Close
HIPAA 徽标

此图表旨在帮助必须遵守《健康保险便携性和责任法案》(HIPAA) 的机构了解我们如何满足 HIPAA 的要求。

如果您已有 Atlassian 合同,或者想进一步了解这些条款如何应用于您的合同,请联系我们

要求

描述

我们如何满足此要求

风险管理

描述

减少风险和漏洞,定期进行技术和非技术评估以应对环境或运营变化

我们如何满足此要求

我们每年都会进行差距评估,更新我们的安全风险分析,并从独立的认证机构获得 HIPAA 认证。

我们进行各类风险评估,包括识别、评估、分配、验收、补救和其他相关管理活动,以确保我们在约定的风险偏好和相关的法律和监管要求范围内运营。我们不断评估控制和缓解策略的设计,包括针对控制环境提出更改建议。我们在治理、风险与合规 (GRC) 工具中维护着一个风险和控制矩阵。

劳动力安全

描述

背景调查和适当的解雇程序

我们如何满足此要求

Atlassian 全球新员工在接受工作邀请后,都需要完成背景调查。系统会自动触发一套全面的背景调查,并对所有新员工以及独立承包商进行调查。

有权访问机密信息的员工和承包商受其雇佣合同和保密契约的约束,以确保信息安全责任和义务在终止、雇佣关系变更以及合同关系终止后仍然有效。

描述

对员工的制裁

我们如何满足此要求

入职期间,每位新员工都必须了解我们公司的商业行为准则和道德政策,并完成安全意识培训。对不遵守既定信息安全政策和程序的个人实行正式制裁。

信息访问管理

描述

使用 ePHI 的员工的访问授权

我们如何满足此要求

Active Directory 角色成员资格是根据用户的部门和团队自动分配的,并且仅限于需要此类访问权限的用户。如果用户转移到另一个团队,则会生成警报,在适当情况下触发跟进并删除原有访问权限。指定系统或服务负责人为批准人,以在各种系统的 Active Directory 访问级别内授予或修改用户访问权限。

对生产环境的特权访问仅限于获得授权的相关用户。

通过逻辑访问措施,只有授权用户才能访问我们的内部网络和工具。每个用户帐户必须:

  • 有一个活跃的 Active Directory 帐户,并且
  • 是相应 Active Directory 群组的成员。

描述

适当授予访问权限(以最小特权为基础)

描述

在预先确定的非活动时间后终止会话

我们如何满足此要求

根据我们的标准操作程序,桌面和移动应用具有最长用户会话超时时间(桌面会话为 8 到 24 小时,移动会话为 30 到 90 天)。

MacOS 和 Windows 端点都强制使用屏幕保护程序,需要输入密码才能解锁。

事件响应管理

描述

审计日志记录/检测(包括监控登录尝试)

我们如何满足此要求

我们保留并保护事件日志,以防丢失或被篡改。我们会定期审查对日志的访问权限。我们已在 AWS 环境中启用日志记录,并将这些日志定向到 Splunk。我们已根据已知和之前的安全事件和事件,为 AWS 以及 Jira 和 Confluence Cloud 事件部署自动警报。

我们维护有一个审核流程,以调整和优化我们的警报,并消除误报。我们有专门的自动化工程师来简化警报开发和分类流程。

描述

识别可疑或已知的安全事件并做出响应。缓解并记录事件及其结果

我们如何满足此要求

我们已实施全组织事件管理流程,由安全团队负责该计划,其中包括:

  • 管理事件时,将所有操作记录到某一事件工作单下的事件管理系统中。记录必须包括:
    • 事件开始时间
    • 事件描述
    • 严重性
    • 受影响的服务
    • 影响
    • 受影响的客户数量
    • 根本原因
    • 采取的措施
    • 受影响的 SLO(受影响的功能)
  • 在可能的情况下,将问题与根本原因相关联并/或将它们分组为父项事件
  • 在发生重大和关键事件后完成事件后审查 (PIR)

