コンプライアンス・HIPAA
HIPAA対応電話システム、 BAAが含まれています.
letsdial が医療顧客の保護医療情報 (PHI) をどのように処理するか、当社が適用する保護措置、およびお客様側で期待される共有責任。
ヒパア準備ができて
安全対策
セキュリティ ルールで必要な 3 つの保護カテゴリ。
§ 164.308
管理的
- HIPAA プログラムを担当する指定されたセキュリティ担当者。
- 従業員のスクリーニング、役割ベースのトレーニング、および署名された機密保持契約。
- インシデント対応ランブックがレビューされ、テストされました。
- 副処理者が PHI を処理する前にベンダー リスクを評価します。
§ 164.310
物理的な
- PHI は、24 時間年中無休のスタッフ配置と生体認証による入場管理を備えたデータセンターに保管されます。
- エンジニアのワークステーションには本番環境の PHI はありません。アクセスはブラウザベースです。
- ハードウェアのライフサイクルはクラウド プロバイダーによって管理されます。寿命末期の破壊が認定されています。
§ 164.312
テクニカル
- テナントごとのキー エンベロープによる転送中 (TLS 1.3、SRTP) および保存中の暗号化。
- ロールベースのアクセス制御、必須の MFA、自動セッション タイムアウト。
- すべての PHI アクセスの改ざん防止監査ログ。SIEM にエクスポート可能。
- 保存された録音とトランスクリプトの整合性をチェックします。
業務提携契約
署名済みの BAA はすべての有料プランに含まれていますが、エンタープライズ アドオンは含まれません。
BAA は、当社がお客様に代わって PHI を処理する際の HIPAA ビジネス アソシエイトとしての当社の義務を定義しており、使用制限、保護措置、下請業者のフローダウン、違反通知、契約解除が含まれます。ヘルスケアに分類されたワークスペースは、HIPAA 適格インフラストラクチャ内に PHI を維持するためにプロビジョニングされています。
PHI ライフサイクル
保護された医療情報がプラットフォーム内をどのように移動するか。
- ステージ01
捕らえられた
PHI は電話、メッセージ、またはトランスクリプトを通じて入力します。
- ステージ02
保存済み
選択したリージョンの暗号化されたストレージに書き込まれます。
- ステージ03
暗号化された
テナントごとのエンベロープ キーを使用した保存時の AES-256。
- ステージ04
アクセス済み
許可されたユーザーのみ。すべてのアクセスがログに記録されます。
- ステージ05
処分しました
保持ポリシーと BAA に従ってパージされます。
責任の共有
誰が何のために巻き込まれているのか。
責任レッツダイヤルあなた
転送中および保存中の PHI の暗号化
HIPAA ワークスペースのプロビジョニング
BAAの維持
アクセス役割とグループポリシーの構成
PHI の取り扱いに関する従業員のトレーニング
何を記録するか、何を記録しないかを選択する
すべてのアクセスの改ざん防止監査ログ
監査ログアラートに対処する
違反通知
PHI がセキュリティ イベントに関与した場合はどうなりますか。
- ステップ01
検出
当社のセキュリティ チームはイベントを優先順位付けし、PHI が関与していたかどうかを確認します。
- ステップ02
評価
影響を受けるレコードの範囲、根本原因、封じ込めステータスが文書化されます。
- ステップ03
通知
影響を受ける対象事業体には、不当な遅延なく、違反通知ルールで要求される期間内に通知されます。
- ステップ04
修復
恒久的な修正が提供され、監査ログが提供され、インシデント後のレビューが共有されます。
接触
