SmartMatchApp Відповідність HIPAA

Ця таблиця демонструє, як SmartMatchApp SOC2 Type 2 контролзи відповідають вимогам HIPAA (Закон США про переносимість і підзвітність медичного страхування). Крім того, деякі правила безпеки HIPAA не застосовуються до продуктів SmartMatchApp та не відображені в цій таблиці. Ця інформація надається компанією SmartMatchApp для допомоги читачам у розумінні взаємозв’язку між контролями SOC Type 2 компанії SmartMatchApp та вимогами правила безпеки HIPAA і не включена в аудиторський висновок або не підлягає йому.

AA1, AA2
Для отримання доступу до інфраструктури, яка підтримує додаток (тобто Active Directory, облікові записи сервера та бази даних), потрібні унікальні ідентифікатори користувачів та надійні паролі.

§164.308(a)(5)(ii)(D)
§164.312(a)(2)(i)
§164.312(d)
§164.530(c)

AA3
Для облікових записів користувачів з адміністративним доступом до виробничої платформи організації застосовується багатофакторна автентифікація (MFA).

§164.312(d)

AC1
Доступ до компонентів системи в рамках дії (додаток/додатків та його основної інфраструктури) вимагає задокументованого запиту на доступ та схвалення від керівництва перед наданням доступу.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.308(a)(3)(ii)(B)
§164.308(a)(3)(ii)(C)
§164.308(a)(4)(i)
§164.308(a)(4)(ii)(A)
§164.308(a)(4)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)

AC2
Керівництво використовує контрольний список звільнення співробітників, щоб гарантувати, що процес звільнення виконується послідовно, а доступ для звільнених співробітників вчасно відкликається.

§164.308(a)(3)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)-§164.514(d)(2)
§164.530(c)

AC3
Доступ до загальних адміністративних або привілейованих облікових записів на базах даних і серверах, що підтримують додаток, обмежується авторизованим персоналом на основі схеми role-based контролю доступу.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(A)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)
§164.530(c)

AC4
Керівництво проводить щоквартальний огляд доступу користувачів до компонентів системи у межах галузі, щоб забезпечити обмеження доступу належним чином. Доступ змінюється або видаляється своєчасно на основі результатів огляду.

§164.308(a)(3)(i)
§164.308(a)(3)(ii)(B)
§164.308(a)(4)(ii)(C)
§164.312(a)(1)
§164.514(d)(1)
§164.514(d)(2)

OC11 Організація використовує платформу Tugboat Logic для управління політиками та процедурами інформаційної безпеки. Внутрішні документи політик і процедур, що стосуються безпеки, конфіденційності та доступності, підтримуються та доступні для співробітників. Документи з політики та процедур переглядаються і затверджуються керівництвом щорічно або при суттєвих змінах.

§164.308(a)
§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(ii)
§164.310(a)(2)(iii)
§164.530(c)

OC12
Співробітники повинні проходити навчання з інформаційної безпеки та обізнаності щороку.

§164.308(a)(5)(i)
§164.308(a)(5)(ii)(A)
§164.308(a)(5)(ii)(B)
§164.308(a)(5)(ii)(C)
§164.308(a)(5)(ii)(D)

CR2
Повні резервні копії створюються кожні шість годин за допомогою автоматизованої системи і реплікуються на віддалене місце. Резервні копії контролюються на наявність збоїв за допомогою автоматизованої системи.

§164.308(a)(7)(ii)(A)
§164.310(d)(2)(iv)

CR6
Плани безперервності бізнесу та відновлення після аварій (включаючи відновлення з резервних копій) розробляються та тестуються щорічно. Результати тестування переглядаються, і відповідно оновлюються плани на випадок надзвичайних ситуацій.

§164.308(a)(7)(i)
§164.308(a)(7)(ii)(B)
§164.308(a)(7)(ii)(C)
§164.308(a)(7)(ii)(D)
§164.308(a)(7)(ii)(E)
§164.308(a)(8)
§164.310(a)(2)(i)

DP8
Політика забезпечення цілісності даних існує та містить рекомендації щодо підтримки цілісності даних. Організація має політику конфіденційності, яка вказує, що суб’єкти даних несуть відповідальність за надання повної та точної особистої інформації для організації під час збору або в разі будь-яких змін.

§164.312(c)(1)
§164.312(c)(2)

DP9
Організація призначила Уповноваженого з питань конфіденційності, який відповідає за розробку, впровадження та підтримку загальноорганізаційної програми управління та конфіденційності для забезпечення відповідності всім застосованим законам і нормативним актам щодо збору, використання, зберігання, обміну та розкриття особистої інформації.

§164.308(a)(2)
§164.530(a)

DS4
Існують формальні процедури зберігання та видалення даних, які спрямовані на безпечне зберігання та видалення інформації.

§164.316(b)(2) (i)
§164.414(a)
§164.508(b)(6)
§164.508(c)(1-4)
§164.310(d)(2)(i)
§164.310(d)(2)(ii)
§164.520(e)
§164.524(e)
§164.530(j)

IR2
Повідомлення щодо підтверджених витоків даних надсилаються суб'єктам даних, регуляторам та іншим зацікавленим особам у прийнятний термін, щоб виконати зобов'язання організації щодо конфіденційності.

§164.404(a)
§164.404(b)
§164.404(c)(1)
§164.410
§164.314(a)(2)(i)(C)
§164.412
§164.414(b)

IR3
Було засновано та впроваджено формальний процес управління інцидентами, який передбачає відстеження, документування та вирішення інцидентів у повному, точному та своєчасному порядку. Документ процесу переглядається керівництвом щорічно та оновлюється за необхідності.

