Applica a

Smartsheet

Smartsheet e HIPAA

PLANS

  • Smartsheet

Questo articolo della guida ha lo scopo di aiutare i responsabili della sicurezza, i responsabili della conformità, gli amministratori IT e altri dipendenti dei clienti Smartsheet (“tu”, “il tuo”, etc.) che sono idonei a utilizzare i servizi di abbonamento di Smartsheet per archiviare o elaborare informazioni sanitarie protette (o “PHI”) in un modo che consenta loro di adempiere ai propri obblighi ai sensi di The Health Insurance Portability and Accountability Act (“HIPAA”), incluso il Legge sulle tecnologie dell'informazione sanitaria per la salute economica e clinica (“HITECH”).  

Questo articolo non costituisce e non intende costituire una consulenza legale; invece, tutte le informazioni fornite in questo articolo devono essere esaminate come parte dei propri sforzi di conformità HIPAA. Tutti i termini in maiuscolo utilizzati nel presente documento ma non definiti devono avere le definizioni assegnate ai sensi dell'HIPAA o dell'accordo che disciplina l'utilizzo dei servizi online basati su abbonamento di Smartsheet (“Accordo di abbonamento”). 

HIPAA

HIPAA è una legge federale che stabilisce gli standard nazionali relativi al modo in cuii piani sanitari, i centri di smistamento dell'assistenza sanitaria e gli operatori sanitari (“Entità coperte”) accedono, utilizzano o divulgano le informazioni sui pazienti, denominate “Informazioni sanitarie protette” o “PHI”.  Gli standard nazionali stabiliti dall'HIPAA possono estendersi anche ai subappaltatori che forniscono servizi alle Entità coperte (“Collaboratori aziendali”) o i relativi subappaltatori (“Subappaltatori dei collaboratori aziendali”) e venire a contatto con le PHI per conto tuo. L’HIPAA viene applicato dall’US Department of Health and Human Services.

Descrizione del servizio

Smartsheet offre ai propri clienti servizi e applicazioni online basati su abbonamento (collettivamente, i "Servizi in abbonamento") forniti ai clienti idonei con misure di sicurezza aggiuntive progettate per consentire ai clienti di rispettare i propri obblighi ai sensi dell'HIPAA. Smartsheet implementa requisiti di protezione e configurazione coerenti con l'approccio del SANS Institute, del National Institute of Standards and Technology (NIST) e/o delle raccomandazioni del Center for Internet Security (CIS) o degli standard successivi ampiamente utilizzati nel settore progettati per consentire la conformità con i tuoi obblighi ai sensi dell'HIPAA. Tutti i dati, file allegati, testo, immagini, report, informazioni personali o altri contenuti che tu o i tuoi Utenti caricate o inviate ai Servizi online e che vengono elaborati da Smartsheet per o per vostro conto sono mantenuti in forma crittografata (in transito e a riposo). I dati che invii ai Servizi online sono protetti dall'accesso non autorizzato da controlli di sicurezza che offrono una protezione equivalente alla segregazione logica. Smartsheet ha o stipulerà accordi di associazione in affari con i suoi subappaltatori che elaborano i dati dei clienti, il che ti consente di archiviare file allegati contenenti PHI nei Servizi di abbonamento in modo da consentirti di soddisfare i tuoi obblighi HIPAA. Se scegli di integrare o archiviare allegati tramite una terza parte, sei l'unico responsabile di garantire che siano in atto controlli e accordi adeguati. Smartsheet è indipendente dai dati rispetto al suo trattamento e al tipo o alla sostanza dei dati che invii ai Servizi. Smartsheet accederà o analizzerà la sostanza dei tuoi dati solo (a) come richiesto da te per consentire la fornitura di servizi o supporto; e (b) se necessario affinché Smartsheet (i) si conformi alla legge applicabile o ai procedimenti legali, o (ii) indaga, previene o intraprende azioni contro sospetti abusi, frodi o violazioni del Contratto di abbonamento.

