Close
Logo di HIPAA

Questa tabella ha lo scopo di aiutare le organizzazioni che devono conformarsi all'Health Insurance Portability and Accountability Act (HIPAA) a capire come stiamo soddisfacendo i requisiti ad esso relativi.

Se hai già un contratto Atlassian o desideri saperne di più su come questi requisiti potrebbero applicarsi alla tua organizzazione, contattaci.

Requisito

Descrizione

Come soddisfiamo questo requisito

Gestione del rischio

Descrizione

Ridurre i rischi e le vulnerabilità e condurre periodicamente valutazioni, tecniche e non, in risposta ai cambiamenti ambientali o operativi

Come soddisfiamo questo requisito

Ogni anno eseguiamo una valutazione delle carenze, aggiorniamo la nostra analisi dei rischi per la sicurezza e otteniamo un attestato HIPAA da un'autorità di certificazione indipendente.

Eseguiamo valutazioni del rischio che includono l'identificazione, la valutazione, l'assegnazione, l'accettazione, il risanamento e altre attività di gestione pertinenti per assicurarci di operare nel rispetto della propensione al rischio concordata e dei requisiti legali e normativi pertinenti. Valutiamo continuamente la progettazione di controlli e strategie di mitigazione, suggerendo modifiche anche nell'ambiente di controllo. Manteniamo una matrice di rischi e controlli all'interno del nostro strumento Governance, Risk and Compliance (GRC).

Sicurezza della forza lavoro

Descrizione

Screening dei precedenti e procedure di cessazione adeguate

Come soddisfiamo questo requisito

I nuovi Atlassiani, a livello globale, sono tenuti a completare un controllo dei precedenti dopo aver accettato un'offerta di lavoro. Una serie completa di controlli dei precedenti viene attivata ed eseguita automaticamente su tutti i nuovi assunti, nonché sugli appaltatori indipendenti.

I nostri dipendenti e appaltatori che hanno accesso a informazioni riservate sono vincolati dai loro contratti di lavoro e dai loro atti di riservatezza a garantire che le responsabilità e gli obblighi in materia di sicurezza delle informazioni rimangano validi dopo la cessazione o il cambio di impiego, nonché dopo la fine dei rapporti contrattuali.

Descrizione

Sanzioni contro i dipendenti

Come soddisfiamo questo requisito

Durante l'onboarding, ogni nuovo dipendente deve prendere atto del Codice di condotta aziendale e della politica etica della nostra azienda e deve completare la formazione di sensibilizzazione alla sicurezza. Vengono applicate sanzioni formali per le persone che non rispettano le policy e le procedure stabilite per la sicurezza delle informazioni.

Gestione dell'accesso alle informazioni

Descrizione

Autorizzazione all'accesso per i dipendenti che lavorano con ePHI

Come soddisfiamo questo requisito

L'appartenenza al ruolo Active Directory viene assegnata automaticamente in base al reparto e al team di un utente ed è limitata a coloro che necessitano di tale accesso. Se un utente si trasferisce in un altro team, viene generato un avviso che attiva il follow-up e, ove opportuno, la rimozione dell'accesso esistente. I responsabili di sistemi o servizi sono stati designati come approvatori per concedere o modificare l'accesso degli utenti all'interno dei livelli di accesso di Active Directory per diversi sistemi.

L'accesso privilegiato agli ambienti di produzione è limitato esclusivamente agli utenti autorizzati e appropriati.

L'accesso alla nostra rete e ai nostri strumenti interni è limitato agli utenti autorizzati tramite misure di accesso logico. Ogni account utente deve:

  • avere un account Active Directory attivo
  • far parte del gruppo Active Directory appropriato

Descrizione

Concessione appropriata dell'accesso (base meno privilegiata)

Descrizione

Termine di una sessione dopo un periodo di inattività predeterminato

Come soddisfiamo questo requisito

Le applicazioni desktop e mobili hanno un timeout massimo della sessione utente in base alle nostre procedure operative standard (da 8 a 24 ore per le sessioni desktop, da 30 a 90 giorni per le sessioni mobili).

Sia per gli endpoint macOS che per quelli Windows, viene applicato un salvaschermo con l'obbligo di inserire una password per poterlo sbloccare.

