Log inBook a demo

HIPAA-Konformität

Dieser Leitfaden behandelt die HIPAA-Konformität für Dispel-SaaS-Instanzen der Dispel Zero Trust Engine.

Dieser Leitfaden dient nur zu Informationszwecken. Dispel beabsichtigt nicht, dass die Informationen oder Empfehlungen in diesem Leitfaden als Rechtsberatung verstanden werden. Jeder Kunde ist dafür verantwortlich, seine eigene spezifische Nutzung der Dienste eigenständig zu bewerten, um seine Verpflichtungen zur rechtlichen Compliance zu unterstützen.

Zielpublikum

Für Kunden, die den Anforderungen des Health Insurance Portability and Accountability Act (bekannt als HIPAA, in der jeweils geltenden Fassung, einschließlich der Änderungen durch den Health Information Technology for Economic and Clinical Health — HITECH — Act) unterliegen, Dispel Zero Trust Engine unterstützt die HIPAA-Compliance. Dieser Leitfaden richtet sich an Sicherheitsbeauftragte, Compliance-Beauftragte, IT-Administratoren und andere Mitarbeitende, die für die Umsetzung und Einhaltung von HIPAA auf der Dispel Zero Trust Engine verantwortlich sind. Nach der Lektüre dieses Leitfadens werden Sie verstehen, wie die Dispel Zero Trust Engine die HIPAA-Compliance unterstützen kann und wie Dispel Zero Trust Engine-Instanzen konfiguriert werden können, um Ihnen dabei zu helfen, Ihren HIPAA-Verpflichtungen nachzukommen.

Definitionen

Alle in diesem Dokument verwendeten, großgeschriebenen Begriffe, die nicht anders definiert sind, haben dieselbe Bedeutung wie in HIPAA. Darüber hinaus bedeutet für die Zwecke dieses Dokuments „Protected Health Information (PHI)“ die PHI, die Dispel von einem Covered Entity erhält.

Übersicht

Es ist wichtig zu beachten, dass es keine von der US-HHS anerkannte Zertifizierung für HIPAA-Compliance gibt und dass die Einhaltung von HIPAA eine gemeinsame Verantwortung zwischen dem Kunden und Dispel ist. Konkret verlangt HIPAA die Einhaltung der Security Rule, der Privacy Rule, und der Breach Notification Rule. Die Dispel Zero Trust Engine unterstützt die HIPAA-Compliance (im Rahmen einer Business Associate Agreement), aber letztlich sind die Kunden dafür verantwortlich, ihre eigene HIPAA-Compliance zu bewerten.

Dispel wird bei Bedarf mit Kunden nach HIPAA Business Associate Agreements abschließen. Detaillierte Informationen zu unserem Ansatz für Sicherheit und Datenschutz, einschließlich Details zu organisatorischen und technischen Kontrollen darüber, wie Dispel Ihre Daten schützt, sind zu finden in Technische und organisatorische Maßnahmen.

Zusätzlich zur Dokumentation unseres Ansatzes zur Sicherheits- und Datenschutzgestaltung unterzieht sich Dispel regelmäßig mehreren unabhängigen Drittprüfungen, um den Kunden eine externe Verifizierung zu bieten (Berichte und Zertifikate sind unten verlinkt). Das bedeutet, dass ein unabhängiger Prüfer die Kontrollen in unseren Rechenzentren, der Infrastruktur und im Betrieb geprüft hat. Dispel führt jährliche Prüfungen für die folgenden Standards durch:

  • SSAE 18 / ISAE 3000. Unser SOC 2 Typ 2 Bericht kann unter NDA erhalten werden.

  • ISO 27001. Von Dispel verwaltete Instanzen der Dispel Zero Trust Engine sind nach ISO 27001 zertifiziert. Unser ISO 27001-Zertifikat ist im Compliance-Bereich unserer Website verfügbar.

Neben der Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Dispels Umgebung zielt Dispels umfassender Drittprüfungsansatz darauf ab, Zusicherungen über Dispels Engagement für erstklassige Informationssicherheit zu bieten. Kunden können auf diese Drittprüfungsberichte Bezug nehmen, um zu bewerten, wie Dispels Produkte ihre HIPAA-Compliance-Anforderungen erfüllen können.

Verantwortlichkeiten des Kunden

Eine der wichtigsten Verantwortlichkeiten eines Kunden besteht darin zu bestimmen, ob er ein Covered Entity (oder ein Business Associate eines Covered Entity) ist und, falls ja, ob er ein Business Associate Agreement mit Dispel für die Zwecke ihrer Interaktionen benötigt.

Während Dispel eine sichere und konforme Infrastruktur (wie oben beschrieben) für die Speicherung und Verarbeitung von PHI bereitstellt, ist der Kunde dafür verantwortlich sicherzustellen, dass die Umgebung und die Anwendungen, auf die er remote zugreift und die er über die Dispel Zero Trust Engine verbindet, gemäß den HIPAA-Anforderungen ordnungsgemäß konfiguriert und gesichert sind. Dies wird oft als das gemeinsame Sicherheitsmodell in der Cloud bezeichnet.

Wesentliche Best Practices:

  • Führen Sie ein Dispel BAA.

  • Deaktivieren Sie oder stellen Sie anderweitig sicher, dass Sie keine Dispel-Produkte verwenden, die nicht ausdrücklich durch das BAA abgedeckt sind, wenn Sie mit PHI arbeiten.

