Close
Логотип HIPAA

Эта таблица составлена, чтобы помочь учреждениям, которые должны соблюдать Закон об ответственности и переносе данных о страховании здоровья граждан (Health Insurance Portability and Accountability Act, HIPAA), разобраться в том, как мы выполняем требования этого закона.

Если у вас есть действующий договор с Atlassian или вы хотите узнать больше о том, как эти условия могут применяться к договору, свяжитесь с нами.

Требование

Описание

Как мы выполняем это требование

Управление рисками

Описание

Снижение рисков и устранение уязвимостей, регулярные технические и нетехнические оценки в ответ на изменения в среде или методах деятельности

Как мы выполняем это требование

Ежегодно мы выполняем оценку недостатков, обновляем анализ рисков безопасности и проходим аттестацию HIPAA от независимого сертифицирующего органа.

Мы проводим оценки рисков, которые включают идентификацию, оценку, назначение ответственных лиц, принятие, устранение и другие соответствующие управленческие действия, чтобы гарантировать работу в рамках согласованного уровня приемлемого риска и соответствующих правовых и нормативных требований. Мы постоянно оцениваем разработку средств управления и стратегий смягчения последствий инцидентов, а также даем рекомендации по изменениям в среде управления. Мы поддерживаем актуальность матрицы рисков и средств управления в рамках нашего инструмента управления, оценки рисков и обеспечения соответствия требованиям (GRC).

Безопасность персонала

Описание

Проверка анкетных данных и надлежащие процедуры увольнения

Как мы выполняем это требование

Новые сотрудники Atlassian по всему миру проходят проверку анкетных данных после того, как примут предложение о трудоустройстве. Полный набор проверок биографических данных запускается автоматически и проводится для всех новых сотрудников, а также независимых подрядчиков.

Наши сотрудники и подрядчики, имеющие доступ к конфиденциальной информации, обязаны соблюдать требования трудовых договоров и документов о конфиденциальности. Это позволяет гарантировать, что обязанности и ответственность в сфере информационной безопасности останутся в силе после увольнения или смены места работы, а также после прекращения договорных отношений.

Описание

Санкции в отношении сотрудников

Как мы выполняем это требование

В ходе адаптации каждый новый сотрудник должен принять политику Кодекса делового поведения и этики нашей компании, а также пройти обучение по вопросам безопасности. Предусмотрены официальные санкции, которые применяются в отношении лиц, не соблюдающих установленные политики и процедуры информационной безопасности.

Управление доступом к информации

Описание

Разрешение доступа для сотрудников, работающих с электронной защищенной информацией о состоянии здоровья (ePHI)

Как мы выполняем это требование

Роль Active Directory автоматически назначается в зависимости от отдела и команды пользователя и выдается только тем сотрудникам, которым нужен такой доступ. Если пользователь переходит в другую команду, создается оповещение, которое запускает дальнейшие действия и удаление устаревших прав доступа там, где это необходимо. Владельцы систем или служб выполняют обязанности утверждающих лиц, которые предоставляют или изменяют права пользователей в пределах уровней доступа Active Directory для различных систем.

Привилегированный доступ к производственным средам предоставляется только уполномоченным и назначенным пользователям.

Доступ к нашей внутренней сети и инструментам обеспечивается с помощью логических мер доступа и предоставляется только уполномоченным пользователям. Каждый аккаунт пользователя должен:

  • иметь активный аккаунт Active Directory;
  • принадлежать к соответствующей группе Active Directory.

Описание

Надлежащее предоставление доступа (на основе минимальных привилегий)

Описание

Прерывание сеанса по истечении определенного времени бездействия

Как мы выполняем это требование

Приложения для компьютеров и мобильных устройств имеют максимальную продолжительность сеанса пользователя, которая задана в соответствии с нашими стандартными рабочими процедурами (от 8 до 24 часов для компьютеров и от 30 до 90 дней для мобильных устройств).

Для конечных точек macOS и Windows применяется скринсейвер с необходимостью вводить пароль для разблокировки.

