlos internos, dos processos e das orientações é revista pelo menos uma vez por ano pela direção e quaisquer deficiências identificadas são prontamente corrigidas.

§164.316(b)(1)
§164.316(b)(2) (i)

OC9
A organização estabeleceu canais de comunicação através dos quais os trabalhadores podem comunicar, de forma segura e anónima, questões relacionadas com fraude, assédio e outros assuntos relativos aos requisitos de ética e integridade da organização.

§164.308(a)(1)(ii)(C)
§164.414(a)
§164.530(e)
§164.530(e)(1)
§164.530(g)

RA1
A Direção mantém uma cobertura de seguro contra os riscos financeiros mais importantes para toda a empresa através de um prestador de serviços externo.

§164.402(1)(i)-(iii)
§164.402(2)(i)-(iv)

RA2
A direção efectua uma avaliação formal dos riscos (incluindo os riscos de segurança e de fraude, bem como as alterações regulamentares e tecnológicas) anualmente ou quando ocorrem alterações significativas. Os riscos identificados e as estratégias para os mitigar são documentados e implementados pela gestão de topo da organização.

§164.308(a)(1)(ii)(A)
§164.308(a)(1)(ii)(B)
§164.308(a)(8)

SO11
Um diagrama de rede formal que descreve os mecanismos de proteção dos limites (por exemplo, firewalls, IDSs, etc.) para todas as ligações de rede é mantido atualizado pela gestão de TI e revisto anualmente.

§164.312(e)(1)

SO13
Todos os anos, é efectuado um teste de penetração externo para identificar problemas de segurança. Todos os problemas identificados são classificados de acordo com o risco, analisados e resolvidos de imediato.

§164.308(a)(8)

SO14
O registo é ativado para monitorizar as actividades administrativas, as tentativas de acesso e as eliminações de dados ao nível da aplicação e da infraestrutura. Os registos são arquivados para fins forenses e utilizados para a resolução de problemas, se necessário.

§164.308(a)(1)(ii)(D)
§164.308(a)(5)(ii)(C)
§164.312(b)

SO15
As firewalls são configuradas na gateway de aplicação e na rede de produção para restringir portas, protocolos e serviços desnecessários. As regras da firewall são revistas anualmente pela direção de TI.

§164.312(e)(1)

SO17
A análise de vulnerabilidade é efectuada trimestralmente para identificar ameaças e pontos fracos nos sistemas de produção. Todos os problemas identificados são analisados e resolvidos prontamente.

§164.308(a)(8)

SO4
A organização utiliza o serviço de gestão de chaves do seu fornecedor de computação em nuvem para encriptar dados em repouso e para armazenar e gerir chaves de encriptação. O acesso às chaves para fins de produção é limitado a pessoas autorizadas.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)

SO5
Os dados dos clientes são encriptados em repouso (armazenados e protegidos) utilizando tecnologias de encriptação fortes.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(2)(ii)
§164.530(c)

SO6
As tecnologias de encriptação são utilizadas para proteger a comunicação e a transmissão de dados em redes públicas e entre sistemas.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)

VM1
Os contratantes externos que trabalham em nome da organização devem assinar um acordo que descreva o código de conduta normalizado e os requisitos de segurança e confidencialidade.

§164.308(b)(1)
§164.308(b)(2)
§164.308(b)(3)
§164.504(e)
§164.314(a)(1)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(i)(A)
§164.314(a)(2)(i)(B)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(ii)
§164.410

VM2, VM3
Anualmente, a administração realiza revisões dos relatórios SOC de provedores de serviços/fornecedores que estão em um serviço baseado em assinatura para verificar a adequação do escopo, o impacto das exceções identificadas e os Controles de entidade usuária complementar aplicáveis. Um processo de gestão de fornecedores foi implementado pelo qual a administração realiza avaliações de risco de potenciais novos fornecedores e avalia o desempenho dos fornecedores existentes anualmente. Ações corretivas são tomadas conforme necessário com base nos resultados das avaliações.

§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(iv)
§164.504(e)(1)

VM4
Foi introduzido um processo de gestão de fornecedores que inclui igualmente procedimentos de segurança a seguir no caso de um fornecedor cessar a sua atividade.

§164.504(e)