Відповідність SmartMatchApp стандартам HIPAA

Ця таблиця демонструє, як контролі SOC2 Type 2 від SmartMatchApp узгоджуються з HIPAA (Закон США про перенесення та підзвітність медичного страхування). Крім того, деякі з правил безпеки HIPAA не застосовуються до продуктів SmartMatchApp і не представлені в цій таблиці. Ця інформація надається SmartMatchApp, щоб допомогти читачам зрозуміти взаємозв'язок між контролями SOC Type 2 від SmartMatchApp та вимогами правил безпеки HIPAA і не включена або підлягає думці аудитора.

AA1, AA2
Унікальні ідентифікатори користувачів та надійні паролі є обов'язковими для отримання доступу до інфраструктури, що підтримує додаток (тобто Active Directory, облікові записи серверів і баз даних).

§164.308(a)(5)(ii)(D)
§164.312(a)(2)(i)
§164.312(d)
§164.530(c)

AA3
Багатофакторна аутентифікація (MFA) застосовується для облікових записів користувачів з адміністративним доступом до виробничої платформи організації.

§164.312(d)

AC1
Доступ до компонентів системи в межах (додаток(и) та його базова інфраструктура) вимагає документованого запиту на доступ і затвердження від керівництва перед наданням доступу.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.308(a)(3)(ii)(B)
§164.308(a)(3)(ii)(C)
§164.308(a)(4)(i)
§164.308(a)(4)(ii)(A)
§164.308(a)(4)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)

AC2
Керівництво використовує контрольний список для звільнення працівників, щоб забезпечити, що процес звільнення виконується послідовно, а доступ для звільнених працівників скасовується вчасно.

§164.308(a)(3)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)-§164.514(d)(2)
§164.530(c)

AC3
Доступ до загальних адміністраторських або привілейованих облікових записів на базах даних і серверах, що підтримують додаток, обмежений для уповноваженого персоналу на основі схеми доступу на основі ролей.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)

AC4
Керівництво проводить щоквартальний перегляд доступу користувачів до компонентів системи в межах, щоб забезпечити, що доступ обмежений належним чином. Доступ змінюється або видаляється вчасно на основі результатів перегляду.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)

OC11 Організація використовує платформу Tugboat Logic для управління своїми політиками та процедурами інформаційної безпеки. Внутрішні документи політик і процедур, що стосуються безпеки, конфіденційності та доступності, підтримуються і доступні для працівників. Політики та документи процедур переглядаються і затверджуються керівництвом щорічно або під час значних змін.

§164.308(a)
§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(ii)
§164.310(a)(2)(iii)
§164.530(c)

OC12
Працівники зобов'язані щорічно проходити навчання з інформаційної безпеки та обізнаності.

§164.308(a)(5)(i)
§164.308(a)(5)(ii)(A)
§164.308(a)(5)(ii)(B)
§164.308(a)(5)(ii)(C)
§164.308(a)(5)(ii)(D)

CR2
Повні резервні копії виконуються кожні шість годин за допомогою автоматизованої системи і реплікуються на віддалене місце. Резервні копії контролюються на наявність збоїв за допомогою автоматизованої системи.

§164.308(a)(7)(ii)(A)
§164.310(d)(2)(iv)

CR6
Плани безперервності бізнесу та відновлення після катастроф (включаючи відновлення резервних копій) розроблені та тестуються щорічно. Результати тестів переглядаються і, відповідно, плани на випадок непередбачених обставин оновлюються.

§164.308(a)(7)(i)
§164.308(a)(7)(ii)(B)
§164.308(a)(7)(ii)(C)
§164.308(a)(7)(ii)(D)
§164.308(a)(7)(ii)(E)
§164.308(a)(8)
§164.310(a)(2)(i)

DP8
Існує політика цілісності даних, яка надає рекомендації щодо цілісності даних. Організація має політику конфіденційності, яка вказує, що суб'єкти даних несуть відповідальність за надання повної та точної особистої інформації організації під час збору або у разі будь-яких змін.

§164.312(c)(1)
§164.312(c)(2)

DP9
Організація призначила Офіцера з конфіденційності, який відповідає за розробку, впровадження та підтримку загальноорганізаційної програми управління та конфіденційності для забезпечення дотримання всіх застосовних законів та нормативних актів щодо збору, використання, зберігання, обміну та розкриття особистої інформації.

§164.308(a)(2)
§164.530(a)

DS4
Існують формальні процедури зберігання та утилізації даних, які керують безпечним зберіганням та утилізацією інформації.

§164.316(b)(2) (i)
§164.414(a)
§164.508(b)(6)
§164.508(c)(1-4)
§164.310(d)(2)(i)
§164.310(d)(2)(ii)
§164.520(e)
§164.524(e)
§164.530(j)

IR2
Повідомлення про підтверджені порушення даних надаються постраждалим суб'єктам даних, регуляторам та іншим особам у прийнятний термін, щоб відповідати зобов'язанням організації щодо конфіденційності.

