Cumplimiento de HIPAA de Jotform

Último cambio: 18 de junio de 2025

Aprende cómo Jotform te ayuda a cumplir con HIPAA y a crear un entorno mejor y más seguro para mitigar tus riesgos y ayudarte a demostrar el cumplimiento con HIPAA. Hicimos el trabajo duro para que no tengas que hacerlo, y puedes heredar mucho del trabajo que hemos hecho en términos de auditorías. Nuestra API, plataforma y servicio de integración de datos hacen que el cumplimiento con HIPAA sea más fácil.

En un esfuerzo por ser transparentes, profundizamos bastante en esta página. Como introducción, a continuación se presenta un resumen de alto nivel de nuestra arquitectura principal, nuestros principios rectores, y de cómo maximiza nuestra seguridad.

Encriptación — Todos los datos están encriptados en tránsito, de extremo a extremo, y en reposo. Los datos de registro también se encriptan para mitigar el riesgo de ePHI almacenado en archivos de registro.
Acceso Mínimo Necesario — Los controles de acceso siempre se establecen en no acceso a menos que se anulen manualmente.
Seguimiento de Acceso al Sistema — Todas las solicitudes de acceso y cambios de acceso, así como las aprobaciones, se rastrean y conservan.
Segmentación de PHI — todos los datos de los clientes están segmentados. Además, todos los clientes de la plataforma tienen una red de superposición dedicada (subred) para una segmentación adicional de la red.
Monitoreo

— Todas las solicitudes de red, exitosas y no exitosas, se registran, junto con todos los registros del sistema. Las solicitudes de API PHI (GET, POST, PUT, DELETE) registran al solicitante, la ubicación y los datos cambiados/vistos. Además, se envían alertas proactivas basadas en actividad sospechosa. Se utiliza OSSEC para IDS y monitoreo de integridad de archivos.

Auditoría — Todos los datos de registro están encriptados y unificados, lo que permite el acceso seguro a registros completos de actividad de red histórica.

Riesgo Mínimo para la Arquitectura — El acceso seguro y encriptado es la única forma de acceso público habilitada a los servidores. Todo acceso a la API debe pasar primero por los firewalls de AWS de Jotform. Para obtener acceso completo a los sistemas de Jotform, los usuarios deben iniciar sesión a través de autenticación de dos factores a través de VPN, autenticarse en el sistema específico como un usuario regular y elevar temporalmente los privilegios en los sistemas según sea necesario.

Escaneo de Vulnerabilidades — Todas las redes de clientes e internas se escanean regularmente en busca de vulnerabilidades.

Detección de Intrusiones — Todos los sistemas de producción tienen software de detección de intrusiones funcionando para detectar proactivamente anomalías.

Respaldo — Todos los datos de los clientes se respaldan cada 24 horas. Se retienen siete (7) días de copias de seguridad móviles.

Recuperación ante Desastres — Jotform tiene un plan de recuperación ante desastres auditado y probado regularmente. Este plan también se aplica a los clientes, y ellos lo heredan de nosotros.

Documentación — Toda la documentación (políticas y procedimientos que conforman nuestro programa de seguridad y cumplimiento) se revisa al menos anualmente.

Gestión de Riesgos — Realizamos proactivamente evaluaciones de riesgos para asegurar que los cambios en nuestra infraestructura no expongan nuevos riesgos al ePHI. La mitigación de riesgos se realiza antes de que los cambios se implementen en producción.

Capacitación de Personal

— A pesar de no tener acceso al ePHI de nuestros clientes, todos los miembros del equipo de Jotform reciben capacitación regular sobre HIPAA y seguridad.

Contactar Soporte

Our customer support team is available 24/7 and our average response time is between one to two hours.

Centro de ayuda Contactar a soporte de Jotform