Close
Logo HIPAA

Celem niniejszej tabeli jest ułatwienie organizacjom zobowiązanym do przestrzegania ustawy Health Insurance Portability and Accountability Act (HIPAA) zrozumienia, w jaki sposób spełniamy jej wymogi.

Jeśli masz już umowę zawartą z firmą Atlassian lub chcesz dowiedzieć się więcej na temat zastosowania tych wymogów w swojej organizacji, skontaktuj się z nami.

Wymaganie

Opis

Spełnienie tego wymogu przez Atlassian

Zarządzanie ryzykiem

Opis

Ograniczanie obszarów ryzyka i luk w zabezpieczeniach, przeprowadzanie okresowych ocen technicznych i nietechnicznych w odpowiedzi na zmiany środowiskowe lub operacyjne

Spełnienie tego wymogu przez Atlassian

Co roku przeprowadzamy ocenę luk w zabezpieczeniach, aktualizujemy naszą analizę ryzyka w zakresie bezpieczeństwa i uzyskujemy atest HIPAA nadawany przez niezależną instytucję certyfikującą.

Przeprowadzamy oceny ryzyka, które obejmują jego identyfikację, ocenę, przypisanie, akceptację, usuwanie, a także inne stosowne działania związane z zarządzaniem, aby zyskać pewność, że nie przekraczamy uzgodnionych poziomów ryzyka i spełniamy stosowne wymogi prawne i regulacyjne. Stale poddajemy ocenie opracowane środki kontroli i strategie ograniczania ryzyka, uwzględniając zalecane zmiany w środowisku kontroli. Prowadzimy tabelę obszarów ryzyka i środków kontroli w naszym narzędziu do administracji, zarządzania ryzykiem i zapewniania zgodności (Governance, Risk, and Compliance, GRC).

Bezpieczeństwo pracowników

Opis

Weryfikacja kandydatów i właściwe procedury rozwiązywania umów

Spełnienie tego wymogu przez Atlassian

W chwili przyjęcia oferty zatrudnienia nowi członkowie zespołu Atlassian na całym świecie muszą przejść sprawdzenie przeszłości. Kompleksowy zestaw sprawdzeń jest uruchamiany automatycznie i obejmuje wszystkie nowo zatrudnione osoby, a także niezależnych kontrahentów.

Nasi pracownicy i kontrahenci, którzy mają dostęp do poufnych informacji, są zobowiązani do wypełniania zobowiązań związanych z bezpieczeństwem informacji zawartych w umowach o pracę i umowach o zachowaniu poufności, które pozostają ważne także po zakończeniu lub zmianie zatrudnienia oraz ustaniu stosunków umownych.

Opis

Sankcje wobec pracowników

Spełnienie tego wymogu przez Atlassian

W trakcie wdrażania każdy nowy pracownik musi zatwierdzić zasady naszego Kodeksu postępowania i etyki w biznesie, a także odbyć szkolenie uświadamiające z zakresu bezpieczeństwa. Przewiduje i stosuje się sankcje wobec osób, które nie przestrzegają ustanowionych zasad i procedur dotyczących bezpieczeństwa informacji.

Zarządzanie dostępem do informacji

Opis

Autoryzacja dostępu dla pracowników pracujących z chronionymi informacjami zdrowotnymi w formie elektronicznej

Spełnienie tego wymogu przez Atlassian

Członkostwo roli usługi Active Directory jest przypisywane automatycznie na podstawie działu oraz zespołu użytkownika i jest ograniczone do osób, dla których taki dostęp jest niezbędny. W przypadku przeniesienia użytkownika do innego zespołu następuje wygenerowanie alertu, który wyzwala kolejne czynności, w tym, w stosownych przypadkach, usunięcie nieaktualnych uprawnień dostępu. Właściciele systemów lub usług zostali wyznaczeni jako osoby zatwierdzające przyznanie lub zmianę uprawnień dostępu dla użytkowników do różnych systemów na poziomach dostępu usługi Active Directory.

Uprzywilejowany dostęp do środowisk produkcyjnych jest ograniczony tylko do odpowiednich, autoryzowanych użytkowników.