§164.404(a)
§164.404(b)
§164.404(c)(1)
§164.410
§164.314(a)(2)(i)(C)
§164.412
§164.414(b)

IR3
Встановлено та впроваджено формальний процес управління інцидентами, який вимагає, щоб інциденти відстежувалися, документувалися та вирішувалися повно, точно та вчасно. Документ процесу переглядається керівництвом щорічно та оновлюється за потреби.

§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(i)
§164.308(a)(6)(ii)
§164.530(f)

IR4
Усі інциденти, пов'язані з безпекою, реєструються, відстежуються та повідомляються постраждалим сторонам. Інциденти вирішуються вчасно відповідно до формального процесу управління інцидентами.

§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(ii)
§164.530(f)

OC1
Організація підтримує інвентаризацію виробничих інформаційних активів, включаючи деталі про власність активів, класифікацію даних та місцезнаходження. Перелік інвентаризації активів переглядається та оновлюється керівництвом за потреби.

§164.310(b)
§164.310(c)

OC8
Організація використовує Tugboat Logic для документування своїх внутрішніх контролів та постійного моніторингу їх ефективності. Оцінка ефективності та ефективності внутрішніх контролів, процесів та політик переглядається керівництвом щонайменше раз на рік, і виявлені недоліки виправляються вчасно.

§164.316(b)(1)
§164.316(b)(2) (i)

OC9
Організація встановила канали зв'язку, які дозволяють працівникам безпечно та анонімно повідомляти про проблеми, пов'язані з шахрайством, домаганнями та іншими питаннями, що впливають на етичні та цілісні вимоги організації.

§164.308(a)(1)(ii)(C)
§164.414(a)
§164.530(e)
§164.530(e)(1)
§164.530(g)

RA1
Керівництво підтримує страхове покриття через зовнішнього постачальника послуг проти основних фінансових ризиків для загального бізнесу.

§164.402(1)(i)-(iii)
§164.402(2)(i)-(iv)

RA2
Керівництво проводить формальну оцінку ризиків (яка включає ризики, пов'язані з безпекою, шахрайством, регуляторними та технологічними змінами) щорічно або у разі значних змін. Виявлені ризики разом зі стратегіями пом'якшення документуються та впроваджуються виконавчим керівництвом організації.

§164.308(a)(1)(ii)(A)
§164.308(a)(1)(ii)(B)
§164.308(a)(8)

SO11
Формальна схема мережі, що описує механізми захисту меж (наприклад, брандмауери, IDS тощо), підтримується для всіх мережевих з'єднань і переглядається щорічно IT-керівництвом.

§164.312(e)(1)

SO13
Зовнішній тест на проникнення проводиться щорічно для виявлення експлойтів безпеки. Виявлені проблеми класифікуються за ризиком, аналізуються та виправляються вчасно.

§164.308(a)(8)

SO14
Логування увімкнено для моніторингу адміністративних дій, спроб входу та видалення даних на рівні додатків та інфраструктури. Логи зберігаються для судово-медичних цілей і перевіряються за потреби для вирішення проблем.

§164.308(a)(1)(ii)(D)
§164.308(a)(5)(ii)(C)
§164.312(b)

SO15
Системні брандмауери налаштовані на шлюзі додатків та виробничій мережі для обмеження непотрібних портів, протоколів та сервісів. Правила брандмауера переглядаються щорічно IT-керівництвом.

§164.312(e)(1)

SO17
Сканування на вразливості проводиться щоквартально для виявлення загроз та вразливостей у виробничих системах. Виявлені проблеми аналізуються та виправляються вчасно.

§164.308(a)(8)

SO4
Організація використовує службу управління ключами свого хмарного провайдера для шифрування даних у стані спокою та для зберігання і управління ключами шифрування. Доступ до ключів доступу до виробництва обмежений для уповноважених осіб.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)

SO5
Дані клієнтів шифруються у стані спокою (зберігання та резервне копіювання) за допомогою надійних технологій шифрування.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(2)(ii)
§164.530(c)

SO6
Технології шифрування використовуються для захисту комунікацій та передачі даних через публічні мережі та між системами.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)

VM1
Треті сторони, які працюють від імені організації, зобов'язані підписати угоду, що визначає стандартний кодекс поведінки, вимоги до безпеки та конфіденційності.

§164.308(b)(1)
§164.308(b)(2)
§164.308(b)(3)
§164.504(e)
§164.314(a)(1)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(i)(A)
§164.314(a)(2)(i)(B)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(ii)
§164.410

VM2, VM3
Щорічно керівництво проводить перегляди звітів SOC від постачальників послуг/постачальників, які працюють на основі підписки, для перегляду відповідності обсягу, впливу виявлених винятків та застосовних додаткових контрольних заходів користувача. Впроваджено процес управління постачальниками, за яким керівництво проводить оцінку ризиків потенційних нових постачальників та оцінює ефективність існуючих постачальників щорічно. Коригувальні дії вживаються за потреби на основі результатів оцінок.

§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(iv)
§164.504(e)(1)

VM4
Впроваджено процес управління постачальниками, який включає процедури безпеки, яких слід дотримуватися у випадку припинення співпраці з постачальниками.

§164.504(e)