安全责任

描述

确定制定和实施 HIPAA 安全合规计划的负责人

我们如何满足此要求

我们有专门的 HIPAA 安全官。我们的安全官员了解自己的责任、HIPAA 安全规则以及这些要求如何适用于我们的产品。

隐私责任

描述

确定制定和实施 HIPAA 隐私合规计划的负责人

我们如何满足此要求

我们有专门的 HIPAA 隐私官。我们的隐私官了解自己的责任、HIPAA 隐私规则以及这些要求如何适用于我们的产品。

安全意识和培训

描述

用户意识培训

我们如何满足此要求

作为 Atlassian 安全意识计划的一部分,所有员工都必须每年完成培训。此外,我们还全年展开与安全相关的意识练习和临时沟通。

应急规划

描述

使关键业务流程得以延续的程序

我们如何满足此要求

我们已定义、审查和测试灾难恢复执行程序。该策略以较高层次描述了目的、目标、范围、恢复时间目标、恢复点目标和角色/职责。我们每季度会对正式的业务连续性和灾难恢复计划进行一次测试。为了支持应急计划的各组成部分,我们每年会评估服务和系统的关键程度。

我们根据标准操作程序执行并测试与 Atlassian 资产相关的应用、系统和配置的备份和恢复。

业务关联合同

描述

《业务关联协议》包含令人满意的保证,即您的数据将受到 Atlassian 和第三方供应商的适当保护

我们如何满足此要求

我们保证,我们将合理保护您的信息,并且仅在我们代表您创建、接收、维护或传输 PHI 时在允许或要求的情况下使用或披露您的信息。这些保证详见与您签订的《业务关联协议》。我们还制定了《实施指南》,向客户说明他们应如何使用和配置我们的服务,以确保他们也能妥善保护信息。

此外,我们还会要求相关第三方供应商与我们签署《业务关联协议》,以此来保护您的 PHI。

物理安全和端点控制

描述

保护物理设施和设备免遭篡改或盗窃

我们如何满足此要求

我们所有员工和承包商入职时都会获得安全徽章,以便获取设施的物理访问权限。在我们的人力资源信息系统中终止和关闭个人资料后,我们的系统会自动撤消物理访问权限。

我们会向本地站点的访客颁发临时徽章。访客必须在离开该建筑物时归还访客通行证。如果没有归还,我们会自动终止这些徽章的权限。

描述

为所有接入 ePHI 的工作站实施物理防护

我们如何满足此要求

我们已经实施了零信任网络,仅允许从注册到管理平台的已知设备进行访问。我们已将应用置于安全层中,具体取决于它们存储的数据和连接的系统。该分层网络包括:高层、低层和开放层。对设备类型及其安全状况进行评估,以确定其可以访问哪些应用。

我们在所有 macOS 和 Windows 笔记本电脑上管理磁盘加密、密码锁定和安全补丁。

我们已在所有 Atlassian 发行的 macOS 和 Windows 计算机上将 USB 大容量存储设备配置为只读。

描述

处理 ePHI 及其存储硬件的最终处置程序

我们如何满足此要求

在重新部署或处置退回的笔记本电脑之前,我们会擦除其中的数据。此外,我们还配备了笔记本电脑丢失/被盗程序,以确保数据不会失窃。

政策和程序

描述

自文档创建之日起或最后生效之日起,将文档保留 6 年

我们如何满足此要求

我们的所有政策至少每年都会由指定的政策负责人进行审核,并无限期保留。如需查看我们的政策快照,请访问我们的 Atlassian 安全和技术政策

请点击此处查看我们的隐私政策。

传输安全

描述

确保 ePHI 不会遭受不当修改的安全措施

我们如何满足此要求

我们对所有符合 HIPAA 资质的 Cloud 产品静态数据进行加密。此外,我们会对通过公共网络传输的数据进行加密,并确保数据到达预定目的地。

外部用户通过 SSL 协议使用加密流量连接到符合 HIPAA 资格的 Cloud 产品。

描述

在认为合适的情况下对 ePHI 进行加密的机制

认证

目前,还没有与 HIPAA 相关的认证。对健康状态技术进行认证的机构不批准软件,也不会授权独立的认证机构对具有 HIPAA 认证的商业伙伴或受保实体进行认证。因此,没有官方认证能够表明我们符合 HIPAA 要求。但是,我们的云产品每年都会针对安全、隐私和合规控制的运营有效性进行独立验证。一家独立的认证机构已完成相关审计,并确认 Atlassian 具有必要的控制措施和实践,以确保遵守所有 HIPAA 法规。

在 Atlassian,获取并保持您的信任是我们工作的重中之重。我们明白,您需要确信我们不仅可以保护您的数据安全,同时还遵守法律和法规。我们遵守 HIPAA 安全、隐私和违规通知规则中概述的先例,从而为您提供一个安全可靠的环境,以便您安心开展业务。