Dostęp do naszej sieci wewnętrznej i narzędzi jest ograniczony do autoryzowanych użytkowników za pomocą logicznych środków kontroli dostępu. Każde konto użytkownika musi:

  • mieć aktywne konto usługi Active Directory, oraz
  • należeć do odpowiedniej grupy usługi Active Directory.

Opis

Właściwy sposób udzielania dostępu (na zasadzie na zasadzie niezbędnych minimalnych uprawnień)

Opis

Kończenie sesji po wstępnie ustalonym czasie braku aktywności

Spełnienie tego wymogu przez Atlassian

Aplikacje komputerowe i mobilne mają ustawiony maksymalny limit czasu sesji użytkownika zgodny z naszymi standardowymi procedurami operacyjnymi (od 8 do 24 godzin w przypadku sesji na komputerach i od 30 do 90 dni w przypadku sesji na urządzeniach mobilnych).

Na wszystkich punktach końcowych z systemem MacOS i Windows wymuszane jest stosowanie wygaszacza ekranu, a jego odblokowanie wymaga podania hasła.

Zarządzanie reakcjami na incydenty

Opis

Rejestrowanie/wykrywanie danych audytowych (w tym monitorowanie prób logowania)

Spełnienie tego wymogu przez Atlassian

Prowadzimy dzienniki zdarzeń i zabezpieczamy je przed utratą lub manipulacją. Okresowo sprawdzamy dostęp do dzienników. Włączyliśmy funkcję rejestrowania w naszym środowisku AWS, a uzyskane dzienniki kierujemy do rozwiązania Splunk. Na podstawie znanych i zaistniałych w przeszłości zdarzeń oraz incydentów dotyczących bezpieczeństwa wdrożyliśmy zautomatyzowane alerty dla zdarzeń w środowisku AWS oraz wszystkich zdarzeń związanych ze środowiskiem Cloud spełniających kryteria HIPAA.

Stosujemy proces przeglądu w celu dostosowywania i optymalizacji naszych alertów oraz usuwania wyników fałszywie pozytywnych. Dedykowany inżynier ds. automatyzacji usprawnia proces tworzenia i klasyfikowania alertów.

Opis

Identyfikowanie domniemanych i znanych incydentów związanych z bezpieczeństwem oraz reagowanie na nie. Ograniczanie i dokumentowanie incydentów oraz ich skutków.

Spełnienie tego wymogu przez Atlassian

Wdrożyliśmy w całej organizacji proces zarządzania incydentami, z uwzględnieniem powołania zespołu ds. bezpieczeństwa odpowiedzialnego za program, który obejmuje:

  • Rejestrowanie każdej czynności podejmowanej w ramach zarządzania incydentem w systemie zarządzania incydentami w formie zgłoszenia dotyczącego incydentu. Rejestry muszą zawierać następujące informacje:
    • czas rozpoczęcia incydentu,
    • Opis incydentu
    • ważność,
    • dotknięte usługi,
    • wpływ,
    • liczba dotkniętych klientów,
    • główna przyczyna,
    • podjęte działania,
    • dotknięte SLO (wpływ na możliwości).
  • W miarę możliwości powiązanie problemów z ich główną przyczyną i/lub pogrupowanie ich w incydenty nadrzędne.
  • Przeprowadzenie przeglądu po incydencie (PIR) po wystąpieniu poważnych i krytycznych incydentów.

Obowiązki związane z bezpieczeństwem

Opis

Wyznaczenie osoby odpowiedzialnej za opracowanie i wdrożenie programu zapewniania zgodności z wymogami HIPAA w zakresie bezpieczeństwa

Spełnienie tego wymogu przez Atlassian

Wyznaczyliśmy dedykowanego specjalistę ds. zapewniania zgodności z wymogami HIPAA w zakresie bezpieczeństwa. Zna on swoje obowiązki, zasady dotyczące bezpieczeństwa przewidziane w ustawie HIPAA oraz sposób stosowania tych wymogów do naszych produktów.