Управление реагированием на инциденты

Описание

Проверка журналов и обнаружение (включая отслеживание попыток входа в систему)

Как мы выполняем это требование

Мы храним журналы событий и защищаем их от потери или порчи. Мы регулярно проверяем доступ к журналам. Мы включили ведение журналов в нашей среде AWS и отправляем эти журналы в Splunk. Мы внедрили автоматические оповещения для AWS, а также для событий Jira и Confluence Cloud на основе известных и произошедших событий и инцидентов в сфере безопасности.

Мы применяем процедуру проверки, благодаря которой можем настраивать и оптимизировать оповещения и устранять ложные срабатывания. Мы назначили инженера по автоматизации, ответственного за оптимизацию процесса разработки и сортировки оповещений.

Описание

Выявление предполагаемых или известных инцидентов безопасности и реагирование на них, а также смягчение последствий, документирование инцидентов и их последствий

Как мы выполняем это требование

Мы внедрили по всей организации процесс управления инцидентами, за который отвечает команда безопасности и который включает в себя следующее.

  • Запись каждого действия при управлении инцидентом в соответствующую заявку в системе управления инцидентами. Записи должны включать:
    • время начала инцидента;
    • описание инцидента;
    • опасность;
    • затронутые услуги;
    • последствия;
    • количество затронутых клиентов;
    • основная причина;
    • предпринятые действия;
    • затронутые SLO (возможности).
  • Соотнесение проблем (где это возможно) с основной причиной и (или) их группирование по родительским инцидентам.
  • Выполнение проверки после инцидента (PIR) для серьезных и критических инцидентов.

Ответственность за безопасность

Описание

Определение лица, ответственного за разработку и внедрение программы соответствия требованиям безопасности HIPAA

Как мы выполняем это требование

Мы назначили менеджера по вопросам безопасности HIPAA. Он понимает свои обязанности, правила безопасности HIPAA и то, как эти требования применяются к нашим продуктам.

Ответственность за конфиденциальность

Описание

Определение лица, ответственного за разработку и внедрение программы соответствия требованиям конфиденциальности HIPAA

Как мы выполняем это требование

Мы назначили менеджера по вопросам конфиденциальности HIPAA. Он понимает свои обязанности, правила конфиденциальности HIPAA и то, как эти требования применяются к нашим продуктам.

Информация и обучение по вопросам безопасности

Описание

Обучение пользователей по вопросам безопасности

Как мы выполняем это требование

Все сотрудники компании обязаны ежегодно проходить обучение в рамках программы осведомленности о безопасности Atlassian. Кроме того, в течение года мы организовываем специальные упражнения по повышению осведомленности и распространяем информацию по безопасности.

Планирование действий в чрезвычайных ситуациях

Описание

Процедуры обеспечения непрерывности критически важных бизнес-процессов

Как мы выполняем это требование

Мы определили, проанализировали и протестировали процедуры аварийного восстановления. Эта политика на общем уровне описывает цель, задачи, объем, целевое время восстановления, целевую точку восстановления и роли/обязанности. Мы ежеквартально тестируем официальные планы обеспечения непрерывности бизнеса и аварийного восстановления. В целях поддержки компонентов плана действий в чрезвычайных ситуациях мы ежегодно оцениваем важность услуг и систем.

Мы выполняем и проверяем резервное копирование и восстановление приложений, систем и конфигураций, связанных с ресурсами Atlassian, в соответствии с нашими стандартными операционными процедурами.

Договоры с деловыми партнерами

Описание

Соглашения о деловом партнерстве содержат удовлетворительные гарантии того, что данные будут надлежащим образом защищены Atlassian и сторонними поставщиками

Как мы выполняем это требование

Мы гарантируем, что будем надлежащим образом защищать вашу информацию и использовать или раскрывать ее только в соответствии с разрешениями или требованиями во всех случаях, когда мы создаем, получаем, храним или передаем охраняемую информацию о состоянии здоровья (PHI) от вашего имени. Эти гарантии отражены в соглашениях о деловом партнерстве. Мы также составили руководство по внедрению, в котором содержатся инструкции для клиентов по использованию и настройке наших сервисов, чтобы обеспечить надлежащую защиту информации.

