entre o Smartsheet e o HIPAA

Aplica-se a

Smartsheet

Este artigo de ajuda tem como objetivo ajudar os diretores de segurança, diretores de conformidade, administradores de TI e outros funcionários dos clientes do Smartsheet ("você", "seu", etc.) que são qualificados para usar os serviços de assinatura do Smartsheet para armazenar ou processar Informações de saúde protegidas (ou "PHI" - Protected Health Information) de uma maneira que lhes permita cumprir suas obrigações de acordo com a Lei de Responsabilidade e Portabilidade de Seguro Saúde ("HIPAA" - Health Insurance Portability and Accountability Act), conforme alterada, incluindo a Lei de Tecnologia da Informação em Saúde para Saúde Clínica e Econômica (“HITECH” - Health Information Technology for Economic and Clinical Health).

Este artigo não constitui, e não se destina a constituir aconselhamento jurídico; em vez disso, todas as informações fornecidas neste artigo são para você revisar como parte de seus próprios esforços de conformidade com a HIPAA. Quaisquer termos em maiúsculas usados neste documento, mas não definidos, devem ter as definições atribuídas sob a HIPAA ou o acordo que rege o uso dos serviços online baseados em assinatura da Smartsheet ("Contrato de assinatura").

HIPAA

HIPAA é uma lei federal que estabelece normas nacionais de como os planos de saúde, câmaras de compensação de saúde e provedores de saúde ("Entidades Cobertas") acessam, usam ou divulgam informações de pacientes chamadas "Informações de Saúde Protegidas" ou "PHI". As normas nacionais estabelecidos pela HIPAA também podem se estender a subcontratados que prestam serviços a Entidades Cobertas (“Associados Comerciais”) ou seus subcontratados (“Subcontratados Associados Comerciais”) e entrar em contato com as PHI em seu nome. A HIPAA é aplicada pelo Departamento de Saúde e Serviços Humanos dos Estados Unidos.

Descrição do Serviço

O Smartsheet oferece a seus clientes serviços e aplicativos online baseados em assinatura (juntos, os “Serviços de assinatura”) que são fornecidos aos clientes qualificados com medidas de segurança adicionais projetadas para permitir que os clientes cumpram suas obrigações de acordo com a HIPAA. O Smartsheet implementa requisitos de proteção e configuração consistentes com recomendações do SANS Institute, National Institute of Standards and Technology (NIST) e / ou Center for Internet Security (CIS) ou normas sucessoras amplamente usadas no setor, projetadas para permitir que você cumpra suas obrigações sob a HIPAA. Quaisquer dados, anexos de arquivos, textos, imagens, relatórios, informações pessoais ou outro conteúdo que você ou seus Usuários carreguem ou enviem aos Serviços online e que sejam processados pelo Smartsheet para ou em seu nome são mantidos em forma criptografada (em trânsito e em repouso). Os dados que você envia para os Serviços online são protegidos contra acesso não autorizado por controles de segurança que oferecem proteção equivalente à segregação lógica. O Smartsheet tem ou fará acordos de parceria comercial com seus subcontratados que processam dados do cliente, o que permite que você armazene anexos de arquivo contendo PHI nos Serviços de assinatura de forma a cumprir suas obrigações HIPAA. Se você optar por integrar ou armazenar anexos por meio de terceiros, será o único responsável por garantir que os controles e contratos adequados estejam em vigor. O Smartsheet é independente dos dados em relação ao seu tratamento e ao tipo ou substância dos dados que você envia aos Serviços. O Smartsheet apenas acessará ou analisará a substância dos seus dados (a) conforme solicitado por você para permitir a prestação de serviços ou suporte; e (b) conforme necessário para o Smartsheet (i) cumprir a lei aplicável ou procedimentos legais, ou (ii) investigar, prevenir ou tomar medidas contra suspeita de abuso, fraude ou violação do Contrato de Assinatura.

