Smartsheet e HIPAA

Questo articolo della Guida descrive in generale come i Servizi idonei PHI sono mantenuti e garantiti in modo da consentirti di soddisfare gli obblighi di conformità all’Health Insurance Portability and Accountability Act (HIPAA) e successive modifiche, incluso l’Health Information Technology for Economic and Clinical Health (HITECH) Act.

Chi può usarlo?

Piani:

  • Enterprise
  • Smartsheet Advance Package

Autorizzazioni:

Solo gli utenti dei piani Aziendali hanno la capacità di implementare le caratteristiche e le funzionalità Smartsheet necessarie per rispettare gli obblighi previsti dalla normativa HIPAA.

Find out if this capability is included in Smartsheet Regions or Smartsheet Gov.

Smartsheet offre servizi online basati su abbonamento (Servizi in abbonamento), con tipi di piano specifici designati come Servizi idonei PHI (elencati di seguito). I clienti Smartsheet (tu, il tuo, ecc.) possono utilizzare i Servizi idonei PHI sui piani idonei per archiviare o elaborare le Informazioni sanitarie protette (Protected Health Information, PHI).

I clienti sono autorizzati a caricare informazioni PHI nei Servizi in abbonamento solo se (1) utilizzano i Servizi idonei PHI e (2) hanno sottoscritto un Accordo di associazione commerciale (Business Associate Agreement, BAA) con Smartsheet.

Questo articolo non costituisce né intende costituire un consiglio legale. Tutte le informazioni fornite in questo articolo sono da rivedere come parte dei tuoi sforzi di conformità HIPAA. In caso di domande o se desideri sottoscrivere un Accordo di associazione commerciale (BAA) con Smartsheet, contatta il tuo account manager Smartsheet o compila il modulo Smartsheet for Healthcare (Smartsheet per l’assistenza sanitaria).

Servizi idonei PHI

  • Piano Aziendale Smartsheet (soggetto alle limitazioni di seguito)

Servizi non idonei PHI

  • Piano di prova, Pro, Business di Smartsheet
  • Membri EAP su qualsiasi piano
  • Brandfolder
  • Smartsheet University, Community e altri siti Smartsheet

Per ulteriori informazioni sui tipi di piano e sulle funzionalità incluse, consulta la pagina sui piani Smartsheet.

Descrizione del servizio

Smartsheet offre ai suoi clienti servizi online basati su abbonamento con misure di sicurezza, capacità e funzionalità aggiuntive progettate per consentire ai clienti di rispettare i loro obblighi HIPAA (i Servizi idonei PHI). Queste misure di sicurezza sono valutate annualmente da revisori terzi secondo gli standard AICPA SOC2 (o secondo standard alternativi sostanzialmente equivalenti) per dimostrare come Smartsheet soddisfa i controlli e gli obiettivi chiave di conformità.

Per ulteriori informazioni sul report SOC2 di Smartsheet o per richiederne una copia, visita il nostro Trust Center sulla conformità.

Smartsheet implementa requisiti di hardening e configurazione coerenti con l’approccio del SANS Institute, del National Institute of Standards and Technology (NIST) e/o con le raccomandazioni del Center for Internet Security (CIS) o con gli standard successivi ampiamente utilizzati nel settore. 

Tutti i dati, allegati, testi, immagini, report, informazioni personali o altri contenuti che tu o i tuoi utenti caricate o inviate ai servizi online sono conservati in forma crittografata (in transito e a riposo).

Le impostazioni configurabili, inclusi il controllo degli accessi, sono disponibili anche all’interno dei Servizi idonei PHI per consentirti di assicurarti che le informazioni PHI vengano utilizzate o visionate solo in base alle tue istruzioni e come consentito nel BAA sottoscritto con Smartsheet. Tali dati sono protetti da accessi non autorizzati da controlli di sicurezza configurabili dal cliente che offrono una protezione equivalente alla segregazione logica.

Visita il nostro Trust Center e rivedi le nostre prassi di sicurezza per ulteriori informazioni su come i tuoi dati sono mantenuti al sicuro e protetti.

La sicurezza come responsabilità condivisa

Poiché sai cosa è necessario per proteggere i tuoi dati, Smartsheet utilizza un modello di responsabilità condivisa Software-as-a-Service (SaaS) per consentirti di soddisfare al meglio le tue esigenze di conformità e normative. Cosa significa questo? In sostanza, sia tu che Smartsheet siete responsabili di intraprendere azioni per proteggere i tuoi dati.

Smartsheet è responsabile della fornitura di misure per garantire, supportare e mantenere i Servizi in abbonamento. Queste misure includono il ripristino dei sistemi informatici incorporando capacità di protezione, rilevamento e reazione, come descritto nella figura 1 di seguito.

È tua responsabilità assicurarti che tu e i tuoi utenti utilizziate i Servizi in abbonamento in conformità con i tuoi obblighi ai sensi delle leggi applicabili (inclusa l’HIPAA), il BAA sottoscritto con Smartsheet e quanto descritto in questo articolo. Ciò include la comprensione e l’implementazione di controlli di sicurezza personalizzabili supportati da Smartsheet che ritieni necessari per soddisfare i tuoi obblighi legali e di conformità. Smartsheet non intraprende azioni specifiche sui dati per tuo conto, in quanto è data-agnostic per quanto riguarda il trattamento e il tipo di dati che invii ai servizi.

Measures for maintaining security as a shared responsibility

 

Per informazioni su come personalizzare e configurare i Servizi in abbonamento, consulta il nostro articolo Configurare una politica di condivisione sicura e altri articoli della Guida correlati per ulteriori dettagli e istruzioni. 

Se scegli di integrare o archiviare allegati con terze parti, sei l’unico responsabile di garantire che siano in atto tutti i controlli e gli accordi appropriati.

Risorse supplementari

Le risorse collegate di seguito, sebbene non specifiche per HIPAA, possono aiutarti a capire come il Servizio in abbonamento è progettato tenendo conto della privacy, della riservatezza e della disponibilità dei dati.

Questo articolo della Guida ha scopo solo informativo. Ogni cliente dovrebbe valutare in modo indipendente il proprio utilizzo dei Servizi in abbonamento per decidere se il servizio è appropriato per supportare i propri obblighi legali di conformità. Smartsheet non fornisce alcuna garanzia, espressa, implicita o legale, in merito alle informazioni contenute nel presente documento.

Se stai utilizzando i Servizi idonei PHI e stabilisci che è necessario sottoscrivere un BAA con Smartsheet, contatta il tuo account manager Smartsheet o compila il modulo Smartsheet for Healthcare (Smartsheet per l’assistenza sanitaria) per contattare il nostro team di vendita.