Gestione della risposta agli imprevisti

Descrizione

Audit log e rilevamento degli audit (incluso il monitoraggio dei tentativi di accesso)

Come soddisfiamo questo requisito

Conserviamo e proteggiamo i log degli eventi contro perdite o manomissioni. Esaminiamo periodicamente l'accesso ai log. Abbiamo abilitato i log all'interno del nostro ambiente AWS e li abbiamo indirizzati a Splunk. Abbiamo distribuito avvisi automatici per gli eventi AWS e per gli eventi cloud qualificati HIPAA basati su eventi e imprevisti di sicurezza noti e precedenti.

Manteniamo un processo di revisione per ottimizzare i nostri avvisi e rimuovere i falsi positivi. Siamo supportati da un ingegnere dell'automazione dedicato per semplificare il processo di sviluppo e smistamento degli avvisi.

Descrizione

Identificazione e risposta agli imprevisti di sicurezza sospetti o noti. Mitigazione e documentazione degli imprevisti e dei relativi esiti

Come soddisfiamo questo requisito

Insieme al team di sicurezza responsabile del programma, abbiamo implementato un processo di gestione degli imprevisti a livello organizzativo che comprende:

  • la registrazione di ogni azione, durante la gestione di un imprevisto, nel sistema di gestione degli imprevisti sotto un ticket. Le registrazioni devono includere:
    • ora di inizio dell'imprevisto
    • descrizione dell'imprevisto
    • gravità
    • servizi interessati
    • impatto
    • numero di clienti interessati
    • causa primaria
    • azioni intraprese
    • SLO interessati (capacità interessate)
  • l'associazione dei problemi alla causa sottostante, ove possibile, e/o il raggruppamento in imprevisti principali
  • il completamento di una revisione post-imprevisto dopo imprevisti gravi e critici

Responsabilità della sicurezza

Descrizione

Identificazione di una persona responsabile dello sviluppo e dell'implementazione del programma di conformità alla sicurezza HIPAA

Come soddisfiamo questo requisito

Abbiamo un responsabile della sicurezza HIPAA dedicato, che comprende le proprie responsabilità, la regola di sicurezza HIPAA e il modo in cui tali requisiti si applicano ai nostri prodotti.

Responsabilità relative alla privacy

Descrizione

Identificazione di una persona responsabile dello sviluppo e dell'implementazione del programma di conformità alla privacy HIPAA

Come soddisfiamo questo requisito

Abbiamo un responsabile della privacy HIPAA dedicato, che conosce le proprie responsabilità, la regola sulla privacy HIPAA e il modo in cui tali requisiti si applicano ai nostri prodotti.

Sensibilizzazione e formazione in materia di sicurezza

Descrizione

Formazione di sensibilizzazione degli utenti

Come soddisfiamo questo requisito

Nell'ambito del programma di sensibilizzazione alla sicurezza di Atlassian, tutti i dipendenti sono tenuti a completare la formazione ogni anno. Inoltre, distribuiamo esercizi di sensibilizzazione sulla sicurezza e comunicazioni ad hoc durante tutto l'anno.

Pianificazione di emergenza

Descrizione

Procedure per consentire la continuazione di processi aziendali critici

Come soddisfiamo questo requisito

Abbiamo definito, esaminato e testato procedure per eseguire il ripristino di emergenza. La policy descrive, ad alto livello, lo scopo, gli obiettivi, l'ambito, il tempo massimo di ripristino, l'obiettivo del punto di ripristino e i ruoli/le responsabilità. Testiamo piani formali di continuità aziendale e ripristino di emergenza su base trimestrale. A supporto delle componenti del piano di emergenza, valutiamo annualmente servizi e sistemi per la loro criticità.

Eseguiamo e testiamo backup e ripristini di applicazioni, sistemi e configurazioni associati alle risorse Atlassian in conformità alle nostre procedure operative standard.

Contratti di società in affari

Descrizione

I Contratti di società in affari contengono garanzie soddisfacenti che i dati dell'utente saranno adeguatamente protetti da Atlassian e da fornitori di terze parti

Come soddisfiamo questo requisito

Garantiamo che salvaguarderemo adeguatamente le tue informazioni e utilizzeremo o divulgheremo tali informazioni solo come consentito o richiesto ovunque creiamo, riceviamo, manteniamo o trasmettiamo informazioni sanitarie protette per conto tuo. Queste garanzie sono contenute nei Contratti di società in affari con te. Abbiamo creato anche una Guida all'implementazione che fornisce istruzioni ai clienti su come utilizzare e configurare i nostri servizi per garantire anche che salvaguardino adeguatamente le informazioni.