Кроме того, мы гарантируем защиту PHI со стороны соответствующих сторонних поставщиков. Для этого они подписывают с нами обязательное соглашение о деловом партнерстве.

Физическая безопасность и средства управления конечными точками

Описание

Защита физических объектов и оборудования от порчи или кражи

Как мы выполняем это требование

Все наши сотрудники и подрядчики при регистрации получают пропуск безопасности, который предоставляет физический доступ к объекту. После расторжения договора и закрытия профиля в нашей информационной системе управления персоналом наша система автоматически отменяет физический доступ.

Мы выдаем временные пропуска посетителям местных объектов. Посетители возвращают гостевые пропуска при выходе из здания. Если посетитель не вернул пропуск, мы автоматически аннулируем его действие.

Описание

Внедрение физических средств защиты для всех рабочих станций с доступом к ePHI

Как мы выполняем это требование

Мы реализовали сеть «нулевого доверия», чтобы разрешить доступ только с известных устройств, зарегистрированных в платформе управления. Мы распределили наши приложения между уровнями безопасности в зависимости от хранимых в них данных и систем, к которым они подключаются. В этой сети есть следующие уровни: высокий, низкий и открытый. Тип устройства и средства его безопасности оцениваются, чтобы определить, к каким приложениям оно может получить доступ.

Мы управляем шифрованием дисков, блокировкой паролей и исправлением уязвимостей на всех ноутбуках с macOS и Windows.

Мы настроили запоминающие устройства USB на доступ только для чтения на всех компьютерах с macOS и Windows, которые выдают в Atlassian.

Описание

Процедуры окончательной утилизации ePHI и оборудования, на котором хранится такая информация

Как мы выполняем это требование

Мы полностью стираем данные со всех возвращаемых ноутбуков, прежде чем повторно развернуть или утилизировать их. Также мы предусмотрели процедуру для утерянных/украденных ноутбуков, чтобы гарантировать, что данные не будут украдены.

Политики и процедуры

Описание

Хранение документации в течение 6 лет с даты ее создания или последнего вступления в силу

Как мы выполняем это требование

Все наши политики проверяются назначенным владельцем не реже одного раза в год и хранятся бессрочно. Их краткий обзор доступен на странице о политиках Atlassian в сфере безопасности и технологий.

С нашей Политикой конфиденциальности можно ознакомиться здесь.

Безопасность при передаче

Описание

Меры безопасности, гарантирующие, что данные ePHI не подвергнутся ненадлежащим изменениям

Как мы выполняем это требование

Для облачных продуктов, соответствующих требованиям HIPAA, мы шифруем все данные при хранении. Кроме того, мы шифруем данные, передаваемые по публичным сетям, и проверяем их получение в месте назначения.

Внешние пользователи подключаются к облачным продуктам, соответствующим требованиям HIPAA, через зашифрованный трафик по протоколу SSL.

Описание

Использование механизмов шифрования ePHI в тех случаях, где это считается целесообразным

Сертификация

В настоящее время в отношении HIPAA нет сертификации. Агентства, сертифицирующие медицинские технологии, не занимаются одобрением ПО и не наделяют независимые сертификационные органы полномочиями по аккредитации деловых партнеров или соответствующих организаций в рамках аттестации HIPAA. По этой причине не существует официального сертификата, который подтверждает, что мы соблюдаем требования HIPAA. Однако наши облачные продукты ежегодно проходят независимую проверку в отношении эффективности средств обеспечения безопасности, конфиденциальности и соответствия требованиям. Независимый сертифицирующий орган провел аудит и подтвердил, что компания Atlassian внедрила необходимые практики и средства управления в целях соблюдения всех правил HIPAA.

В основе деятельности Atlassian лежит стремление завоевать и сохранить ваше доверие. Мы понимаем, что для вас важно, чтобы мы не только обеспечивали безопасность ваших данных, но и соблюдали законы и нормативные акты. Мы соблюдаем прецеденты, изложенные в Правилах безопасности, конфиденциальности и уведомления о нарушениях от HIPAA, чтобы вы могли спокойно вести дела в безопасной и надежной среде.