Close
Logotipo de HIPAA

Esta tabla está pensada para que las entidades que deben cumplir con la Ley de Transferencia y Responsabilidad de Seguro Médico (HIPAA) conozcan qué hacemos para respetar los requisitos de la HIPAA.

Si ya tienes un contrato con Atlassian o quieres más información sobre cómo se pueden aplicar estas condiciones a tu contrato, contacta con nosotros.

Requisito

Descripción

Cómo cumplimos este requisito

Gestión de riesgos

Descripción

Reducción de los riesgos y las vulnerabilidades, realización de evaluaciones técnicas y no técnicas periódicas en respuesta a cambios operativos o del entorno

Cómo cumplimos este requisito

Cada año hacemos una evaluación de brechas, actualizamos nuestro análisis de riesgos de seguridad y obtenemos una certificación HIPAA de una autoridad de certificación independiente.

Llevamos a cabo evaluaciones de riesgos que incluyen la identificación, evaluación, asignación, aceptación, corrección y otras actividades de gestión relevantes para garantizar que operamos dentro del margen de riesgo acordado y de acuerdo con los requisitos legales y normativos pertinentes. Evaluamos continuamente el diseño de las estrategias de control y mitigación, lo que incluye la recomendación de cambios en el entorno de control. Contamos con una matriz de riesgos y controles que está incluida en nuestra herramienta de control, riesgo y cumplimiento (GRC).

Seguridad relacionada con el personal

Descripción

Verificación de antecedentes y procedimientos de rescisión adecuados

Cómo cumplimos este requisito

De acuerdo con nuestra política global, las nuevas incorporaciones al equipo de Atlassian deben pasar por un proceso de verificación de antecedentes al aceptar una oferta de empleo. Esta verificación consiste en un amplio conjunto de comprobaciones de antecedentes de los empleados nuevos y los contratistas independientes.

Los empleados y contratistas que tienen acceso a información confidencial están sujetos a sus contratos de trabajo y a los acuerdos de confidencialidad para garantizar que las responsabilidades y obligaciones relacionadas con la seguridad de la información sigan vigentes después del despido, cambio de empleo o fin de la relación contractual.

Descripción

Sanciones a miembros del personal

Cómo cumplimos este requisito

Durante la incorporación, los nuevos empleados deben aceptar nuestra política de código de conducta y ética y hacer la formación sobre seguridad. Existen sanciones formales que se aplican a las personas que no cumplen con las políticas y los procedimientos establecidos en materia de seguridad de la información.

Gestión de acceso a la información

Descripción

Autorización de acceso para empleados que trabajan con información médica protegida electrónica

Cómo cumplimos este requisito

La pertenencia a roles de Active Directory se asigna automáticamente según el departamento y el equipo del usuario y está restringida a las personas que necesitan ese tipo de acceso. Si un usuario cambia de equipo, se genera una alerta que, en caso necesario, activa el seguimiento y la eliminación del acceso heredado. Los propietarios de sistemas o servicios han sido designados como aprobadores y pueden conceder o modificar el acceso de los usuarios dentro de los niveles de acceso de Active Directory para varios sistemas.

El acceso con privilegios a los entornos de producción está restringido a los usuarios autorizados y apropiados.

El acceso a la red y a las herramientas internas está restringido a los usuarios autorizados mediante medidas de acceso lógico. Cada cuenta de usuario debe:

  • Tener una cuenta de Active Directory activa
  • Estar incluida en el grupo de Active Directory apropiado

Descripción

Concesión adecuada de acceso (privilegios mínimos)

Descripción

Finalización de la sesión después de un tiempo de inactividad predeterminado

Cómo cumplimos este requisito

Las aplicaciones móviles y de escritorio tienen un tiempo de espera máximo para la sesión del usuario de acuerdo con nuestros procedimientos operativos estándar (de 8 a 24 horas para las sesiones de escritorio y de 30 a 90 días para las sesiones en dispositivos móviles).

Transcurrido este tiempo, aparece un protector de pantalla para los terminales de macOS y Windows que se desbloquea mediante contraseña.

