Erfahren Sie, wie Jotform Sie bei der Einhaltung des HIPAA unterstützt und eine bessere, sicherere Umgebung aufbaut, um Ihr Risiko zu mindern und Ihnen zu helfen, die Einhaltung des HIPAA nachzuweisen. Wir haben die harte Arbeit gemacht, damit Sie das nicht machen müssen, und Sie können einen Großteil der Arbeit übernehmen, die wir in Bezug auf Audits geleistet haben. Unsere API, unsere Plattform und unser Datenintegrationsservice vereinfachen die Einhaltung des HIPAA.
Im Bemühen um Transparenz gehen wir auf dieser Seite sehr ins Detail. Nachfolgend finden Sie eine Übersicht über unsere Hauptarchitektur, unsere Leitprinzipien und wie sie unsere Sicherheit maximiert.
- Verschlüsselung — Alle Daten werden während der Übertragung, von Ende zu Ende und im Ruhezustand verschlüsselt. Protokolldaten werden ebenfalls verschlüsselt, um das Risiko von in Protokolldateien gespeicherten ePHI zu mindern.
- Minimal erforderlicher Zugriff — Zugriffskontrollen sind immer auf keinen Zugriff voreingestellt, es sei denn, sie werden manuell außer Kraft gesetzt.
- Systemzugriffsverfolgung — Alle Zugriffsanfragen und -änderungen sowie Genehmigungen werden verfolgt und gespeichert.
- PHI-Segmentierung – alle Kundendaten werden segmentiert. Zusätzlich haben alle Plattformkunden ein eigenes Overlay-Netzwerk (Subnetz) für eine zusätzliche Netzwerksegmentierung.
- Überwachung — Alle Netzwerkanfragen, erfolgreiche und erfolglose, werden zusammen mit allen Systemprotokollen protokolliert. Bei API-Anfragen (GET, POST, PUT, DELETE) werden der Anfragende, der Standort und die geänderten/angezeigten Daten protokolliert. Außerdem werden bei verdächtigen Aktivitäten proaktiv Warnmeldungen versandt. OSSEC wird für IDS und die Überwachung der Dateiintegrität verwendet.
- Auditing — Alle Protokolldaten werden verschlüsselt und vereinheitlicht, was einen sicheren Zugriff auf alle historischen Aufzeichnungen der Netzwerkaktivitäten ermöglicht.
- Minimales Risiko für die Architektur — Der sichere, verschlüsselte Zugriff ist die einzige Form des öffentlichen Zugriffs auf Server. Alle API-Zugriffe müssen zunächst die Jotform AWS Firewalls passieren. Um vollen Zugriff auf die Jotform-Systeme zu erhalten, müssen sich die Benutzer über eine 2-Faktor-Authentifizierung über VPN anmelden, sich bei dem jeweiligen System als regulärer Benutzer authentifizieren und die Berechtigungen auf den Systemen bei Bedarf vorübergehend erweitern.
- Schwachstellen-Scanning — Alle Kunden- und internen Netzwerke werden regelmäßig auf Schwachstellen gescannt.
- Intrusion Detection — Auf allen Produktionssystemen läuft eine Intrusion Detection Software, um Anomalien proaktiv zu erkennen.
- Backup — Alle Kundendaten werden alle 24 Stunden gesichert. Rollierende Backups werden sieben (7) Tage aufbewahrt.
- Disaster Recovery — Jotform hat einen geprüften und regelmäßig getesteten Disaster Recovery Plan. Dieser Plan gilt auch für Kunden, die ihn von uns geerbt haben.
- Dokumentation — Die gesamte Dokumentation (Richtlinien und Verfahren, die unser Sicherheits- und Compliance-Programm ausmachen) wird mit Google Docs gespeichert und versioniert.
- Risikomanagement — Wir führen proaktiv Risikobewertungen durch, um sicherzustellen, dass Änderungen an unserer Infrastruktur keine neuen Risiken für ePHI mit sich bringen. Die Risikominderung erfolgt, bevor die Änderungen in die Produktion übernommen werden.
- Schulung der Mitarbeiter — Obwohl wir keinen Zugriff auf die ePHI unserer Kunden haben, werden alle Mitarbeiter von Jotform regelmäßig in HIPAA und Sicherheit geschult.
Sehen Sie unten die Details, wie wir den HIPAA einhalten. Diese sind den spezifischen HIPAA-Regeln zugeordnet. Das ist eine ganze Menge, aber wie zuvor erwähnt, wir übernehmen diese Verantwortung, damit unsere Kunden das nicht machen müssen. Die mit (Req) gekennzeichneten Kontrollen sind erforderlich. Kontrollen, die mit einem (A) gekennzeichnet sind, sind Adressierbar. In unserer Umgebung sind die unten aufgeführten Kontrollen in allen Infrastrukturen implementiert, die ePHI (elektronisch geschützte Gesundheitsinformationen) verarbeiten, speichern, übertragen oder anderweitig darauf zugreifen können.
Um Details zu Jotform HIPAA-freundlich herunterzuladen, schauen Sie bitte hier.
Kommentar abschicken: