Close
HIPAA-logo

Deze grafiek is ontworpen om organisaties die zich moeten houden aan de Health Insurance Portability and Accountability Act (HIPAA) te helpen begrijpen hoe we de HIPAA-naleving ondersteunen.

Als je een bestaand Atlassian-contract hebt of meer wilt weten over hoe deze vereisten van toepassing kunnen zijn op je organisatie, neem dan contact met ons op.

Vereiste

Beschrijving

Hoe we aan deze eis voldoen

Risicomanagement

Beschrijving

Risico's en kwetsbaarheden verminderen, periodieke technische en niet-technische evaluaties uitvoeren als reactie op veranderingen in het milieu of de bedrijfsvoering

Hoe we aan deze eis voldoen

Jaarlijks doen we een hiatenbeoordeling, werken we onze veiligheidsrisicoanalyse bij en verkrijgen we een HIPAA-attest van een onafhankelijke certificeringsautoriteit.

We voeren risicobeoordelingen uit, waaronder identificatie, beoordeling, toewijzing, acceptatie, herstel en andere relevante managementactiviteiten, om ervoor te zorgen dat we werken binnen de overeengekomen risicobereidheid en relevante wettelijke en regelgevende vereisten. We evalueren voortdurend het ontwerp van controles en mitigatiestrategieën, inclusief het aanbevelen van wijzigingen in de controleomgeving. We hanteren een risico- en controlematrix binnen onze tool Governance, Risk and Compliance (GRC).

Beveiliging van personeel

Beschrijving

Achtergrondonderzoek en juiste beëindigingsprocedures

Hoe we aan deze eis voldoen

Nieuwe Atlassians zijn wereldwijd verplicht om een antecedentenonderzoek te ondergaan bij het accepteren van een werkaanbod. Een uitgebreide reeks achtergrondcontroles wordt automatisch geactiveerd en uitgevoerd op alle nieuwe medewerkers en op onafhankelijke contractanten.

Onze medewerken en contractanten die toegang hebben tot vertrouwelijke informatie zijn gebonden aan hun arbeidsovereenkomst en vertrouwelijkheidsdocumenten om ervoor te zorgen dat verantwoordelijkheden en plichten op het gebied van informatiebeveiliging geldig blijven na beëindiging of verandering van dienstverband en contractuele relaties.

Beschrijving

Sancties tegen personeelsleden

Hoe we aan deze eis voldoen

Tijdens de onboarding moet elke nieuwe medewerker onze zakelijke gedragscode en het ethisch beleid van het bedrijf erkennen en een volledige training over beveiligingsbewustzijn doen. Er bestaan formele sancties die worden toegepast op personen die niet voldoen aan het vastgestelde beleidslijnen en procedures voor informatiebeveiliging.

Beheer van toegang tot informatie

Beschrijving

Toestemming voor toegang voor medewerkers die met ePHI werken

Hoe we aan deze eis voldoen

Active Directory-rollidmaatschap wordt automatisch toegewezen op basis van de afdeling en het team van een gebruiker en is beperkt tot degenen die deze toegang nodig hebben. Als een gebruiker overstapt naar een ander team, wordt er een waarschuwing gegenereerd die de follow-up en verwijdering van verouderde toegang activeert, waar nodig. Systeem- of service-eigenaren zijn aangewezen als goedkeurders om gebruikerstoegang te verlenen of te wijzigen binnen Active Directory-toegangsniveaus voor verschillende systemen.

Bevoorrechte toegang tot productieomgevingen is beperkt tot geautoriseerde en geschikte gebruikers.

Toegang tot ons interne netwerk en onze tools is beperkt tot geautoriseerde gebruikers via logische toegangsmaatregelen. Elk gebruikersaccount moet:

  • een actief Active Directory-account hebben en
  • lid zijn van de juiste Active Directory-groep.

Beschrijving

Passende verlening van toegang (minst bevoorrechte basis)

Beschrijving

Een sessie beëindigen na een vooraf bepaalde periode zonder activiteit

Hoe we aan deze eis voldoen

Desktop- en mobiele applicaties hebben een maximale time-out voor gebruikerssessies op basis van onze standaardbedieningsprocedures (8 tot 24 uur voor desktopsessies, 30 tot 90 dagen voor mobiele sessies).

Er wordt een screensaver afgedwongen voor zowel macOS- als Windows-eindpunten, waarbij een wachtwoord moet worden ingevoerd om deze te ontgrendelen.