Gestión de respuesta ante incidentes

Descripción

Registro y detección de auditoría (se incluye el control de los intentos de inicio de sesión)

Cómo cumplimos este requisito

Conservamos y protegemos los registros de eventos frente a pérdidas o manipulaciones. Revisamos el acceso a los registros periódicamente. Hemos activado los registros en nuestro entorno de AWS y enviamos esos registros a Splunk. Hemos implementado alertas automatizadas para eventos de AWS, Jira y Confluence Cloud en función de los incidentes y eventos de seguridad anteriores ya conocidos.

Disponemos de un proceso de revisión para ajustar y optimizar nuestras alertas y para eliminar los falsos positivos. Contamos con un ingeniero de automatización especializado que se encarga de agilizar el proceso de clasificación y desarrollo de las alertas.

Descripción

Identificación y respuesta ante incidentes de seguridad sospechados o conocidos. Mitigación y documentación de los incidentes y sus consecuencias.

Cómo cumplimos este requisito

Junto con el equipo de seguridad responsable del programa, hemos implementado un proceso de gestión de incidentes a nivel de toda la organización que consiste en:

  • Registrar cada acción en el sistema de gestión de incidentes con un ticket de incidente cuando se gestiona un incidente. Los registros deben incluir:
    • La hora de inicio del incidente
    • Descripción del incidente
    • "Severity" (Gravedad)
    • Los servicios afectados
    • Impacto
    • El número de clientes afectados
    • "Root cause" (Origen del problema)
    • Las medidas que se han tomado
    • Los SLO afectados (funciones afectadas)
  • Asociar los problemas, cuando sea posible, con la causa subyacente o agruparlos con los incidentes principales.
  • Hacer una revisión posterior al incidente (PIR) después de incidentes graves y críticos.

Responsabilidad en cuanto a la seguridad

Descripción

Designación de una persona para que se encargue del desarrollo y la implementación del programa de cumplimiento en materia de seguridad de la HIPAA

Cómo cumplimos este requisito

Contamos con un agente de seguridad de la HIPAA especializado que comprende sus responsabilidades, la regla de seguridad HIPAA y cómo se aplican esas normas a nuestros productos.

Responsabilidad en cuanto a la privacidad

Descripción

Designación de una persona responsable del desarrollo y la implementación del programa de cumplimiento en materia de privacidad de la HIPAA

Cómo cumplimos este requisito

Contamos con un agente de privacidad de la HIPAA especializado que comprende sus responsabilidades, las normas de privacidad de la HIPAA y cómo se aplican esas normas a nuestros productos.

Formación y concienciación en materia de seguridad

Descripción

Formación de concienciación de los usuarios

Cómo cumplimos este requisito

Como parte del programa de concienciación en materia de seguridad de Atlassian, todos los empleados deben hacer la formación cada año. Además, también facilitamos ejercicios de concienciación relacionados con la seguridad y comunicaciones ad hoc durante todo el año.

Planificación de contingencias

Descripción

Procedimientos para garantizar la continuidad de los procesos empresariales críticos

Cómo cumplimos este requisito

Hemos definido, revisado y probado procedimientos para la recuperación ante desastres. La política describe, de forma general, el propósito, los objetivos, el alcance, el tiempo de recuperación objetivo, el punto de recuperación objetivo y las funciones o responsabilidades. Probamos los planes oficiales de continuidad del negocio y de recuperación ante desastres trimestralmente. Para respaldar los componentes del plan de contingencia, evaluamos anualmente los servicios y sistemas para determinar su importancia.

Realizamos y probamos copias de seguridad y restauraciones de aplicaciones, sistemas y configuraciones asociados con los activos de Atlassian de acuerdo con nuestros procedimientos operativos estándar.

Contratos con socios comerciales

Descripción

Los contratos de socio comercial incluyen garantías suficientes de que Atlassian y los proveedores externos protegerán tus datos de forma adecuada

Cómo cumplimos este requisito

Garantizamos que protegeremos adecuadamente tu información y solo la utilizaremos o divulgaremos según se permita o se requiera siempre que creemos, recibamos, mantengamos o transmitamos información médica protegida en tu nombre. Estas garantías se recogen en los contratos de socio comercial que firmemos contigo. También hemos creado una Guía de implementación que ofrece instrucciones a los clientes sobre cómo deben usar y configurar nuestros servicios para asegurarse de que también ellos protegen adecuadamente la información.

