Smartsheet y la HIPAA

Aplica a

Smartsheet

Este artículo de ayuda tiene por finalidad ayudar a los oficiales de seguridad, oficiales de cumplimiento, administradores de TI y otros empleados de clientes de Smartsheet ("usted", "suyo", etc.) que son elegibles para utilizar los servicios de suscripción de Smartsheet para almacenar o procesar Información de Salud Protegida (o "PHI") de manera tal de permitirles cumplir con las obligaciones asumidas en virtud de la Ley de portabilidad y responsabilidad de los seguros de salud ("HIPAA"), conforme se la enmiende, incluida la Ley de tecnología de información de la salud para la salud clínica y económica ("HITECH").

Este artículo no tiene por finalidad proporcionar asesoramiento legal. En cambio, toda la información que se brinda aquí es para que usted la revise como parte de sus propios esfuerzos de cumplimiento con la HIPAA. Los términos con mayúscula inicial que se mencionan, pero no se definen, en el presente tendrán las definiciones que se les hayan otorgado en virtud de la HIPAA o el acuerdo que rija el uso que usted hace de los servicios en línea con suscripción de Smartsheet ("Acuerdo de suscripción").

HIPAA

La HIPAA es una ley federal en la que se establecen los estándares nacionales para regular la manera en que los planes de salud, cámaras de compensación de atención de la salud y proveedores de atención de la salud ("Entidades cubiertas") acceden, utilizan o divulgan información de los pacientes denominada "Información de salud protegida" o "PHI"). Los estándares nacionales establecidos de conformidad con la HIPAA también pueden extenderse a subcontratistas que prestan servicios a las Entidades cubiertas ("Asociados de negocios") o sus subcontratistas ("Subcontratistas de asociados comerciales") y que interactúan con la PHI en su nombre. La HIPAA cuenta con el respaldo del Departamento de Salud y Servicios Humanos de los EE. UU.

Descripción del servicio

Smartsheet ofrece a sus clientes servicios y aplicaciones en línea con suscripción (juntos, los "Servicios de suscripción") que se proporcionan a clientes elegibles con medidas de seguridad adicionales diseñadas para que los clientes puedan cumplir con las obligaciones asumidas en virtud de la HIPAA. Smartsheet implementa requisitos de solidificación y configuración en consonancia con el enfoque adoptado por las recomendaciones del SANS Institute, el Instituto Nacional de Estándares y Tecnología (NIST) y/o el Centro de Seguridad de Internet (CIS), o estándares sucesivos que se utilicen ampliamente en la industria, diseñados para permitirle cumplir con sus obligaciones en virtud de la HIPAA. Todos los datos, adjuntos de archivos, texto, imágenes, informes, información personal u otros contenidos que usted o sus Usuarios suban o envíen a los Servicios en línea, y que Smartsheet procese en su nombre se conservan bajo un formato cifrado (tanto en tránsito como en reposo). Los datos que se envían a los Servicios en línea cuentan con protección contra el acceso no autorizado, otorgada mediante controles de seguridad que ofrecen una protección equivalente a una división lógica. Smartsheet ha celebrado o celebrará acuerdos de asociación de negocios con sus subcontratistas que procesan datos del cliente, lo que le permite almacenar adjuntos de archivos que contengan PHI en los Servicios de suscripción, de manera tal de permitirle cumplir con las obligaciones que ha asumido en virtud de la HIPAA. Si decide integrar o almacenar archivos adjuntos por medio de un tercero, usted es responsable exclusivo de garantizar que se implementen los controles y acuerdos correspondientes, y que se cumpla con ellos. Smartsheet es agnóstico de datos respecto de su tratamiento y del tipo o sustancia de los datos que usted envía a los Servicios. Smartsheet accederá o analizará únicamente la sustancia de sus datos (a) conforme usted lo solicite para el aprovisionamiento de los servicios o el soporte y (b) según sea necesario para que Smartsheet (i) cumpla con los procedimientos jurídicos o legales aplicables; o (ii) investigue, prevenga o inicie acciones contra presuntos abusos, fraudes o incumplimientos con el Acuerdo de suscripción.