Obowiązek ochrony prywatności

Opis

Wyznaczenie osoby odpowiedzialnej za opracowanie i wdrożenie programu zapewniania zgodności z wymogami HIPAA w zakresie ochrony prywatności

Spełnienie tego wymogu przez Atlassian

Wyznaczyliśmy dedykowanego specjalistę ds. zapewniania zgodności z wymogami HIPAA w zakresie ochrony prywatności. Zna on swoje obowiązki, zasady dotyczące ochrony prywatności przewidziane w ustawie HIPAA oraz sposób stosowania tych wymogów do naszych produktów.

Szkolenia i świadomość w zakresie bezpieczeństwa

Opis

Szkolenia zwiększające świadomość użytkowników

Spełnienie tego wymogu przez Atlassian

W ramach programu zwiększania świadomości w zakresie bezpieczeństwa w Atlassian wszyscy pracownicy są zobowiązani do corocznego udziału w szkoleniu. Ponadto przez cały rok rozpowszechniamy doraźnie ćwiczenia i informacje mające na celu zwiększanie świadomości w zakresie bezpieczeństwa.

Planowanie awaryjne

Opis

Procedury umożliwiające kontynuowanie procesów biznesowych o znaczeniu krytycznym

Spełnienie tego wymogu przez Atlassian

Opracowaliśmy procedury odzyskiwania awaryjnego, które następnie zostały poddane przeglądowi i przetestowane. W zasadach opisano ogólnie przeznaczenie, cele, zakres, docelowy czas odzyskiwania, docelowy punkt odzyskiwania, a także role/obowiązki. Co kwartał przeprowadzamy oficjalne testy planów zapewnienia ciągłości działalności biznesowej i odzyskiwania awaryjnego. W ramach uzupełniania elementów składowych planu awaryjnego co roku oceniamy krytyczność usług i systemów.

Przeprowadzamy i testujemy operacje wykonywania kopii zapasowych oraz przywracania aplikacji, systemów i konfiguracji powiązanych z zasobami Atlassian zgodnie z naszymi standardowymi procedurami operacyjnymi.

Umowy o współpracy biznesowej

Opis

Umowy o współpracy biznesowej zawierają wystarczające gwarancje, że Twoje dane będą odpowiednio chronione zarówno przez firmę Atlassian, jak i dostawców zewnętrznych

Spełnienie tego wymogu przez Atlassian

Gwarantujemy, że będziemy odpowiednio chronić Twoje dane i wykorzystywać lub ujawniać te dane wyłącznie w sposób dozwolony lub wymagany w każdym przypadku, gdy tworzymy, otrzymujemy, przechowujemy lub przekazujemy chronione informacje zdrowotne w Twoim imieniu. Te gwarancje są ujęte w zawieranych z Tobą umowach o współpracy biznesowej. Opracowaliśmy również Przewodnik dotyczący wdrożenia, który zawiera instrukcje dla klientów, w jaki sposób powinni konfigurować nasze usługi i z nich korzystać, aby mieć pewność, że odpowiednio chronią informacje.

Dodatkowo zapewniamy bezpieczeństwo Twoich chronionych informacji zdrowotnych u dostawców zewnętrznych, wymagając od nich podpisania z nami umów o współpracy biznesowej.

Bezpieczeństwo fizyczne i środki kontroli punktów końcowych

Opis

Zabezpieczenie obiektów fizycznych i sprzętu przed manipulacją lub kradzieżą

Spełnienie tego wymogu przez Atlassian

Wszyscy nasi pracownicy i kontrahenci otrzymują identyfikator podczas onboardingu, która pozwala im uzyskać fizyczny dostęp do obiektu. W przypadku rozwiązania umowy i zamknięcia profilu w naszym kadrowym systemie informatycznym dostęp fizyczny zostanie automatycznie odwołany.

Gościom odwiedzającym lokalne obiekty wydajemy identyfikatory tymczasowe. Goście muszą je zwracać przy wyjściu z budynku. Jeśli identyfikator nie zostanie zwrócony, nastąpi jego automatyczne unieważnienie.

