Smartsheet y la HIPAA

En este artículo de ayuda, se describe en términos generales cómo se gestionan y protegen los Servicios autorizados para manejar Información de salud protegida (PHI), de una manera que le permita cumplir con sus obligaciones de conformidad con la Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA), y sus enmiendas, incluida la Ley de Tecnología de la Información Médica para la Salud Económica y Clínica (HITECH).

¿Quién puede usar esto?

Planes:

  • Enterprise
  • Smartsheet Advance Package

Permisos:

Solo los usuarios del plan Empresarial tienen la capacidad de implementar las características y funcionalidades de Smartsheet necesarias para cumplir con las obligaciones en virtud de la HIPAA.

Find out if this capability is included in Smartsheet Regions or Smartsheet Gov.

Smartsheet ofrece servicios en línea basados en suscripciones (Servicios de suscripción), con tipos de planes específicos designados como Servicios autorizados para manejar PHI (enumerados a continuación). Los clientes de Smartsheet pueden usar los Servicios autorizados para manejar PHI en planes compatibles con el fin de almacenar o procesar Información de salud protegida.

Los clientes solo pueden cargar la PHI en los Servicios de suscripción si (1) utilizan los Servicios autorizados para manejar PHI y si (2) firmaron un Acuerdo de Sociedad Comercial (BAA) con Smartsheet.

Este artículo no constituye, ni tiene la intención de constituir, asesoramiento legal. El objetivo de este artículo es que consulte toda la información proporcionada como parte de sus esfuerzos de cumplimiento de la HIPAA. Si tiene alguna pregunta o desea firmar un Acuerdo de Sociedad Comercial (BAA) con Smartsheet, contacte a su gerente de cuentas de Smartsheet o complete el formulario Smartsheet para el sector de la atención médica.

Servicios autorizados para manejar PHI

  • Plan Empresarial de Smartsheet (sujeto a las limitaciones que se indican a continuación)

Servicios no autorizados para manejar PHI

  • Versiones de prueba de Smartsheet, plan Pro, plan de Negocios
  • Miembros de EAP en cualquier plan
  • Brandfolder
  • Smartsheet University, Comunidad y otros sitios de Smartsheet

Para obtener más información acerca de los tipos de planes y las capacidades incluidas, consulte la página de Planes de Smartsheet.

Descripción de los servicios

Smartsheet ofrece a sus clientes servicios en línea basados en suscripciones con medidas de seguridad, características y funcionalidades adicionales diseñadas para permitirles a los clientes cumplir con sus obligaciones de conformidad con la HIPAA (los Servicios autorizados para manejar PHI). Auditores externos evalúan estas medidas de seguridad una vez al año de acuerdo con las normas SOC2 del AICPA (o, como alternativa, normas equivalentes en esencia) para demostrar cómo Smartsheet logra cumplir con los controles y objetivos clave de cumplimiento.

Para obtener más información sobre el Informe SOC2 de Smartsheet o solicitar una copia, visite la sección de cumplimiento de Trust Center.

Smartsheet implementa requisitos de reforzamiento y configuración de forma coherente con las recomendaciones del Instituto SANS, el Instituto Nacional de Estándares y Tecnología (NIST) o el Centro para la Seguridad en Internet (CIS), o normas sucesoras ampliamente utilizadas en la industria. 

Los datos, archivos adjuntos, textos, imágenes, informes, información personal u otro contenido que usted o los usuarios carguen o envíen a los servicios en línea se mantienen en formato cifrado (en tránsito y en reposo).

Los ajustes configurables, incluidos los controles de acceso, también están disponibles en los Servicios autorizados para manejar PHI; de esta forma, puede garantizar que solo se utilice dicha información, o se acceda a ella, según las instrucciones que usted determine y de acuerdo con lo estipulado en el BAA firmado con Smartsheet. Estos datos están protegidos contra el acceso no autorizado mediante controles de seguridad configurables por el cliente que ofrecen una protección equivalente a la segregación lógica.

Visite nuestro Trust Center y consulte nuestras Prácticas de Seguridad para obtener más información sobre cómo se protegen los datos.

La seguridad como responsabilidad compartida

Dado que usted sabe lo que se necesita para proteger los datos, Smartsheet emplea un modelo de responsabilidad compartida de software como servicio (SaaS) para permitirle cumplir con las necesidades de cumplimiento y normativas. ¿Qué significa esto? Básicamente, tanto usted como Smartsheet son responsables de tomar medidas para proteger los datos.

Smartsheet es responsable de proporcionar medidas para proteger, respaldar y mantener los Servicios de suscripción. Estas medidas incluyen la restauración de los sistemas de información mediante la incorporación de capacidades de protección, detección y reacción, como se describe en la Figura 1 que se encuentra a continuación.

Usted es responsable de garantizar que tanto usted como sus usuarios utilicen los Servicios de suscripción de conformidad con las obligaciones correspondientes a las leyes vigentes (incluida la HIPAA), el BAA con Smartsheet y según lo descrito en este artículo. Esto incluye comprender e implementar controles de seguridad personalizables compatibles con Smartsheet que considere necesarios para cumplir con las obligaciones legales y de cumplimiento. Smartsheet no realiza acciones específicas sobre sus datos en su nombre, ya que es neutral con respecto al tratamiento y al tipo de datos que usted envía a los servicios.

Measures for maintaining security as a shared responsibility

 

Para obtener información sobre cómo personalizar y configurar los Servicios de suscripción, consulte el artículo Configurar una política de uso compartido seguro y otros artículos de ayuda relacionados y así conocer más detalles e instrucciones. 

Si decide integrar herramientas externas o almacenar archivos adjuntos en aplicaciones de terceros, será la única persona responsable de garantizar que se ejecuten todos los controles y acuerdos pertinentes.

Recursos adicionales

Los recursos vinculados a continuación, aunque no son específicos de la HIPAA, pueden ayudar a comprender cómo se diseñan los Servicios de suscripción con base en la privacidad, la confidencialidad y la disponibilidad de los datos.

Este artículo de ayuda es solo para fines informativos. Cada cliente debe evaluar de forma independiente el uso que hace de los Servicios de suscripción según corresponda para respaldar sus obligaciones legales y de cumplimiento. Smartsheet no ofrece ninguna garantía expresa, implícita o legal en cuanto a la información de este documento.

Si utiliza los Servicios autorizados para manejar PHI y determina que necesita ejecutar un BAA con Smartsheet, contacte a su gerente de cuentas de Smartsheet o envíe el formulario Smartsheet para el sector de la atención médica así puede comunicarse con el equipo de ventas.