Organización de terceros (3PAO)

 

Smartsheet utiliza asesores de terceros (3PAO) para corroborar la pertinencia de sus medidas de seguridad en lo que respecta a los Servicios de suscripción bajo una modalidad anual. Esta auditoría: (a) incluirá las pruebas del periodo de medición completo desde la finalización del periodo de medición anterior; (b) se llevará a cabo según lo establecido en los estándares SOC2 de AICPA, u otros estándares alternativos que sean equivalentes a SOC2 de AICPA; (c) se llevará a cabo por profesionales de seguridad de un tercero independiente a elección y costo de Smartsheet; y (d) tendrá como resultado la creación de un informe de auditoría ("Informe de auditoría") en relación con los Servicios de suscripción, que Smartsheet pondrá a disposición general.

Contra presentación de una solicitud por escrito y con una frecuencia que no deberá superar una (1) vez por año, se pondrá a disposición un Informe de auditoría según se acuerde mutuamente en los términos de no divulgación que rigen el Informe de auditoría. Para evitar todo tipo de duda, dicho Informe de auditoría que se ponga a su disposición se considerará información confidencial de Smartsheet.

Responsabilidad del cliente

Con el objetivo de almacenar la PHI en los Servicios en línea, debe tener un plan Empresarial (no incluye el plan Empresarial de legado) y haber celebrado un Acuerdo de asociación de negocios ("BAA") de Smartsheet. Únicamente los usuarios de planes Empresariales pueden implementar las funciones y funcionalidades necesarias para utilizar Smartsheet de manera tal de cumplir con las obligaciones que ha asumido en virtud de la HIPAA. Si determina que requiere de capacidades de auditoría de usuarios más detalladas, le recomendamos aprovechar el Informe de eventos o tener acceso a Smartsheet Advance.

Modelo de responsabilidad compartida

Smartsheet utiliza un modelo de responsabilidad compartida de Software como servicio ("SaaS") entre usted y Smartsheet. Smartsheet es responsable de proporcionar las medidas necesarias en nuestra plataforma para que usted pueda cumplir con sus requisitos de cumplimiento regulatorio. Estas medidas incluyen el hecho de proporcionar la restauración de los sistemas de información al incorporar las capacidades de protección, detección y reacción, tal como se describe en la figura 1 a continuación. Para acceder a instrucciones y recomendaciones específicas de control, consulte la sección Responsabilidad del cliente de configurar los ajustes de seguridad a continuación.

Usted es responsable de determinar si se requiere un acuerdo de asociación de negocios con Smartsheet y asegurarse de que tanto usted como sus Usuarios utilicen los Servicios de suscripción en cumplimiento con las obligaciones asumidas en virtud de la HIPAA. Esto incluye comprender e implementar los controles de seguridad personalizables proporcionados por Smartsheet que usted considere necesarios para garantizar el cumplimiento con las obligaciones asumidas en virtud de la HIPAA.

Modelo de responsabilidad compartida de Smartsheet para SaaS

Responsabilidad del cliente de configurar los ajustes de seguridad.

Smartsheet proporciona ajustes personalizables diseñados para garantizar la seguridad de sus datos. Estos ajustes han sido diseñados para garantizar que cualquier PHI que se envíe a los Servicios de suscripción se utilice y/o se acceda a ella de conformidad con sus instrucciones y/o según lo permita el BAA celebrado entre usted y Smartsheet. La obligación de asegurarse de que el uso de los Servicios en línea le permita cumplir con las obligaciones de la HIPAA es su exclusiva responsabilidad. Consulte el artículo de ayuda Configurar controles de seguridad para un plan Empresarial y otros artículos de ayuda relacionados para más detalles e instrucciones.

Recursos adicionales

Los recursos adicionales que se mencionan abajo, con un enlace, si bien no son específicos de la HIPAA, podrían ayudarlo a comprender cómo está diseñado el Servicio de suscripción teniendo siempre en cuenta la privacidad, confidencialidad y disponibilidad de los datos. También puede visitar nuestra página Smartsheet para el sector de la atención médica y ponerse en contacto con el equipo de atención médica para obtener más información.

Este artículo de ayuda es solo para uso informativo. Cada cliente debería evaluar de manera independiente su propio uso de los Servicios de suscripción, según corresponda, para cumplir con sus obligaciones legales. SMARTSHEET NO OFRECE GARANTÍA ALGUNA, EXPRESA, IMPLÍCITA O REGULATORIA, EN CUANTO A LA INFORMACIÓN EN ESTE DOCUMENTO.