HIPAA实施指南
本页为历史用途而保存。有关Smartsheet和HIPAA的最新信息,请访问我们的HIPAA帮助文章.
《健康保险可携性和责任法案》("HIPAA"),包括《促进经济和临床卫生的卫生信息技术》("高科技的)法案,是一项美国法律,适用于涉及医疗保健行业的公司和其他实体,这些实体可能有权访问患者信息(称为“受保护的运行状况信息,或"φ”)。
本HIPAA实施指南适用于安全官、合规官、IT管理员和组织中负责HIPAA实施和合规的其他员工。本指南将允许预期用户实现以符合hipaa的方式使用Smartsheet所需的特性和功能。这些特性和功能仅适用于Smartsheet协同工作管理平台的企业(不包括遗留企业)计划用户;没有hipaa特定的Smartsheet产品或服务。ob欧宝娱乐app手机下载与Smartsheet一起输入的BAA(定义如下)将适用于所有客户计划;所有计划(如果多于一个)将被Smartsheet识别为“客户”以符合hipaa的方式使用,并且必须在企业(不包括遗留企业)级别购买。
此处使用但未定义的任何大写术语均应具有HIPAA或管理使用Smartsheet协同工作管理平台的协议中指定的定义(“认购协议”)。
共同责任模式。
Smartsheet在客户和Smartsheet之间采用分担责任的模式。Smartsheet将提供物理、组织和技术控制,以确保客户内容的安全性、完整性和保密性。
客户有责任确定其是否是HIPAA下的承保实体或业务伙伴(以及是否需要与Smartsheet签订业务伙伴协议),并确保其按照HIPAA使用Smartsheet的订阅服务。受HIPAA约束并希望使用PHI订阅服务的Smartsheet客户必须签署Smartsheet业务合作伙伴协议(BAA)。
客户也对其客户内容负责;责任可能包括按照HIPAA的要求履行个人的访问权、修改权和会计权。Smartsheet收到的任何有关PHI的要求均应提交给客户。Smartsheet将为客户提供适当的支持,以促进客户对请求的响应。
存储为客户内容。
使用订阅服务存储的所有客户内容均以加密形式(传输中和静止中)进行维护。客户内容通过安全控制免受未经授权的访问,提供相当于逻辑隔离的保护。Smartsheet与Amazon Web Services (AWS)签订了业务合作协议,使客户能够以符合hipaa的方式在订阅服务中存储文件附件。如果"用户"选择通过第三方(即Box)存储附件,"用户"应全权负责确保适当的商业伙伴协议已到位。Smartsheet不访问“客户内容”,除非:(a)“客户”要求提供“客户支持”;以及(b) Smartsheet在必要时(i)遵守适用法律或法律程序,或(ii)对涉嫌滥用、欺诈或违反《认购协议》的行为进行调查、防止或采取行动。
使用smartsheet和。
Smartsheet提供可自定义设置,以确保“客户内容”的安全性、使用性和访问性符合“客户”的要求,并在“Smartsheet”和“客户”之间得到BAA的许可。请注意,为BAA或本指南的目的,外接组件不是基础订阅服务的一部分,Smartsheet不声明外接组件的实现或使用符合HIPAA。确保客户使用Smartsheet符合HIPAA的义务是客户的责任。一些可操作的建议可帮助客户解决订阅服务中有关HIPAA合规性的特定问题,包括:
提供客户用户信息.客户可以创建一个“客户用户”可见的登录页面。此登录页面可以包含适当使用和管理“客户内容”以保持符合hipaa的信息和提醒。如果您需要帮助为您的员工开发登录页,您的系统管理员可以联系分配给您帐户的Smartsheet代表,但可能需要收取专业服务费。请看"自定义欢迎信息和升级界面,以获取更多信息。
管理访问.客户负责管理“客户用户”的登录凭证,并确保“客户用户”密码(由“客户用户”确定)符合复杂度标准,并及时轮换。客户还必须保护客户用户身份和凭证(姓名、电子邮件地址和/或密码)以及可用于访问其订阅服务中托管的PHI的工作站。客户同意,一旦发现任何未经授权的访问或使用,立即通知Smartsheet。如果"用户"希望使用单点登录,Smartsheet应在向"用户"提供订阅服务时支持SAML SSO 2.0,并继续支持SAML SSO的后续版本。请看"为Smartsheet的单点登录配置SAML 2”,以进一步了解如何使用单点登录功能。请看"查看登录记录"和"管理认证选项”,以了解如何监察登入及使用订阅服务的详情及指示。
管理客户用户.客户指定的系统管理员将有能力和责任限制客户用户对包含PHI的表、报告和视图的访问。请看"安全控制”,以进一步了解如何使用系统管理员的控制功能。为了管理客户用户对订阅服务中不同表的访问,系统管理员将负责创建单独的工作空间,用于组织表、报告、模板和子文件夹。请看"管理团队、业务或企业计划中的用户"和"工作空间的概述,以了解如何利用工作环境的详细信息和指导。“客户”可以通过设置自动配置来确保“客户用户”只使用企业计划下的帐户,自动配置将控制“客户”域下帐户的创建。请看"用户Auto-Provisioning,以了解SysAdmin如何确保在正确的企业计划下创建帐户的详细信息和说明。
