Close
Logotipo da HIPAA

Esta tabela foi elaborada para ajudar as instituições que precisam cumprir a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) a entender como a gente está atendendo aos requisitos da HIPAA.

Se você tem um contrato da Atlassian existente ou quer saber mais sobre como esses termos podem ser aplicados ao seu contrato, entre em contato com a gente.

Requisito

Descrição

Como a gente está atendendo a esse requisito

Gestão de riscos

Descrição

Reduzir riscos e vulnerabilidades e realizar avaliações periódicas, técnicas e não técnicas, em resposta a mudanças ambientais ou operacionais

Como a gente está atendendo a esse requisito

Todos os anos, a Atlassian realiza a Avaliação de Lacunas, atualiza a Análise de Risco de Segurança e obtém o Atestado HIPAA de uma autoridade certificadora independente.

A Atlassian conduz avaliações de risco que incluem a identificação, a avaliação, a atribuição, a aceitação, a remediação e outras atividades de gerenciamento relevantes, para garantir que a gente esteja operando em conformidade com o apetite ao risco acordado e com os requisitos legais e regulamentares relevantes. A gente realiza avaliações contínuas de controles e estratégias de mitigação, incluindo recomendações de alterações no ambiente de controle. Além disso, há uma matriz de riscos e controles na ferramenta de Governança, Risco e Conformidade (GRC) que a gente oferece.

Segurança da força de trabalho

Descrição

Triagem de antecedentes e procedimentos de rescisão adequados

Como a gente está atendendo a esse requisito

Os novos colaboradores da Equipe da Atlassian, em todo o mundo, precisam passar por uma verificação de antecedentes ao aceitar a oferta de emprego. O acionamento de um conjunto abrangente de verificações de antecedentes é automático, e todas as novas contratações, bem como contratados independentes, passam por essas verificações.

Os funcionários e contratados da Atlassian que têm acesso a informações confidenciais têm obrigações por meio de seus contratos de trabalho e acordos de confidencialidade para garantir que as responsabilidades e os deveres de segurança da informação permaneçam válidos após a rescisão ou mudança de emprego, assim como o fim das relações contratuais.

Descrição

Sanções contra funcionários

Como a gente está atendendo a esse requisito

Durante a integração, cada novo funcionário deve aceitar a política do Código de Conduta e Ética Empresarial da Atlassian, além de concluir o treinamento de conscientização sobre segurança. Sanções formais existem e são empregadas aos indivíduos que não cumprem as políticas e os procedimentos de segurança da informação estabelecidos.

Gerenciamento do acesso à informação

Descrição

Autorização de acesso para funcionários que trabalham com informações de saúde protegidas em formato eletrônico (ePHI)

Como a gente está atendendo a esse requisito

A condição de membro da função do Active Directory é uma atribuição automática com base no departamento e na equipe do usuário e restrita às pessoas que precisam desse acesso. Se algum usuário for transferido para outra equipe, é gerado um alerta que aciona o acompanhamento e a remoção do acesso obsoleto, nos casos apropriados. Os proprietários do sistema ou do serviço foram designados como aprovadores para conceder ou modificar o acesso do usuário nos níveis de acesso do Active Directory para diversos sistemas.

O acesso privilegiado aos ambientes de produção é restrito apenas para usuários autorizados e apropriados.

O acesso à rede interna e às ferramentas da Atlassian é restrito a usuários autorizados por meio de medidas lógicas de acesso. Cada conta de usuário deve:

  • ter uma conta ativa do Active Directory e
  • ser membro do grupo apropriado do Active Directory.

Descrição

Concessão adequada de acesso (modelo de privilégio mínimo)

Descrição

Encerrar a sessão após um tempo de inatividade predeterminado

Como a gente está atendendo a esse requisito

Os aplicativos para desktop e dispositivos móveis têm um tempo limite máximo de sessão do usuário com base nos procedimentos operacionais padrão da Atlassian (8 a 24 horas para sessões de desktop, 30 a 90 dias para sessões de dispositivos móveis).

Um protetor de tela é aplicado para terminais macOS e Windows com a exigência de inserir uma senha para desbloquear o terminal.

Gerenciamento de resposta a incidentes

Descrição

Detecção/criação de registros de auditoria (incluindo monitoramento de tentativas de login)

Como a gente está atendendo a esse requisito

A gente mantém e protege os registros de eventos contra perda ou adulteração. O acesso aos registros é analisado com frequência. A gente habilitou a criação de registro no ambiente da AWS e direciona esses registros para o Splunk. A gente implementou alertas automatizados para a AWS, assim como para eventos do Jira e do Confluence Cloud com base em incidentes e em eventos de segurança conhecidos e já ocorridos.

Um processo de análise é mantido para ajustar e otimizar os alertas e remover falsos positivos. A Atlassian tem um engenheiro de automação dedicado para agilizar o processo de desenvolvimento e triagem de alertas.

Descrição

Identificar e responder a incidentes de segurança suspeitos ou conhecidos. Mitigar e documentar os incidentes e seus resultados

Como a gente está atendendo a esse requisito

A gente implementou um processo de gerenciamento de incidentes em toda a empresa, com a equipe de segurança responsável pelo programa, que consiste em:

  • registrar cada ação, ao gerenciar os incidentes, no Sistema de Gerenciamento de Incidentes em um ticket de incidente. Os registros devem incluir:
    • hora de início do incidente
    • Descrição do incidente
    • Gravidade
    • serviços afetados
    • Impacto
    • número de clientes afetados
    • Causa-raiz
    • ações tomadas
    • SLOs afetados (recursos afetados)
  • associar os problemas, sempre que possível, à causa subjacente e/ou agrupar os problemas em incidentes pai
  • realizar uma análise pós-incidente (PIR) depois de incidentes graves e críticos

Responsabilidade pela segurança

Descrição

Identificar o indivíduo responsável pelo desenvolvimento e pela implementação do programa de conformidade de segurança da HIPAA

Como a gente está atendendo a esse requisito

A gente tem um Diretor de Segurança da HIPAA dedicado. O Diretor de Segurança entende suas responsabilidades, a Regra de Segurança da HIPAA e como esses requisitos se aplicam aos produtos que a gente oferece.

Responsabilidade pela privacidade

Descrição

Identificar o indivíduo responsável pelo desenvolvimento e pela implementação do programa de conformidade com a privacidade da HIPAA

Como a gente está atendendo a esse requisito

A gente tem um Diretor de Privacidade da HIPAA dedicado. O Diretor de Privacidade entende suas responsabilidades, a Regra de Privacidade da HIPAA e como esses requisitos se aplicam aos produtos que a gente oferece.

Treinamentos e conscientização sobre segurança

Descrição

Treinamentos de conscientização do usuário

Como a gente está atendendo a esse requisito

Como parte do programa de conscientização de segurança da Atlassian, todos os funcionários precisam concluir o treinamento todos os anos. Além disso, a gente distribui exercícios e comunicações ad hoc sobre conscientização relacionados à segurança ao longo do ano.

Planejamento de contingência

Descrição

Procedimentos para permitir a continuação dos processos fundamentais de negócios

Como a gente está atendendo a esse requisito

A gente definiu, analisou e testou os procedimentos para execução de recuperação de desastres. A política descreve, em alto nível, a finalidade, os objetivos, o escopo, o objetivo do tempo de recuperação, o objetivo do ponto de recuperação e as funções/responsabilidades. A gente testa planos formais de continuidade de negócios e recuperação de desastres a cada três meses. Em apoio aos componentes do plano de contingência, a gente avalia serviços e sistemas quanto à sua criticidade todos os anos.

A gente realiza e testa os backups e as restaurações de aplicativos, sistemas e configurações associados aos ativos da Atlassian de acordo com os procedimentos operacionais padrão da Atlassian.

Contratos de Parceiros Empresariais

Descrição

Os Contratos de Parceiros Empresariais têm garantias satisfatórias de que seus dados vão ter a proteção adequada por parte da Atlassian e dos fornecedores terceirizados

Como a gente está atendendo a esse requisito

A Atlassian provê garantias de que suas informações vão ter a proteção adequada e de que elas só vão ser usadas ou divulgadas conforme permitido ou exigido onde quer que a gente crie, receba, mantenha ou transmita informações de saúde protegidas (PHI) em seu nome. Essas garantias são registradas nos Contratos de Parceiro Empresariais firmados com você. A gente também criou um Guia de Implementação que oferece instruções aos clientes sobre como eles devem usar e configurar os serviços da Atlassian para garantir que eles também mantenham as informações devidamente protegidas.