Beheer van incidentrespons

Beschrijving

Auditlogging/detectie (inclusief monitoring van inlogpogingen)

Hoe we aan deze eis voldoen

We bewaren gebeurtenislogs en beveiligen deze tegen verlies en manipulatie. We controleren de toegang tot logs periodiek. We hebben loggen binnen onze AWS-omgeving ingeschakeld en sturen die logs door naar Splunk. We hebben geautomatiseerde waarschuwingen geïmplementeerd voor zowel AWS- als alle HIPAA-gekwalificeerde cloud-gebeurtenissen op basis van bekende en eerdere beveiligingsgebeurtenissen en -incidenten.

We volgen een beoordelingsproces om onze waarschuwingen af te stemmen en te optimaliseren en valse positieven te verwijderen. We hebben een speciale automatiseringsengineer in dienst om het waarschuwingsontwikkelings- en triageproces te stroomlijnen.

Beschrijving

Vermoedelijke of bekende beveiligingsincidenten identificeren en erop reageren. Incidenten en de resultaten ervan beperken en documenteren

Hoe we aan deze eis voldoen

We hebben een organisatiebreed incidentbeheerproces geïmplementeerd, waarbij het beveiligingsteam verantwoordelijk is voor het programma, dat bestaat uit:

  • het opnemen van elke actie, bij het beheer van een incident, in het incidentmanagementsysteem onder een incidentticket. Records moeten het volgende bevatten:
    • starttijd van het incident
    • Incidentomschrijving
    • niveau
    • getroffen services
    • impact
    • aantal getroffen klanten
    • hoofdoorzaak
    • ondernomen acties
    • getroffen SLO's (beïnvloede capaciteiten)
  • problemen, waar mogelijk, associëren met de onderliggende oorzaak en/of ze groeperen in bovenliggende incidenten
  • het voltooien van een Post Incident Review (PIR) na grote en kritieke incidenten

Verantwoordelijkheid voor beveiliging

Beschrijving

Wijs een persoon aan die verantwoordelijk is voor de ontwikkeling en implementatie van het HIPAA-programma voor beveiligingscompliance

Hoe we aan deze eis voldoen

We hebben een specifieke HIPAA-beveiligingsfunctionaris. Onze beveiligingsfunctionaris begrijpt zijn of haar verantwoordelijkheden, de HIPAA-beveiligingsregel en hoe die vereisten van toepassing zijn op onze producten.

Verantwoordelijkheid voor privacy

Beschrijving

Wijs een persoon aan die verantwoordelijk is voor de ontwikkeling en implementatie van het HIPAA-programma voor privacycompliance

Hoe we aan deze eis voldoen

We hebben een toegewijde HIPAA-privacyfunctionaris. Onze privacyfunctionaris begrijpt zijn of haar verantwoordelijkheden, de HIPAA-privacyregel en hoe die vereisten van toepassing zijn op onze producten.

Beveiligingsbewustzijn en training

Beschrijving

Training gebruikersbewustzijn

Hoe we aan deze eis voldoen

Als onderdeel van het Atlassian-programma voor beveiligingsbewustzijn moeten alle medewerkers jaarlijks een training volgen. Daarnaast verspreiden we het hele jaar door beveiligingsgerelateerde bewustmakingsoefeningen en communicatie ad hoc.

Rampenplannen

Beschrijving

Procedures om kritieke bedrijfsprocessen door te laten gaan

Hoe we aan deze eis voldoen

We hebben procedures voor de uitvoering van Disaster Recovery gedefinieerd, herzien en getest. Het beleid beschrijft op hoog niveau het doel, de doelstellingen, de scope, de beoogde hersteltijd, de doelstelling van het herstelpunt en de rollen/verantwoordelijkheden. We testen elk kwartaal formele plannen voor bedrijfscontinuïteit en disaster recovery. Ter ondersteuning van onderdelen van het rampenplan beoordelen we diensten en systemen jaarlijks op het kritieke belang ervan.

We verrichten en testen back-up- en herstelactiviteiten van applicaties, systemen en configuraties die verband houden met de Atlassian-assets in overeenstemming met onze standaard operationele procedures.

Contracten voor zakenpartners

Beschrijving

Contracten voor zakenpartners bevatten voldoende garanties dat je gegevens op de juiste manier worden beschermd door Atlassian en externe leveranciers

Hoe we aan deze eis voldoen

We bieden garanties dat we je informatie op de juiste manier beschermen en je informatie alleen gebruiken of openbaar maken zoals toegestaan of vereist, waar we PHI namens je creëren, ontvangen, onderhouden of verzenden. Deze garanties worden vastgelegd in een contract voor zakenpartners met u. We hebben ook een implementatiegids samengesteld met instructies voor klanten over hoe ze onze services moeten gebruiken en configureren om ervoor te zorgen dat ook zij informatie op de juiste manier beschermen.