转移客户用户和内容.客户用户可被邀请加入其他计划,或要求转到其他计划。如果客户用户从客户的计划转移到另一个计划,该客户用户“拥有”的任何表格也将被转移。“客户”的系统管理员有权请求、接受或拒绝将“客户”用户转移到“客户”的计划或从“客户”的计划转移。"用户"全权负责管理"订阅服务"所启用的"用户内容"的所有传输,包括计划之间"用户内容"的任何传输。因此,系统管理员可能需要限制客户用户(和/或他们的客户内容)在计划之间的转移,以确保PHI不会转移到没有适当的HIPAA控制的计划。请看"删除用户”,以了解有关移走及转移纸张的详情及指引。
管理共享控件.通过自定义工作空间,SysAdmin将能够确定哪些工作表、报告和视图可以共享和发布,哪些项目不能共享和发布(例如,那些包含PHI的工作表)。请看"发布Smartsheet项目”、“共享表,”“共享权限级别的“发布选项”部分。全局帐号设置,以了解如何使用表格共享功能的详细资料和说明。SysAdmin(s)还将能够控制客户用户将能够向哪些域共享表、报告和视图。SysAdmin(s)将需要建立一个批准的域共享列表,以限制客户用户的共享能力。请看"安全控制,以了解如何使用域共享选项的详细信息和说明。
监控活动.除了上面描述的登录监视之外,获得许可的SysAdmin(s)和客户用户将能够通过活动日志和单元格历史记录监视表。客户用户可以向工作表中添加最后修改的日期列,以便监视工作表中PHI的年龄。为免生疑问,遵守HIPAA数据保留要求是客户的责任,而不是Smartsheet的责任。请看"对带有活动日志的工作表所做的跟踪历史更改”、“查看登录记录, "和"查看Cell历史记录”,以了解如何利用Smartsheet中提供的监控活动功能的详细信息和说明。请看"列类型,以了解如何使用修改后的日期列的详细信息和说明。或者,客户可以通过使用单点登录功能,在其自己的域(
使用限制。
允许患者访问Smartsheet.客户不应以患者创建用户帐户或客户表的合作者的方式使用订阅服务。如果客户想从患者那里获得数据,应该通过使用表格来完成。请看"制作表格以收集表格中的信息”,以了解如何使用表格收集资料的详情及指示。
传输内容.如果系统管理员允许客户用户在订阅服务中共享PHI,客户用户应该只使用共享功能,该功能仅向表发送链接。用户不应使用发送附件功能,该功能将表格数据导入PDF或Excel文件中进行传输。Smartsheet加密用户之间的通信,但附件本身没有类似的保护。客户希望通过电子邮件发送PHI的用户可以将数据导出到单独的文档中,并通过其正常的公司传输协议将文档通过电子邮件发送。
使用附加组件.客户有责任确保在共享或传输PHI之前,对任何附加组件(包括连接器和合作伙伴应用程序)采取了适当的符合hipaa的措施。在使用订阅服务或与订阅服务集成的任何应用程序共享PHI之前,客户应自行决定是否需要向第三方提供BAA或任何其他数据保护。此外,Smartsheet建议客户在使用PHI时不要使用实验室应用程序。实验室应用程序是预发布功能,任何使用实验室应用程序的风险和责任均由用户自行承担。
安全实践和报告。
安全实践.Smartsheet实现了与SANS研究所、国家标准与技术研究所(NIST)和/或互联网安全中心(CIS)建议或业界广泛使用的后续标准一致的加固和配置要求。
笔测试.除高级应用程序外,Smartsheet使用外部安全专家对订阅服务进行渗透测试。此类测试(a)应至少每年进行一次;(b)将由独立的第三方安全专业人员执行,费用由Smartsheet自行选择;(c)将产生一份穿透测试报告(“笔芯测试报告”)。
系统审计.Smartsheet每年使用外部审计师来验证其围绕订阅服务(不包括高级应用程序)的安全措施的充分性。此审核:(a)包括自上一测量期结束以来整个测量期的测试;(b)将根据AICPA SOC2标准或实质上等同于AICPA SOC2的其他替代标准执行;(c)将由独立的第三方安全专业人员执行,费用由Smartsheet自行选择;(d)将产生审计报告(“审计报告”)。
查阅报告.笔试报告和审计报告应客户书面要求提供,但不超过每年一次,但须遵守双方同意的有关报告的保密协议。为免生疑问,向客户提供的任何此类报告均为Smartsheet的机密信息。
持续的支持。
Smartsheet员工接受过与符合hipaa标准的客户合作的培训。提醒客户尽量减少与Smartsheet共享PHI,但如果无法避免,客户应利用上述功能在不再需要时终止共享。
额外的资源。欧宝体育app官方888
这些额外的资源虽然不是hipaa特欧宝体育app官方888有的,但可以帮助您了解订阅服务是如何在考虑隐私、机密性和数据可用性的情况下设计的。
本Smartsheet HIPAA实施指南仅供参考。Smartsheet不打算将本指南中的信息或建议构成法律建议。每位客户应酌情独立评估其对订阅服务的使用情况,以支持其法律合规义务。Smartsheet对本文件中的信息不作任何明示、暗示或法定的保证。
问题:
任何其他问题都应该直接问privacy@smartsheet.com.
最后更新:2017年12月28日