Organização de avaliação por terceiros (3PAO - Third Party Assessment Organization)

 

O Smartsheet usa avaliadores terceirizados (3PAOs) para verificar a adequação de suas medidas de segurança em relação aos Serviços de assinatura anualmente. Esta auditoria: (a) incluirá o teste de todo o período de medição desde o fim do período de medição anterior; (b) será realizada de acordo com as normas AICPA SOC2 ou outras normas alternativas que sejam substancialmente equivalentes às AICPA SOC2; (c) será realizado por profissionais de segurança terceirizados independentes, por conta e seleção da Smartsheet; e (d) resultará na geração de um relatório de auditoria (“Relatório de Auditoria”) com relação aos Serviços de Assinatura que serão disponibilizados de maneira geral pela Smartsheet.

Um relatório de auditoria será disponibilizado a você mediante solicitação por escrito e não mais do que uma vez por ano, sujeito aos termos de não divulgação mutuamente acordados que abrangem o relatório de auditoria. Para evitar dúvidas, qualquer relatório de auditoria disponibilizado para você será uma informação confidencial da Smartsheet.

Responsabilidade do Cliente

Para armazenar PHI nos Serviços online, você deve estar em um plano Enterprise (excluindo Legacy Enterprise) e ter celebrado o Contrato de Associado Comercial da Smartsheet ("BAA" - Business Associate Agreement). Somente usuários corporativos têm a capacidade de implementar os recursos e funcionalidades necessários para usar o Smartsheet de uma maneira que permita cumprir suas obrigações de contrato segundo a HIPAA. Se você determinar que precisa de recursos de auditoria de usuário mais detalhados, é recomendável aproveitar as vantagens dos Relatórios de eventos ou ter acesso ao Smartsheet Advance.

Modelo de Responsabilidade Compartilhada

A Smartsheet emprega um modelo de responsabilidade compartilhada Software-como serviço (“SaaS” - Software-as-a-Service) entre você e o Smartsheet. A Smartsheet é responsável por incluir recursos em nossa plataforma que permitem que você atenda aos seus requisitos de conformidade regulamentar. Essas medidas incluem o fornecimento de restauração de sistemas de informação, incorporando proteção, detecção e capacidade de reação, conforme descrito na Figura 1 abaixo. Para obter instruções e recomendações de controle específicas, consulte a seção Responsabilidade do cliente em definir as configurações de segurança, abaixo.

Você é responsável por determinar se um contrato de parceiro comercial com o Smartsheet é necessário e por garantir que você e seus usuários usam os Serviços de assinatura em conformidade com suas obrigações de contrato segundo a HIPAA. Isso inclui compreender e implementar os controles de segurança personalizáveis fornecidos pelo Smartsheet que você considera necessários para atender às suas obrigações de conformidade com a HIPAA. 

Modelo de responsabilidade compartilhada do Smartsheet para SaaS

Responsabilidade do cliente para definir as configurações de segurança

O Smartsheet oferece configurações personalizáveisprojetadas para garantir que seus dados estejam seguros. Essas configurações são projetadas para garantir que quaisquer PHI que você enviar aos Serviços de assinatura sejam usadas e/ou acessadas de acordo com suas instruções e / ou conforme permitido pelo BAA entre você e o Smartsheet. A obrigação de garantir que o uso dos Serviços online permita que você cumpra suas obrigações HIPAA é exclusivamente de sua responsabilidade. Consulte Configurar controles de segurança para um plano Empresa e outros artigos de ajuda relacionados para obter mais detalhes e instruções.

Recursos adicionais

Os recursos adicionais vinculados a seguir, embora não sejam específicos da HIPAA, podem ajudá-lo a entender como o Serviço de assinatura é projetado com privacidade, confidencialidade e disponibilidade de dados em mente. Você também pode visitar nossa página Smartsheet para o setor de saúde e entrar em contato com nossa equipe de saúde para saber mais.

Este artigo de ajuda é apenas para fins informativos. Cada Cliente deve avaliar de forma independente seu próprio uso dos Serviços de assinatura, conforme apropriado, para apoiar suas obrigações de conformidade legal. A SMARTSHEET NÃO OFERECE GARANTIAS, EXPRESSAS, IMPLÍCITAS OU ESTATUTÁRIAS, QUANTO ÀS INFORMAÇÕES DESTE DOCUMENTO.