Применить к
Smartsheet и соблюдение требований HIPAA
Эта справочная статья предназначена для руководителей по информационной безопасности, специалистов, ответственных за обеспечение соответствия требованиям, ИТ-администраторов и других сотрудников компаний, пользующихся услугами Smartsheet (далее — "вы", "ваших" и т. д.), которые применяют сервисы по подписке Smartsheet для хранения или обработки защищённой медицинской информации (далее — "ЗМИ") таким образом, чтобы выполнять положения Закона США о передаче и защите данных учреждений здравоохранения (далее — "HIPAA") в действующей редакции, а также Закона США о стимулировании медицинских информационных технологий для оздоровления экономики и медицины (далее — "HITECH")
Эта статья не содержит рекомендаций юридического характера и не должна рассматриваться как таковая. Приведённые здесь сведения можно использовать для обеспечения соответствия требованиям HIPAA. Если в статье используются термины, написанные с заглавной буквы, определения которых не приведены, подразумевается, что они имеют значения, приведённые в положениях HIPAA или соглашении, регулирующем использование онлайн-сервисов по подписке Smartsheet (далее — "Соглашение о подписке").
HIPAA
HIPAA — это федеральный закон, устанавливающий для поставщиков планов медицинского обслуживания, услуг справочно-информационных центров, медицинских услуг (далее — "Лица, на которых распространяется закон") государственные стандарты методов обеспечения доступа, использования и разглашения конфиденциальной информации пациентов, т. е. Защищённой медицинской информации (ЗМИ). Государственные стандарты, устанавливаемые в соответствии с положениями HIPAA, могут также затрагивать субподрядчиков, предоставляющих услуги Лицам, на которых распространяется закон (далее — "Деловые партнёры"), а также их субподрядчикам (далее — "Субподрядчики деловых партнёров") и имеющих доступ к ЗМИ от их имени. За соблюдением HIPAA следит Министерство здравоохранения и социальных служб США.
Описание сервисов
Smartsheet предлагает клиентам онлайн-сервисы и приложения по подписке (далее совместно именуемые "Сервисы по подписке") с дополнительными мерами безопасности, что позволяет клиентам выполнять требования HIPAA. Более строгие настройки безопасности Smartsheet соответствуют принципам Института SANS, Национального института стандартов и технологий США (NIST), а также рекомендациям Центра-интернет-безопасности (CIS) и более новым стандартам, широко применяемым в отрасли для обеспечения соответствия требованиям HIPAA. Любые данные, файловые вложения, тексты, изображения, отчёты, персональная информация и прочее содержимое, передаваемые или отправляемые вашими Пользователями в онлайн-сервисы и обрабатываемые Smartsheet в ваших интересах или от вашего имени, обрабатываются в зашифрованном виде (в процессе пересылки и хранения). Передаваемые в онлайн-сервисы данные защищены от несанкционированного доступа за счёт контроля безопасности, который обеспечивает защиту на уровне логического разделения. Smartsheet заключает и планирует в будущем заключать соглашения о деловом партнёрстве с субподрядчиками, осуществляющими обработку данных. Таким образом, вы можете хранить файловые вложения с ЗМИ в рамках Сервисов по подписке, не опасаясь нарушения положений HIPAA. При использовании сторонних интеграций или хранения вложений у сторонних поставщиков вы несёте полную ответственность за соблюдение надлежащего уровня контроля и положений соответствующих соглашений. При обработке данных, передаваемых в сервисы, Smartsheet не учитывает их тип или содержимое. Доступ к данным и анализ их содержимого происходит в Smartsheet только: a) по вашей просьбе для оказания услуги или технической поддержки; б) по мере необходимости, если Smartsheet требуется: i) обеспечить соответствие действующему законодательству или требованиям суда или ii) провести расследование, предотвратить или принять меры против злоупотребления, мошенничества или нарушения Соглашения о подписке.
