Deze grafiek is ontworpen om organisaties die zich moeten houden aan de Health Insurance Portability and Accountability Act (HIPAA) te helpen begrijpen hoe we de HIPAA-naleving ondersteunen.
Als je een bestaand Atlassian-contract hebt of meer wilt weten over hoe deze vereisten van toepassing kunnen zijn op je organisatie, neem dan contact met ons op.
Vereiste | Beschrijving | Hoe we aan deze eis voldoen |
---|---|---|
Beschrijving Risico's en kwetsbaarheden verminderen, periodieke technische en niet-technische evaluaties uitvoeren als reactie op veranderingen in het milieu of de bedrijfsvoering | Hoe we aan deze eis voldoen Jaarlijks doen we een hiatenbeoordeling, werken we onze veiligheidsrisicoanalyse bij en verkrijgen we een HIPAA-attest van een onafhankelijke certificeringsautoriteit. | |
Beschrijving Achtergrondonderzoek en juiste beëindigingsprocedures | Hoe we aan deze eis voldoen Nieuwe Atlassians zijn wereldwijd verplicht om een antecedentenonderzoek te ondergaan bij het accepteren van een werkaanbod. Een uitgebreide reeks achtergrondcontroles wordt automatisch geactiveerd en uitgevoerd op alle nieuwe medewerkers en op onafhankelijke contractanten. | |
Beschrijving Sancties tegen personeelsleden | Hoe we aan deze eis voldoen Tijdens de onboarding moet elke nieuwe medewerker onze zakelijke gedragscode en het ethisch beleid van het bedrijf erkennen en een volledige training over beveiligingsbewustzijn doen. Er bestaan formele sancties die worden toegepast op personen die niet voldoen aan het vastgestelde beleidslijnen en procedures voor informatiebeveiliging. | |
Beheer van toegang tot informatie | Beschrijving Toestemming voor toegang voor medewerkers die met ePHI werken | Hoe we aan deze eis voldoen Active Directory-rollidmaatschap wordt automatisch toegewezen op basis van de afdeling en het team van een gebruiker en is beperkt tot degenen die deze toegang nodig hebben. Als een gebruiker overstapt naar een ander team, wordt er een waarschuwing gegenereerd die de follow-up en verwijdering van verouderde toegang activeert, waar nodig. Systeem- of service-eigenaren zijn aangewezen als goedkeurders om gebruikerstoegang te verlenen of te wijzigen binnen Active Directory-toegangsniveaus voor verschillende systemen.
|
Beschrijving Passende verlening van toegang (minst bevoorrechte basis) | ||
Beschrijving Een sessie beëindigen na een vooraf bepaalde periode zonder activiteit | Hoe we aan deze eis voldoen Desktop- en mobiele applicaties hebben een maximale time-out voor gebruikerssessies op basis van onze standaardbedieningsprocedures (8 tot 24 uur voor desktopsessies, 30 tot 90 dagen voor mobiele sessies). | |
Beschrijving Auditlogging/detectie (inclusief monitoring van inlogpogingen) | Hoe we aan deze eis voldoen We bewaren gebeurtenislogs en beveiligen deze tegen verlies en manipulatie. We controleren de toegang tot logs periodiek. We hebben loggen binnen onze AWS-omgeving ingeschakeld en sturen die logs door naar Splunk. We hebben geautomatiseerde waarschuwingen geïmplementeerd voor zowel AWS- als alle HIPAA-gekwalificeerde cloud-gebeurtenissen op basis van bekende en eerdere beveiligingsgebeurtenissen en -incidenten. | |
Beschrijving Vermoedelijke of bekende beveiligingsincidenten identificeren en erop reageren. Incidenten en de resultaten ervan beperken en documenteren | Hoe we aan deze eis voldoen We hebben een organisatiebreed incidentbeheerproces geïmplementeerd, waarbij het beveiligingsteam verantwoordelijk is voor het programma, dat bestaat uit:
| |
Verantwoordelijkheid voor beveiliging | Beschrijving Wijs een persoon aan die verantwoordelijk is voor de ontwikkeling en implementatie van het HIPAA-programma voor beveiligingscompliance | Hoe we aan deze eis voldoen We hebben een specifieke HIPAA-beveiligingsfunctionaris. Onze beveiligingsfunctionaris begrijpt zijn of haar verantwoordelijkheden, de HIPAA-beveiligingsregel en hoe die vereisten van toepassing zijn op onze producten. |
Verantwoordelijkheid voor privacy | Beschrijving Wijs een persoon aan die verantwoordelijk is voor de ontwikkeling en implementatie van het HIPAA-programma voor privacycompliance | Hoe we aan deze eis voldoen We hebben een toegewijde HIPAA-privacyfunctionaris. Onze privacyfunctionaris begrijpt zijn of haar verantwoordelijkheden, de HIPAA-privacyregel en hoe die vereisten van toepassing zijn op onze producten. |
