Conformité HIPAA de Jotform

Découvrez comment Jotform vous aide à respecter la réglementation HIPAA et crée un environnement meilleur et plus sécurisé pour réduire vos risques et vous aider à prouver votre conformité à la HIPAA. Nous avons fait le gros du travail pour que vous n’ayez pas à le faire, et vous pouvez hériter de nombreux aspects du travail que nous avons effectué en termes d’audits. Notre API, notre plateforme et notre service d’intégration de données facilitent la conformité HIPAA.

Watch on youtube

Dans un souci de transparence, nous entrons dans les détails sur cette page. En introduction, voici un résumé de haut niveau de notre architecture principale, de nos principes directeurs et de la façon dont elle maximise notre sécurité.

• Cryptage — Toutes les données sont cryptées en transit, de bout en bout, et au repos. Les données de journalisation sont également cryptées pour atténuer le risque d’ePHI stocké dans les fichiers journaux.
• Accès strictement nécessaire — Les contrôles d’accès sont toujours par défaut à aucun accès sauf si remplacés manuellement.
• Suivi de l’accès au système — Toutes les demandes d’accès et les modifications d’accès, ainsi que les approbations, sont suivies et conservées.
• Ségrégation des PHI — toutes les données des clients sont segmentées. De plus, tous les clients de la plateforme disposent d’un réseau de superposition dédié (sous-réseau) pour une segmentation réseau supplémentaire.
• Surveillance
  “““html
  — Toutes les requêtes réseau, réussies et échouées, sont enregistrées, ainsi que tous les journaux système. Les requêtes API PHI (GET, POST, PUT, DELETE) consignent le demandeur, l’emplacement et les données modifiées/consultées. De plus, des alertes sont envoyées de manière proactive en fonction d’activités suspectes. OSSEC est utilisé pour la surveillance de l’intégrité des fichiers et l’IDS.
• Audit — Toutes les données de journalisation sont cryptées et unifiées, permettant un accès sécurisé à l’intégralité des enregistrements historiques d’activités réseau.
• Risque minimal pour l’architecture — L’accès sécurisé et crypté est la seule forme d’accès public activée aux serveurs. Tout accès API doit d’abord passer par les pare-feu AWS de Jotform. Pour accéder pleinement aux systèmes Jotform, les utilisateurs doivent se connecter via une authentification à deux facteurs par VPN, s’authentifier sur le système spécifique en tant qu’utilisateur régulier et augmenter temporairement leurs privilèges sur les systèmes si nécessaire.
• Analyse de vulnérabilité — Tous les réseaux clients et internes sont régulièrement scannés pour détecter les vulnérabilités.
• Détection des intrusions — Tous les systèmes de production sont équipés de logiciels de détection des intrusions pour détecter de manière proactive les anomalies.
• Sauvegarde — Toutes les données des clients sont sauvegardées toutes les 24 heures. Sept (7) jours de sauvegardes glissantes sont conservés.
• Reprise après sinistre — Jotform dispose d’un plan de reprise après sinistre audité et régulièrement testé. Ce plan s’applique également aux clients, qui en héritent de notre part.
• Documentation — Toute la documentation (politiques et procédures constituant notre programme de sécurité et de conformité) est revue au moins une fois par an.
• Gestion des risques — Nous réalisons de manière proactive des évaluations des risques pour nous assurer que les modifications apportées à notre infrastructure n’exposent pas de nouveaux risques pour les ePHI. L’atténuation des risques est effectuée avant que les changements ne soient appliqués en production.
• Formation des collaborateurs
  “““html
  — Bien que nous n’ayons pas accès aux ePHI de nos clients, tous les membres du personnel de Jotform suivent régulièrement des formations sur la HIPAA et la sécurité.