Inoltre, ci assicuriamo che i fornitori di terze parti pertinenti proteggano le tue informazioni sanitarie richiedendo loro di firmare Contratti di società in affari con noi.

Sicurezza fisica e controlli degli endpoint

Descrizione

Protezione delle strutture fisiche e delle attrezzature da manomissioni o furti

Come soddisfiamo questo requisito

A tutto il nostro personale e agli appaltatori viene rilasciato un badge di sicurezza durante l'onboarding per ottenere l'accesso fisico a una struttura. In caso di cessazione e chiusura di un profilo nel nostro sistema informativo delle risorse umane, il nostro sistema revoca automaticamente l'accesso fisico.

Rilasciamo badge temporanei ai visitatori dei siti locali. I visitatori devono restituire i pass ospite all'uscita dall'edificio. Se i pass non vengono restituiti, li disattiveremo automaticamente.

Descrizione

Implementazione di protezioni fisiche per tutti i posti di lavoro con l'accesso a ePHI

Come soddisfiamo questo requisito

Abbiamo implementato una rete Zero Trust per consentire l'accesso solo da dispositivi noti registrati in una piattaforma di gestione. Abbiamo inserito le nostre applicazioni in livelli di sicurezza in base ai dati che conserviamo e ai sistemi a cui sono collegati. Questa rete su più livelli è suddivisa come segue: Livello alto, Livello basso e Livello aperto. Il tipo di dispositivo e il suo livello di sicurezza vengono valutati per determinare a quali applicazioni può accedere.

Gestiamo la crittografia del disco, il blocco della password e il'applicazione di patch di sicurezza su tutti i laptop macOS e Windows.

Abbiamo configurato i dispositivi di archiviazione di massa USB come di sola lettura su tutte le macchine macOS e Windows rilasciate da Atlassian.

Descrizione

Procedure per la cancellazione definitiva delle ePHI e dell'hardware su cui sono conservate

Come soddisfiamo questo requisito

Ripuliamo i laptop che vengono restituiti prima di ridistribuirli o smaltirli. Abbiamo inoltre un'apposita procedura per i laptop smarriti o rubati per impedire il furto dei dati.

Policy e procedure

Descrizione

Conservazione della documentazione per 6 anni dalla data di creazione o dall'ultima volta in cui era in vigore

Come soddisfiamo questo requisito

Tutte le nostre policy vengono controllate almeno una volta all'anno dal responsabile designato e vengono conservate a tempo indeterminato. Per una panoramica delle nostre policy, visita Le policy sulla sicurezza e la tecnologia di Atlassian.

La nostra Informativa sulla privacy è disponibile qui.

Sicurezza di trasmissione

Descrizione

Misure di sicurezza per garantire che le ePHI non vengano modificate in modo improprio

Come soddisfiamo questo requisito

Crittografiamo tutti i dati dei prodotti cloud qualificati HIPAA a riposo. Inoltre, crittografiamo i dati trasmessi su reti pubbliche e ci assicuriamo che giungano alla destinazione prevista.

Gli utenti esterni si connettono a prodotti cloud qualificati HIPAA utilizzando traffico crittografato tramite il protocollo SSL.

Descrizione

Meccanismi per crittografare le ePHI ogni volta che lo si ritiene opportuno

Certificazione

Al momento, non esiste alcuna certificazione in relazione all'HIPAA. Le agenzie che certificano la tecnologia sanitaria non approvano software né autorizzano le autorità di certificazione indipendenti ad accreditare soci in affari o enti coinvolti con un attestato HIPAA. Pertanto, non esiste una certificazione ufficiale che attesti la nostra conformità alla normativa HIPAA. Tuttavia, i nostri prodotti cloud sono sottoposti a una verifica indipendente dell'efficacia operativa dei loro controlli di sicurezza, privacy e conformità su base annuale. Un'autorità di certificazione indipendente ha eseguito un audit e ha confermato che Atlassian dispone dei controlli e delle pratiche necessari per garantire il rispetto di tutte le normative HIPAA.