Además, nos aseguramos de que los proveedores externos correspondientes protejan tu información médica protegida solicitándoles que firmen un contrato de socio comercial con nosotros.

Seguridad física y controles de los terminales

Descripción

Protección de las instalaciones y los equipos físicos frente a robos o manipulación

Cómo cumplimos este requisito

El personal y los contratistas reciben un distintivo de seguridad durante la incorporación para poder tener acceso a las instalaciones. En caso de rescisión del contrato, nuestro sistema de información de recursos humanos cierra el perfil de la persona en cuestión y revoca automáticamente el acceso físico.

Facilitamos pases temporales a los visitantes de las instalaciones locales, que deben devolverse a la salida del edificio. Si los pases no se devuelven, los cancelaremos automáticamente.

Descripción

Implementación de protecciones físicas para todos los puestos de trabajo que acceden a información médica protegida electrónica

Cómo cumplimos este requisito

Hemos implementado una red de confianza cero para permitir el acceso únicamente a dispositivos conocidos que estén inscritos en una plataforma de gestión. Además, hemos asignado niveles de seguridad a nuestras aplicaciones según los datos que almacenan y los sistemas a los que se conectan. La clasificación por niveles de la red es la siguiente: Nivel alto, Nivel bajo y Nivel abierto. El tipo de dispositivo y su postura de seguridad se evalúan para determinar a qué aplicaciones puede acceder.

Gestionamos el cifrado de disco, el bloqueo de contraseñas y los parches de seguridad en todos los portátiles macOS y Windows.

También hemos configurado los dispositivos de almacenamiento USB como de solo lectura en todos los equipos macOS y Windows registrados por Atlassian.

Descripción

Procedimientos para la disposición final de la información médica protegida electrónica y el hardware en el que se almacena

Cómo cumplimos este requisito

Borramos cualquier portátil devuelto antes de reutilizarlo o de desecharlo. También contamos con un procedimiento de pérdida o robo de portátiles para evitar el robo de datos.

Políticas y procedimientos

Descripción

Conservación de la documentación durante 6 años a partir de la fecha de creación o de la fecha en la que entró en vigor por última vez

Cómo cumplimos este requisito

Todas nuestras políticas las revisa el responsable de políticas designado al menos una vez al año, y se conservan indefinidamente. Para echar un vistazo a nuestras políticas, consulta la página Nuestras políticas de seguridad y tecnología en Atlassian.

También puedes consultar nuestra política de privacidad aquí.

Seguridad en la transmisión de información

Descripción

Medidas de seguridad para garantizar que la información médica protegida electrónica no se modifique indebidamente

Cómo cumplimos este requisito

Ciframos en reposo todos los datos de los productos en la nube que cumplen con los requisitos de la HIPAA. Además, ciframos los datos transmitidos a través de redes públicas y nos aseguramos de que lleguen a su destino.

Los usuarios externos se conectan a los productos en la nube que cumplen con los requisitos de HIPAA a través de tráfico cifrado mediante el protocolo SSL.

Descripción

Mecanismos para cifrar la información médica protegida electrónica cuando se considere necesario

Certificación

En la actualidad, no existe ninguna certificación en relación con la HIPAA. Las agencias que certifican la tecnología sanitaria no aprueban software ni facultan a las autoridades certificadoras independientes para entregar una certificación HIPAA a los socios comerciales o entidades cubiertas. Por lo tanto, no existe ninguna certificación oficial que avale nuestro cumplimiento de la HIPAA. Sin embargo, nuestros productos de Cloud se someten cada año a una verificación independiente de la eficacia de sus controles de seguridad, privacidad y cumplimiento. Una autoridad de certificación independiente ha realizado una auditoría y ha confirmado que Atlassian cuenta con los controles y las prácticas necesarios para garantizar el cumplimiento de todas las normas de la HIPAA.

En Atlassian, ganarnos tu confianza y mantenerla es nuestra razón de ser. Entendemos que quieras tener la seguridad de que no solo protegemos tus datos, sino que también cumplimos con la legislación y la normativa vigentes. Nos adherimos a los precedentes descritos en las reglas de seguridad, privacidad y notificación de infracciones de la HIPAA, ofreciéndote un entorno seguro para desarrollar tu actividad con total tranquilidad.