Este artigo de ajuda geralmente descreve como os serviços qualificados para PHI são mantidos e protegidos de uma maneira que permita que você cumpra suas obrigações de conformidade com a Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA), conforme alterada, incluindo a tecnologia da informação em saúde para saúde econômica e clínica (HITECH).
USM Content
A Smartsheet oferece serviços on-line baseados em assinatura (serviços de assinatura), com tipos de planos específicos chamados de serviços qualificados para PHI (listados abaixo). Os clientes da Smartsheet (você, seu etc.) podem usar os serviços qualificados para PHI em planos qualificados para armazenar ou processar informações de saúde protegidas (PHI).
Os clientes só poderão carregar PHI nos serviços de assinatura se (1) usarem serviços qualificados para PHI e (2) tiverem um contrato de associação comercial (BAA) com a Smartsheet.
Este artigo não constitui e não tem a intenção de constituir aconselhamento jurídico. Revise todas as informações fornecidas neste artigo para estar em conformidade com a HIPAA. Se você tiver alguma dúvida ou quiser assinar um contrato de associação comercial (BAA) com a Smartsheet, entre em contato com o gerente de conta da Smartsheet ou preencha o Smartsheet para o setor de saúde.
Serviços qualificados para PHI
- Plano Empresa do Smartsheet (sujeito às limitações abaixo)
Serviços não qualificados para PHI
- Planos de teste, Pro e Executivo do Smartsheet
- Membros do EAP em qualquer plano
- Brandfolder by Smartsheet
- Smartsheet University, comunidade e outros sites da Smartsheet
Para saber mais sobre os tipos de plano e os recursos incluídos, acesse a página Planos do Smartsheet.
Descrição do serviço
A Smartsheet oferece aos clientes serviços on-line baseados em assinatura com medidas de segurança, recursos e funcionalidades adicionais projetados para permitir que os clientes cumpram as obrigações com a HIPAA (os serviços qualificados para PHI). Essas medidas de segurança são avaliadas anualmente por auditores terceirizados de acordo com os padrões AICPA SOC2 (ou padrões alternativos equivalentes) para comprovar como a Smartsheet alcança os principais controles e objetivos de conformidade.
Para obter mais informações sobre o relatório SOC2 da Smartsheet ou para solicitar uma cópia desse relatório, acesse nosso Trust Center de conformidade.
A Smartsheet aplica requisitos de proteção e configuração consistentes com as recomendações do SANS Institute, National Institute of Standards and Technology (NIST) e/ou Center for Internet Security (CIS) ou padrões sucessores amplamente usados no setor.
Todos os dados, anexos, textos, imagens, relatórios, informações pessoais ou outros conteúdos que você ou seus usuários carregarem ou enviarem aos serviços on-line serão mantidos de forma criptografada (em trânsito e em repouso).
Configurações que podem ser alteradas, incluindo controles de acesso, também estão disponíveis nos serviços qualificados para PHI para permitir o uso ou acesso à PHI apenas de acordo com suas instruções e conforme permitido em seu BAA com a Smartsheet. Esses dados são protegidos contra acesso não autorizado por controles de segurança configurados pelo cliente que oferecem proteção equivalente à segregação lógica.
Acesse nosso Trust Center e revise nossas práticas de segurança para obter mais informações sobre como seus dados são protegidos.
Segurança como uma responsabilidade compartilhada
A Smartsheet emprega um modelo de responsabilidade compartilhada de software como serviço (SaaS) para permitir que você proteja seus dados e atenda melhor às suas necessidades regulatórias e de conformidade. O que isso significa? Basicamente, você e a Smartsheet são responsáveis por tomar medidas para proteger seus dados.
A Smartsheet é responsável por fornecer medidas para proteger, dar suporte e manter os serviços de assinatura. Essas medidas incluem fornecer a restauração de sistemas de informação incorporando recursos de proteção, detecção e reação, conforme descrito na Figura 1 abaixo.
É de sua responsabilidade garantir que você e seus usuários usem os serviços de assinatura em conformidade com as leis aplicáveis (incluindo HIPAA) e com seu BAA com a Smartsheet, bem como o descrito neste artigo. Isso inclui entender e implementar controles de segurança personalizáveis compatíveis com o Smartsheet que você julgar necessários para cumprir suas obrigações jurídicas e de conformidade. A Smartsheet não realiza ações específicas sobre os dados em seu nome, pois é indiferente quanto ao tratamento e tipo de dados enviados aos serviços.
Para obter mais detalhes e instruções sobre como personalizar e configurar os serviços de assinatura, consulte nosso artigo Configurar uma política de compartilhamento seguro e outros artigos de ajuda relacionados.
Se optar por integrar ou armazenar anexos por meio de terceiros, caberá exclusivamente a você garantir que todos os controles e contratos adequados estejam em vigor.
Outros recursos
Embora não sejam específicos da HIPAA, os recursos abaixo podem ajudar você a entender como funcionam a privacidade, confidencialidade e disponibilidade de dados do serviço de assinatura.
- Aviso de privacidade do Smartsheet
- Artigos de ajuda do Smartsheet
- Smartsheet para o setor de saúde
- Smartsheet Trust Center
Este artigo de ajuda é apenas para fins informativos. Cada cliente deve avaliar de forma independente seu próprio uso dos serviços de assinatura para atender às suas obrigações de conformidade legal. A Smartsheet não oferece garantias, expressas, implícitas ou estatutárias, quanto às informações contidas neste documento.
Se você estiver utilizando serviços qualificados para PHI e precisar de um BAA com a Smartsheet, entre em contato com seu gerente de conta da Smartsheet ou com a nossa equipe de vendas enviando o Smartsheet para o setor de saúde.