合规性·HIPAA
符合 HIPAA 标准的电话系统, 包括 BAA.
Letsdial 如何处理医疗保健客户的受保护健康信息 (PHI)、我们应用的保障措施以及您方面的共同责任期望。
健康保险流通与责任法案准备好
保障措施
安全规则要求的三个保障类别。
§ 164.308
行政
- 指定安全官员负责 HIPAA 计划。
- 员工筛选、基于角色的培训以及签署保密协议。
- 事件响应操作手册经过审查和测试。
- 在任何子处理者处理 PHI 之前进行供应商风险评估。
§ 164.310
身体的
- PHI 存储在具有 24/7 人员配备和生物识别进入控制的数据中心。
- 工程师工作站上没有生产 PHI;访问是基于浏览器的。
- 由云提供商管理的硬件生命周期;经认证在寿命结束时销毁。
§ 164.312
技术的
- 使用每租户密钥信封进行传输中加密(TLS 1.3、SRTP)和静态加密。
- 基于角色的访问控制、强制 MFA、自动会话超时。
- 每个 PHI 访问的防篡改审核日志,可导出到您的 SIEM。
- 对存储的录音和文字记录进行完整性检查。
PHI 生命周期
受保护的健康信息如何通过平台移动。
- 阶段01
被捕获
PHI 通过电话、消息或文字记录进入。
- 阶段02
已存储
写入所选区域的加密存储。
- 阶段03
加密
静态 AES-256,具有每个租户的信封密钥。
- 阶段04
已访问
仅授权用户;记录每次访问。
- 阶段05
处置
根据您的保留政策和 BAA 进行清除。
共同责任
谁因什么而陷入困境。
责任让拨号你
对传输中和静态的 PHI 进行加密
配置 HIPAA 工作区
维护 BAA
配置访问角色和组策略
对员工进行 PHI 处理培训
选择记录什么和不记录什么
每次访问的防篡改审核日志
根据审核日志警报采取行动
违规通知
如果 PHI 涉及安全事件,会发生什么情况。
- 步骤01
检测
我们的安全团队会对事件进行分类并确认是否涉及 PHI。
- 步骤02
评估
受影响记录的范围、根本原因和遏制状态均已记录。
- 步骤03
通知
受影响的涵盖实体将在违规通知规则要求的时间内收到通知,不得无理拖延。
- 步骤04
补救措施
交付永久修复、交付审核日志并共享事件后审查。
接触