Além disso, a gente garante que os fornecedores terceirizados relevantes vão proteger suas PHI, exigindo que eles firmem Contratos de Parceiro Empresarial com a gente.

Segurança física e controles de terminais

Descrição

Proteger instalações físicas e equipamentos contra adulteração ou roubo

Como a gente está atendendo a esse requisito

Todos os funcionários e contratados da Atlassian recebem um crachá de segurança na integração para que tenham acesso físico a uma instalação. Após a rescisão e o encerramento de um perfil no Sistema de Informações de Recursos Humanos da Atlassian, o sistema faz a revogação automática do acesso físico.

A Atlassian emite crachás temporários para visitantes em instalações locais. Os visitantes devem devolver os crachás de convidados na saída do prédio. Se os crachás não forem devolvidos, o cancelamento deles é automático.

Descrição

Implementar proteções físicas para todas as estações de trabalho que acessam ePHI

Como a gente está atendendo a esse requisito

A gente implementou uma rede ZeroTrust para permitir o acesso apenas de dispositivos conhecidos registrados em uma plataforma de gerenciamento. A Atlassian dividiu os aplicativos que oferece em níveis de segurança, dependendo dos dados que eles armazenam e dos sistemas aos quais se conectam. Essa rede de níveis é a seguinte: Nível alto, Nível médio e Nível aberto. O tipo de dispositivo e a postura de segurança são avaliados para determinar quais aplicativos ele pode acessar.

A gente gerencia criptografia de disco, bloqueio de senha e aplicação de correções de segurança em todos os notebooks macOS e Windows.

Os dispositivos de armazenamento em massa USB foram configurados como apenas leitura em todas as máquinas macOS e Windows emitidas pela Atlassian.

Descrição

Procedimentos para tratar da disposição final das ePHI e do hardware no qual elas estão armazenadas

Como a gente está atendendo a esse requisito

Todos os notebooks devolvidos são limpos antes de serem implementados outra vez ou descartados. Um procedimento para a perda/roubo de notebooks também está em vigor para garantir que os dados não sejam roubados.

Políticas e procedimentos

Descrição

Manter a documentação por 6 anos a partir da data de sua criação ou a partir da data em que esteve em vigor pela última vez

Como a gente está atendendo a esse requisito

Todas as políticas da Atlassian são revisadas pelo menos uma vez por ano pelo proprietário designado da política e são retidas por tempo indeterminado. Para ver o resumo das políticas da Atlassian, acesse as Políticas de segurança e tecnologia da Atlassian.

A Política de Privacidade da Atlassian pode ser encontrada aqui.

Segurança de transmissão

Descrição

Medidas de segurança para garantir que as ePHI não sofram alterações não autorizadas

Como a gente está atendendo a esse requisito

A gente criptografa todos os dados em repouso de produtos de nuvem qualificados pela HIPAA. Além disso, os dados transmitidos por redes públicas são criptografados, e a gente assegura que os dados cheguem ao destino pretendido.

A conexão de usuários externos a produtos de nuvem qualificados pela HIPAA usa tráfego criptografado por meio do protocolo SSL.

Descrição

Mecanismos para criptografar as ePHI sempre que for considerado apropriado

Certificado

No momento, não há certificação em relação à HIPAA. As agências que certificam a tecnologia do setor de saúde não aprovam softwares nem capacitam autoridades certificadoras independentes para certificar os parceiros empresariais ou as entidades cobertas com um atestado da HIPAA. Portanto, não há certificação oficial para demonstrar que a gente está em conformidade com a HIPAA. No entanto, os produtos de nuvem da Atlassian passam por uma verificação independente da eficácia operacional de seus controles de segurança, privacidade e conformidade todos os anos. Uma autoridade certificadora independente realizou uma auditoria e confirmou que a Atlassian tem os controles e práticas necessários em vigor para garantir que todos os regulamentos da HIPAA estão sendo cumpridos.

Na Atlassian, conquistar e manter sua confiança está na essência de todas as operações. A gente entende a necessidade de você ter certeza de que não apenas a Atlassian mantém seus dados seguros, mas que eles também estão em conformidade com leis e regulamentos. A gente cumpre os precedentes descritos nas Regras de Segurança, Privacidade e Notificação de Violação da HIPAA, oferecendo a você um ambiente seguro e protegido para a condução tranquila de seus negócios.