Проверки с привлечением сторонних экспертов
Smartsheet привлекает сторонние организации для ежегодной оценки мер обеспечения безопасности в рамках Сервисов по подписке. Такая проверка: а) включает тестирование в течение всего периода с момента предыдущей проверки; б) выполняется в соответствии со стандартами SOC2 института AICPA или аналогичными стандартами, которые в существенной степени равноценны стандартам SOC2 института AICPA; в) осуществляется сотрудниками независимых сторонних организаций в области безопасности по выбору и за счёт Smartsheet; г) по результатам проверки составляется аудиторское заключение (далее — "Аудиторское заключение") о сервисах по подписке, которое Smartsheet затем может предоставить клиентам.
Аудиторское заключение может быть предоставлено вам по письменному запросу не чаще одного раза в год в соответствии с двусторонними обязательствами о неразглашении его содержимого. Во избежание разночтений предоставляемое вам Аудиторское заключение считается конфиденциальной информацией Smartsheet.
Ответственность клиента
Услуга хранения ЗМИ в онлайн-сервисах предоставляется пользователям плана "Корпоративный" (за исключением устаревшего плана "Корпоративный"), которые заключили со Smartsheet Соглашение о деловом партнёрстве (далее — "СДП"). Функции и возможности обеспечения соответствия положениям HIPAA предоставляются только пользователям плана "Корпоративный". Для получения более подробной информации о возможностях аудита для пользователей рекомендуется использовать Отчёты о событиях или Smartsheet Advance.
Модель распределения ответственности
В качестве модели распределения ответственности Smartsheet применяет модель "программное обеспечение как услуга" (далее — "SaaS"). Smartsheet несёт ответственность за обеспечение мер, которые позволяют клиентам платформы соблюдать требования законодательства. Данные меры включают возможность восстановления информационных систем за счёт встроенных функций защиты, выявления и реагирования (см. рис. 1 ниже). Конкретные инструкции и рекомендации приведены в разделе "Ответственность клиента за настройку параметров безопасности" ниже.
Вы несёте ответственность за принятие решения о необходимости заключения Соглашения о деловом партнёрстве с компаний Smartsheet и соблюдение требований HIPAA вами и вашими пользователями при работе с Сервисами по подписке. Сюда относится понимание и применение предоставляемых Smartsheet средств контроля безопасности, которые необходимы для соблюдения положений HIPAA.
Ответственность клиента за настройку параметров безопасности
Smartsheet предоставляет возможность настройки параметров безопасности ваших данных. Эти параметры позволяют настроить отправку ЗМИ в Сервисы по подписке таким образом, чтобы доступ к ним и (или) их использование соответствовали вашим инструкциям и (или) положениям Соглашения о деловом партнёрстве со Smartsheet. Вы несёте полную ответственность за исполнение обязательств по надлежащему использованию Сервисов в рамках выполнения требований HIPAA. Дополнительные сведения и инструкции см. в статье Настройка контроля безопасности в рамках плана "Корпоративный" и других справочных статьях.
Дополнительные ресурсы
Дополнительные ресурсы, ссылки на которые приведены ниже, не относятся исключительно к положениям HIPAA, но могут помочь вам в понимании методов обеспечения безопаности, конфиденциальности и доступности данных, используемых в Сервисах по подписке. Также вы можете перейти на страницу Smartsheet для здравоохранения и получить консультацию у наших специалистов в этой сфере.
Эта справочная статья носит чисто информативный характер. Клиенты самостоятельно оценивают, насколько их методы использования Сервисов по подписке отвечают требованиям законодательства. SMARTSHEET НЕ ДАЁТ НИКАКИХ ГАРАНТИЙ, ЯВНЫХ, ПОДРАЗУМЕВАЕМЫХ ИЛИ ПРЕДУСМОТРЕННЫХ ЗАКОНОМ В ОТНОШЕНИИ СВЕДЕНИЙ, ПРИВЕДЁННЫХ В НАСТОЯЩЕМ ДОКУМЕНТЕ.