Opis

Wdrożenie zabezpieczeń fizycznych wszystkich stacji roboczych z dostępem do chronionych informacji zdrowotnych w formie elektronicznej

Spełnienie tego wymogu przez Atlassian

Wdrożyliśmy sieć opartą na architekturze Zero Trust, aby zezwalać na dostęp wyłącznie znanym urządzeniom zarejestrowanym na naszej platformie do zarządzania. Osadziliśmy nasze aplikacje w odpowiednich warstwach zabezpieczeń, w zależności od przechowywanych w nich danych oraz systemów, z którymi się łączą. Struktura tej sieci obejmuje następujące warstwy: wysoką, niską i otwartą. Na podstawie oceny rodzaju urządzenia i jego stanu zabezpieczeń ustala się aplikacje, do których może ono uzyskać dostęp.

Zarządzamy szyfrowaniem dysków, blokowaniem haseł i stosowaniem poprawek zabezpieczeń na wszystkich laptopach z systemem macOS i Windows.

Na wszystkich komputerach z systemem MacOS i Windows wydanych przez Atlassian skonfigurowaliśmy urządzenia pamięci masowej USB jako tylko do odczytu.

Opis

Procedury dotyczące ostatecznego usunięcia chronionych informacji zdrowotnych w formie elektronicznej oraz utylizacji urządzeń, na których są one przechowywane

Spełnienie tego wymogu przez Atlassian

Czyścimy dane każdego zwróconego laptopa przed jego ponownym użyciem lub utylizacją. Obowiązuje również procedura an wypadek zagubienia/kradzieży laptopa, która zapewnia, że dane nie zostaną skradzione.

Zasady i procedury

Opis

Zachowywanie dokumentacji przez okres 6 lat od daty utworzenia lub ostatniej daty obowiązywania

Spełnienie tego wymogu przez Atlassian

Wszystkie nasze zasady co najmniej raz w roku przechodzą przegląd przeprowadzany przez wyznaczonego właściciela zasad i są zachowywane bezterminowo. Skrócony opis naszych zasad można znaleźć na stronie Zasady Atlassian dotyczące technologii i bezpieczeństwa.

Nasza Polityka prywatności jest dostępna tutaj.

Bezpieczeństwo przekazywania danych

Opis

Środki bezpieczeństwa zapobiegające nieuprawnionej modyfikacji chronionych informacji zdrowotnych w formie elektronicznej

Spełnienie tego wymogu przez Atlassian

Szyfrujemy dane wszystkich produktów chmurowych zgodnych z normą HIPAA podczas przechowywania. Dodatkowo szyfrujemy dane przesyłane za pośrednictwem sieci publicznych i upewniamy się, czy dane dotarły do właściwej lokalizacji docelowej.

Użytkownicy zewnętrzni łączą się z produktami chmurowymi zgodnymi z normą HIPAA, korzystając z ruchu szyfrowanego za pośrednictwem protokołu SSL.

Opis

Mechanizmy szyfrowania w stosownych przypadkach chronionych informacji zdrowotnych w formie elektronicznej

Certyfikat

Obecnie nie jest prowadzona certyfikacja w zakresie zgodności z ustawą HIPAA. Agencje zajmujące się certyfikacją technologii medycznych nie zatwierdzają oprogramowania ani nie upoważniają niezależnych jednostek certyfikujących do przyznawania partnerom biznesowym lub innym stosownym podmiotom certyfikatu poświadczającego zgodność z ustawą HIPAA. W związku z tym nie ma oficjalnego certyfikatu, która potwierdzałaby naszą zgodność z ustawą HIPAA. Jednak nasze produkty Cloud każdego roku są poddawane niezależnej weryfikacji pod kątem efektywności operacyjnej środków kontroli bezpieczeństwa, ochrony prywatności i zgodności z przepisami. Niezależna jednostka certyfikująca przeprowadziła audyt i potwierdziła, że firma Atlassian stosuje środki kontroli i praktyki wymagane w celu zapewnienia przestrzegania wszystkich przepisów ustawy HIPAA.