Zgodność · HIPAA
System telefoniczny zgodny z HIPAA, BAA w zestawie.
Jak Letdial obsługuje chronione informacje zdrowotne (PHI) klientów opieki zdrowotnej, stosowane przez nas zabezpieczenia oraz oczekiwania dotyczące wspólnej odpowiedzialności z Twojej strony.
Zabezpieczenia
Trzy kategorie zabezpieczeń wymagane przez regułę bezpieczeństwa.
Administracyjny
- Wyznaczony funkcjonariusz ds. bezpieczeństwa odpowiedzialny za program HIPAA.
- Kontrola pracowników, szkolenia oparte na rolach i podpisane umowy o zachowaniu poufności.
- Elementy Runbook reagowania na zdarzenia zostały sprawdzone i przetestowane.
- Ocena ryzyka dostawcy, zanim jakikolwiek podwykonawca przetwarzania zajmie się PHI.
Fizyczny
- Informacje PHI przechowywane w centrach danych z całodobowym personelem i biometryczną kontrolą wejścia.
- Brak produkcyjnego PHI na stanowiskach inżynierskich; dostęp odbywa się poprzez przeglądarkę.
- Cykl życia sprzętu zarządzany przez dostawcę chmury; potwierdzone zniszczenie po zakończeniu okresu użytkowania.
Techniczny
- Szyfrowanie w trakcie przesyłania (TLS 1.3, SRTP) i w spoczynku z kopertą klucza przypadającą na dzierżawcę.
- Kontrola dostępu oparta na rolach, obowiązkowa usługa MFA, automatyczne przekroczenie limitu czasu sesji.
- Dziennik kontroli każdego dostępu PHI z możliwością eksportu do SIEM.
- Sprawdza integralność przechowywanych nagrań i transkrypcji.
Umowa o współpracy biznesowej
Podpisana umowa BAA jest zawarta w każdym płatnym planie, bez dodatku dla przedsiębiorstw.
Ustawa BAA definiuje nasze obowiązki jako partnera biznesowego HIPAA, gdy przetwarzamy PHI w Twoim imieniu, co obejmuje ograniczenia użytkowania, zabezpieczenia, przepływ podwykonawców, powiadamianie o naruszeniach i wypowiedzenie umowy. Przestrzenie robocze sklasyfikowane w ramach opieki zdrowotnej są zapewnione w celu przechowywania informacji medycznych w infrastrukturze spełniającej wymagania ustawy HIPAA.
Cykl życia PHI
W jaki sposób chronione informacje zdrowotne przemieszczają się po platformie.
- Etap 01
Złapany
PHI wchodzi poprzez połączenie, wiadomość lub transkrypcję.
- Etap 02
Przechowywane
Zapisano w zaszyfrowanym magazynie w wybranym regionie.
- Etap 03
Zaszyfrowane
AES-256 w stanie spoczynku z kluczami kopertowymi dla poszczególnych dzierżawców.
- Etap 04
Dostęp
Tylko autoryzowani użytkownicy; każdy dostęp jest rejestrowany.
- Etap 05
Usunięte
Usunięte zgodnie z polityką przechowywania i umową BAA.
Wspólna odpowiedzialność
Kto jest na haczyku, za co.
Powiadomienie o naruszeniu
Co się stanie, jeśli PHI będzie zaangażowany w zdarzenie związane z bezpieczeństwem?
- Krok 01
Wykrywanie
Nasz zespół ds. bezpieczeństwa dokonuje selekcji zdarzenia i potwierdza, czy w zdarzeniu brały udział PHI.
- Krok 02
Ocena
Dokumentowany jest zakres dotkniętych zapisów, pierwotna przyczyna i stan zabezpieczenia.
- Krok 03
Powiadomienie
Podmioty objęte ochroną są powiadamiane bez nieuzasadnionej zwłoki i w terminie wymaganym przez Zasadę powiadamiania o naruszeniu.
- Krok 04
Remediacja
Wysłano trwałą poprawkę, dostarczono dziennik audytu i udostępniono przegląd po zdarzeniu.
Kontakt
Kupujący opiekę zdrowotną? Porozmawiaj z prawdziwym człowiekiem.
Telefon
+1 917-779-0187Poczta
3 Shenton Way, #15-05, Shenton House, 068805 Singapur