Beveiligingsbewustzijn en training | Beschrijving Training gebruikersbewustzijn | Hoe we aan deze eis voldoen Als onderdeel van het Atlassian-programma voor beveiligingsbewustzijn moeten alle medewerkers jaarlijks een training volgen. Daarnaast verspreiden we het hele jaar door beveiligingsgerelateerde bewustmakingsoefeningen en communicatie ad hoc. |
Beschrijving Procedures om kritieke bedrijfsprocessen door te laten gaan | Hoe we aan deze eis voldoen We hebben procedures voor de uitvoering van Disaster Recovery gedefinieerd, herzien en getest. Het beleid beschrijft op hoog niveau het doel, de doelstellingen, de scope, de beoogde hersteltijd, de doelstelling van het herstelpunt en de rollen/verantwoordelijkheden. We testen elk kwartaal formele plannen voor bedrijfscontinuïteit en disaster recovery. Ter ondersteuning van onderdelen van het rampenplan beoordelen we diensten en systemen jaarlijks op het kritieke belang ervan. | |
Contracten voor zakenpartners | Beschrijving Contracten voor zakenpartners bevatten voldoende garanties dat je gegevens op de juiste manier worden beschermd door Atlassian en externe leveranciers | Hoe we aan deze eis voldoen We bieden garanties dat we je informatie op de juiste manier beschermen en je informatie alleen gebruiken of openbaar maken zoals toegestaan of vereist, waar we PHI namens je creëren, ontvangen, onderhouden of verzenden. Deze garanties worden vastgelegd in een contract voor zakenpartners met u. We hebben ook een implementatiegids samengesteld met instructies voor klanten over hoe ze onze services moeten gebruiken en configureren om ervoor te zorgen dat ook zij informatie op de juiste manier beschermen. |
Beschrijving Fysieke faciliteiten en apparatuur beschermen tegen manipulatie of diefstal | Hoe we aan deze eis voldoen Al onze medewerkers en contractanten krijgen bij het onboarden een beveiligingsbadge om fysieke toegang te krijgen tot een faciliteit. Bij beëindiging en sluiting van een profiel in ons Human Resources Information System trekt ons systeem automatisch fysieke toegang in. | |
Beschrijving Fysieke beveiligingen implementeren voor alle werkstations die toegang hebben tot ePHI | Hoe we aan deze eis voldoen We hebben een ZeroTrust-netwerk geïmplementeerd om alleen toegang toe te staan vanaf bekende apparaten die zijn geregistreerd bij een beheerplatform. We hebben onze toepassingen in beveiligingsniveaus geplaatst, afhankelijk van de gegevens die ze opslaan en de systemen waarmee ze verbinding maken. Dit netwerk met niveaus is als volgt ingedeeld: hoog niveau, laag niveau en open niveau. Het type apparaat en de beveiligingsstatus ervan worden beoordeeld om te bepalen tot welke toepassingen het toegang heeft. | |
Beschrijving Procedures om de definitieve beschikking over ePHi en de hardware waarop het is opgeslagen aan te pakken | Hoe we aan deze eis voldoen We wissen elke geretourneerde laptop voordat deze opnieuw wordt ingezet of verwijderd. Er is ook een procedure voor verloren/gestolen laptops om te voorkomen dat gegevens worden gestolen. | |
Beleidsregels en procedures | Beschrijving Documentatie bewaren gedurende 6 jaar vanaf de aanmaakdatum of vanaf de datum waarop de documentatie voor het laatst van kracht was | Hoe we aan deze eis voldoen Al ons beleid wordt ten minste jaarlijks beoordeeld door de aangewezen beleidseigenaar en wordt voor onbepaalde tijd behouden. Om een momentopname van ons beleid te bekijken, ga je naar Onze Atlassian-beleidsregels voor beveiliging en technologie. |
Beschrijving Beveiligingsmaatregelen om ervoor te zorgen dat ePHi correct wordt gewijzigd | Hoe we aan deze eis voldoen We versleutelen alle 'at rest'-gegevens van cloudproducten die voor HIPAA zijn gekwalificeerd. Bovendien versleutelen we gegevens die via openbare netwerken worden verzonden en zorgen we ervoor dat de gegevens de beoogde bestemming bereiken. | |
Beschrijving Mechanismen om ePHi te versleutelen wanneer dit passend wordt geacht |
Certificering
Op dit moment is er geen certificering met betrekking tot HIPAA. De agentschappen die gezondheidstechnologie certificeren, keuren software niet goed en staan onafhankelijke certificeringsautoriteiten niet toe om zakenpartners of gedekte entiteiten te accrediteren met een HIPAA-attest. Daarom is er geen officiële certificering om te zeggen dat we voldoen aan HIPAA. Onze cloudproducten worden echter jaarlijks onafhankelijk gecontroleerd op de operationele effectiviteit van hun beveiligings-, privacy- en compliancecontroles. Een onafhankelijke certificeringsautoriteit heeft een audit uitgevoerd en bevestigd dat Atlassian over de vereiste controles en praktijken beschikt om ervoor te zorgen dat alle HIPAA-voorschriften worden nageleefd.