§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(i)
§164.308(a)(6)(ii)
§164.530(f)

IR4
Усі інциденти, пов'язані з безпекою, фіксуються, відстежуються і повідомляються зацікавленим сторонам. Інциденти вирішуються своєчасно відповідно до офіційного процесу управління інцидентами.

§164.308(a)
§164.308(a)(5)(ii)(C)
§164.308(a)(6)(ii)
§164.530(f)

OC1
Організація веде облік виробничих інформаційних активів, включаючи деталі щодо володіння активами, класифікації даних та місця знаходження. Перелік інформаційних активів переглядається та оновлюється керівництвом у разі потреби.

§164.310(b)
§164.310(c)

OC8
Організація використовує Tugboat Logic для документування своїх внутрішніх контрольних заходів і постійного моніторингу їх ефективності. Оцінка ефективності та дієвості внутрішніх контрольних заходів, процесів і політики переглядається керівництвом щонайменше раз на рік, а виявлені недоліки усуваються своєчасно.

§164.316(b)(1)
§164.316(b)(2) (i)

OC9
Організація створила комунікаційні канали, які дозволяють співробітникам безпечно та анонімно повідомляти про випадки, пов'язані з шахрайством, переслідуванням та іншими проблемами, що впливають на етичні та цілісні вимоги організації.

§164.308(a)(1)(ii)(C)
§164.414(a)
§164.530(e)
§164.530(e)(1)
§164.530(g)

RA1
Менеджмент підтримує страхове покриття через зовнішнього постачальника послуг для захисту від основних фінансових ризиків для всього бізнесу.

§164.402(1)(i)-(iii)
§164.402(2)(i)-(iv)

RA2
Керівництво проводить формальну оцінку ризиків (яка включає ризики, пов'язані з безпекою, шахрайством, змінами в регулюванні та технологіях) на щорічній основі або у випадку значних змін. Виявлені ризики разом зі стратегіями їх мінімізації документуються та впроваджуються виконавчим керівництвом організації.

§164.308(a)(1)(ii)(A)
§164.308(a)(1)(ii)(B)
§164.308(a)(8)

SO11
Офіційна мережева діаграма із зазначенням механізмів захисту периметру (наприклад, брандмауери, IDS тощо) підтримується для всіх мережевих з'єднань та переглядається щорічно IT-менеджментом.

§164.312(e)(1)

SO13
Зовнішнє тестування на проникнення виконується щорічно, щоб виявити вразливості безпеки. Виявлені проблеми класифікуються за рівнем ризику, аналізуються і виправляються в найкоротші терміни.

§164.308(a)(8)

SO14
Ведеться нотування в журналах для моніторингу дій адміністратора, спроб входу в систему та видалення даних на рівні додатків та інфраструктури. Журнали зберігаються для судово-медичних цілей і аналізуються за потреби для вирішення проблем.

§164.308(a)(1)(ii)(D)
§164.308(a)(5)(ii)(C)
§164.312(b)

SO15
Міжмережеві екрани системи налаштовані на шлюзі додатків та виробничій мережі для обмеження непотрібних портів, протоколів та сервісів. Правила міжмережевого екрану щорічно переглядаються керівництвом ІТ-відділу.

§164.312(e)(1)

SO17
Сканування вразливостей проводиться щоквартально для виявлення загроз і вразливостей у виробничих системах. Виявлені проблеми аналізуються та усуваються вчасно.

§164.308(a)(8)

SO4
Організація використовує сервіс управління ключами постачальника хмарних послуг для шифрування даних на зберіганні та для зберігання і управління ключами шифрування. Доступ до ключів доступу до продукції обмежений уповноваженими особами.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)

SO5
Дані клієнтів шифруються під час зберігання (як на основному сховищі, так і в резервних копіях) за допомогою потужних технологій шифрування.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(2)(ii)
§164.530(c)

SO6
Технології шифрування використовуються для захисту комунікації та передачі даних через публічні мережі та між системами.

§164.312(a)(2)(iv)
§164.312(c)(2)
§164.312(e)(1)
§164.312(e)(2)(i)
§164.312(e)(2)(ii)
§164.530(c)

VM1
Треті підрядники, які працюють від імені організації, повинні підписати угоду, що визначає стандартний кодекс поведінки, вимоги щодо безпеки та конфіденційності.

§164.308(b)(1)
§164.308(b)(2)
§164.308(b)(3)
§164.504(e)
§164.314(a)(1)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(i)(A)
§164.314(a)(2)(i)(B)
§164.314(a)(2)(i)(C)
§164.314(a)(2)(ii)
§164.410

VM2, VM3
Щорічно керівництво проводить перегляд звітів SOC від постачальників послуг/продавців, які надають послуги на основі підписки, щоб оцінити відповідність охоплення, вплив виявлених винятків і застосовність додаткових контрольних заходів користувацької сутності. Було впроваджено процес управління постачальниками, за яким керівництво виконує оцінку ризиків потенційних нових постачальників і оцінює ефективність існуючих постачальників на щорічній основі. Коригувальні дії вживаються в разі потреби на основі результатів оцінок.

§164.310(a)(1)
§164.310(a)(2)(i)
§164.310(a)(2)(iv)
§164.504(e)(1)

VM4
Був впроваджений процес управління постачальниками, який включає процедури безпеки, яких необхідно дотримуватися у випадку розірвання контрактів з постачальниками.

§164.504(e)