Daarnaast zorgen we ervoor dat relevante externe leveranciers je PHI beschermen door hen te verplichten een contract voor zakenpartners met ons te ondertekenen.

Fysieke beveiliging en eindpuntcontroles

Beschrijving

Fysieke faciliteiten en apparatuur beschermen tegen manipulatie of diefstal

Hoe we aan deze eis voldoen

Al onze medewerkers en contractanten krijgen bij het onboarden een beveiligingsbadge om fysieke toegang te krijgen tot een faciliteit. Bij beëindiging en sluiting van een profiel in ons Human Resources Information System trekt ons systeem automatisch fysieke toegang in.

We vaardigen tijdelijke badges uit aan bezoekers op lokale locaties. Bezoekers moeten gastpassen teruggeven bij het verlaten van het gebouw. Als kaarten niet worden geretourneerd, beëindigen we die badges automatisch.

Beschrijving

Fysieke beveiligingen implementeren voor alle werkstations die toegang hebben tot ePHI

Hoe we aan deze eis voldoen

We hebben een ZeroTrust-netwerk geïmplementeerd om alleen toegang toe te staan vanaf bekende apparaten die zijn geregistreerd bij een beheerplatform. We hebben onze toepassingen in beveiligingsniveaus geplaatst, afhankelijk van de gegevens die ze opslaan en de systemen waarmee ze verbinding maken. Dit netwerk met niveaus is als volgt ingedeeld: hoog niveau, laag niveau en open niveau. Het type apparaat en de beveiligingsstatus ervan worden beoordeeld om te bepalen tot welke toepassingen het toegang heeft.

We beheren schijfcodering, wachtwoordvergrendeling en beveiligingspatching op alle macOS- en Windows-laptops.

We hebben USB-apparaten voor massaopslag geconfigureerd als alleen-lezen op alle door Atlassian uitgegeven macOS- en Windows-apparaten.

Beschrijving

Procedures om de definitieve beschikking over ePHi en de hardware waarop het is opgeslagen aan te pakken

Hoe we aan deze eis voldoen

We wissen elke geretourneerde laptop voordat deze opnieuw wordt ingezet of verwijderd. Er is ook een procedure voor verloren/gestolen laptops om te voorkomen dat gegevens worden gestolen.

Beleidsregels en procedures

Beschrijving

Documentatie bewaren gedurende 6 jaar vanaf de aanmaakdatum of vanaf de datum waarop de documentatie voor het laatst van kracht was

Hoe we aan deze eis voldoen

Al ons beleid wordt ten minste jaarlijks beoordeeld door de aangewezen beleidseigenaar en wordt voor onbepaalde tijd behouden. Om een momentopname van ons beleid te bekijken, ga je naar Onze Atlassian-beleidsregels voor beveiliging en technologie.

Ons privacybeleid is hier te vinden.

Beveiliging van transmissie

Beschrijving

Beveiligingsmaatregelen om ervoor te zorgen dat ePHi correct wordt gewijzigd

Hoe we aan deze eis voldoen

We versleutelen alle 'at rest'-gegevens van cloudproducten die voor HIPAA zijn gekwalificeerd. Bovendien versleutelen we gegevens die via openbare netwerken worden verzonden en zorgen we ervoor dat de gegevens de beoogde bestemming bereiken.

Externe gebruikers maken via het SSL-protocol verbinding met voor HIPAA gekwalificeerde cloudproducten via versleuteld verkeer.

Beschrijving

Mechanismen om ePHi te versleutelen wanneer dit passend wordt geacht

Certificering

Op dit moment is er geen certificering met betrekking tot HIPAA. De agentschappen die gezondheidstechnologie certificeren, keuren software niet goed en staan onafhankelijke certificeringsautoriteiten niet toe om zakenpartners of gedekte entiteiten te accrediteren met een HIPAA-attest. Daarom is er geen officiële certificering om te zeggen dat we voldoen aan HIPAA. Onze cloudproducten worden echter jaarlijks onafhankelijk gecontroleerd op de operationele effectiviteit van hun beveiligings-, privacy- en compliancecontroles. Een onafhankelijke certificeringsautoriteit heeft een audit uitgevoerd en bevestigd dat Atlassian over de vereiste controles en praktijken beschikt om ervoor te zorgen dat alle HIPAA-voorschriften worden nageleefd.