Third Party Assessment Organization (3PAO)

 

Smartsheet utilizza valutatori di terze parti (3PAO) per verificare l'adeguatezza delle sue misure di sicurezza relative ai Servizi in abbonamento su base annuale. Questo audit: (a) includerà la verifica dell'intero periodo di misurazione dalla fine del precedente periodo di misurazione; (b) sarà eseguito secondo gli standard AICPA SOC2 o altri standard alternativi sostanzialmente equivalenti all'AICPA SOC2; (c) sarà eseguito da professionisti della sicurezza di terze parti indipendenti a scelta e a spese di Smartsheet; e (d) comporterà la generazione di un rapporto di audit ("Rapporto di audit") in relazione ai Servizi in abbonamento che sarà reso generalmente disponibile da Smartsheet.

Un Rapporto di audit sarà messo a disposizione dell'utente su richiesta scritta e non più di una volta all'anno, soggetti a termini di non divulgazione concordati di comune accordo relativi al Rapporto di audit. A scanso di equivoci, qualsiasi rapporto di verifica reso disponibile all'utente sarà un'informazione riservata di Smartsheet.

Responsabilità del cliente

Per memorizzare PHI nei Servizi online, devi avere un piano Enterprise (escluso Legacy Enterprise) e aver stipulato il Business Associate Agreement (“BAA”) di Smartsheet. Solo gli utenti del piano Aziendale hanno la possibilità di implementare le caratteristiche e le funzionalità necessarie per utilizzare Smartsheet in modo da consentirti di soddisfare i tuoi obblighi ai sensi dell'HIPAA. Se si determina che sono necessarie capacità di controllo utente più dettagliate, si consiglia di utilizzare il Reporting eventi o di accedere a Smartsheet Avanzato.

Modello di responsabilità condivisa

Smartsheet utilizza un modello di responsabilità condivisa Software-as-a-Service (“SaaS”) tra te e Smartsheet. Smartsheet è responsabile di fornire misure alla nostra piattaforma che ti consentono di soddisfare i tuoi requisiti di conformità normativa. Queste misure includono il ripristino dei sistemi di informazione incorporando capacità di protezione, rilevamento e reazione come indicato nella Figura 1 di seguito. Per istruzioni e consigli specifici sul controllo, consultare la sezione Responsabilità del cliente per la configurazione delle impostazioni di sicurezza di seguito.

Sei responsabile di stabilire se è richiesto un contratto di collaborazione aziendale con Smartsheet e di garantire che tu e i tuoi Utenti utilizziate i Servizi in abbonamento in conformità con i tuoi obblighi ai sensi dell'HIPAA. Ciò include la comprensione e l'implementazione dei controlli di sicurezza personalizzabili forniti da Smartsheet che ritieni necessari per soddisfare i tuoi obblighi di conformità HIPAA. 

Modello di responsabilità condivisa di Smartsheet per SaaS

Responsabilità del cliente per la configurazione delle impostazioni di sicurezza

Smartsheet fornisce impostazioni personalizzabili progettate per garantire che i tuoi dati siano al sicuro. Queste impostazioni sono progettate per garantire che qualsiasi PHI che invii ai Servizi in abbonamento sia utilizzata e/o accessibile in conformità con le tue istruzioni e/o come consentito dalla BAA tra te e Smartsheet. L'obbligo di garantire che l'utilizzo dei Servizi online ti consenta di soddisfare i tuoi obblighi HIPAA è esclusivamente tua responsabilità. Per ulteriori dettagli e istruzioni, consulta Configurare i controlli di sicurezza per un Piano aziendale e altri articoli della guida.

Risorse supplementari

Le risorse aggiuntive collegate di seguito, sebbene non specifiche per HIPAA, possono aiutarti a capire come il Servizio in abbonamento è progettato tenendo conto della privacy, della riservatezza e della disponibilità dei dati. Per ulteriori informazioni, puoi visitare anche la nostra pagina Smartsheet per l’assistenza sanitaria e contattare il nostro team di assistenza sanitaria.

Questo articolo della guida è solo a scopo informativo. Ciascun Cliente dovrebbe valutare in modo indipendente il proprio utilizzo dei Servizi in abbonamento come appropriato per supportare i propri obblighi di conformità legale. SMARTSHEET NON FORNISCE ALCUNA GARANZIA, ESPRESSA, IMPLICITA O LEGALE, IN MERITO ALLE INFORMAZIONI CONTENUTE IN QUESTO DOCUMENTO.

Was this article helpful?
No