Empfohlene technische Best Practices:

  • Verwenden Sie IAM-Best-Practices bei der Konfiguration, wer Zugriff auf Ihre Organisation hat. Insbesondere, da Administratorenkonten zum Zugriff auf Einrichtungen und Geräte verwendet werden können, stellen Sie sicher, dass der Zugriff auf diese Konten und deren Zugangsdaten streng kontrolliert ist.

  • Ermitteln Sie, ob Ihre Organisation Verschlüsselungsanforderungen hat, die über das hinausgehen, was durch die HIPAA Security Rule erforderlich ist. Prüfen Sie, ob Dispel-Verschlüsselung Ihre Standards erfüllt.

  • Konfigurieren Sie Ziele für den Export von Prüfprotokollen. Wir empfehlen nachdrücklich, Prüfprotokolle an Ihr SIEM/SOAR-Tool für die langfristige Archivierung sowie für analytische, Überwachungs- und/oder forensische Zwecke zu exportieren. Stellen Sie sicher, dass Sie Zugriffskontrollen für diese Ziele entsprechend den Anforderungen Ihrer Organisation konfigurieren.

  • Konfigurieren Sie Zugriffskontrolle für die Protokolle entsprechend den Anforderungen Ihrer Organisation. Admin- und Benutzeraktivitätsprüfprotokolle können von Benutzern mit Administratorrollen eingesehen werden, und Aktivitätsprüfprotokolle können von Benutzern mit Administrator- und Custodian-Rollen eingesehen werden.

  • Überprüfen Sie regelmäßig Prüfprotokolle, um Sicherheit und Einhaltung der Anforderungen sicherzustellen. Sie können auch in Erwägung ziehen, SIEM-Plattformen aus unseren Integrationen von Drittanbietern zu nutzen, um die Compliance durch Protokollanalyse nachzuweisen.

  • Beim Erstellen oder Aktualisieren von Benutzern, Regionen, Einrichtungen oder Geräten sollten Sie unbedingt vermeiden, PHI oder Sicherheitsanmeldeinformationen irgendwo in Ihren Namensräumen zu verwenden, einschließlich Gerätenamen, Benutzergruppen und Benutzern.

  • Beim Erstellen oder Aktualisieren von Ressourcen sollten Sie vermeiden, PHI oder Sicherheitsanmeldeinformationen in den Metadaten einer Ressource anzugeben, da diese Informationen in den Protokollen erfasst werden könnten. Prüfprotokolle enthalten niemals die Dateninhalte einer Ressource, aber Metadaten von Ressourcen können erfasst werden.

  • Bei der Verwendung von Virtual Desktops ("VDI") für den Fernzugriff vermeiden Sie es, PHI in VDIs einzubinden oder zu speichern.

  • Bei der Verwendung von Passwort-Tresoren vermeiden Sie es, PHI im Tresor einzubinden oder zu speichern.

  • Beim Einsatz von Wickets tragen Kunden die Verantwortung für bestimmte Sicherheitsaspekte, insbesondere für die physische Sicherheit. Um die Sicherheit Ihrer Dispel-Bereitstellung zu gewährleisten, müssen Sie die auf der Seite „Geteilte Verantwortlichkeiten" aufgeführten Sicherheitsverantwortlichkeiten verstehen.

Abgedeckte Produkte

Dispels BAA deckt nicht ab Kunden-Cloud- oder Vor-Ort- Instanzen abgedeckter Produkte.

Das Dispel BAA deckt die gesamte SaaS-Infrastruktur der Dispel Zero Trust Engines ab (alle Regionen, alle Netzwerkrouten, alle Points of Presence) sowie die folgenden Produkte:

  • Zero Trust Engine

  • Engine Identity

  • Data Streaming

  • Password Vault

  • Virtual Desktops

  • Browser Connect

  • Protokolle

  • Dispel SecOps

Diese Liste wird aktualisiert, sobald neue Produkte für das HIPAA-Programm verfügbar werden.

Einzigartige Merkmale

Dispels Sicherheitspraktiken ermöglichen es uns, ein HIPAA-BAA zu haben, das Dispels gesamte Infrastruktur abdeckt und nicht nur einen separaten Teil unseres SaaS-Produkts. Daher sind Sie nicht auf eine bestimmte Region beschränkt, was Skalierbarkeits-, Betriebs- und Architekturvorteile bietet. Sie können auch von multi-regionaler Service-Redundanz für hohe Verfügbarkeit profitieren.

Die Sicherheits- und Compliance-Maßnahmen, die es uns ermöglichen, HIPAA-Compliance zu unterstützen, sind tief in unserer Infrastruktur, unserem Sicherheitsdesign und unseren Produkten verankert. Daher können wir HIPAA-regulierten Kunden dieselben Produkte zum gleichen Preis anbieten, die allen Kunden zur Verfügung stehen, einschließlich Rabatten für dauerhafte Nutzung. Andere Anbieter verlangen mehr Geld für ihre HIPAA-Plattformen, wir nicht.

Fazit

Die Dispel Zero Trust Engine ist die industrielle Zugriffs-Infrastruktur, über die Kunden sicher auf Gesundheitsinformationen zugreifen, diese übertragen und Verbindungen verwalten können, ohne sich um die zugrunde liegende Infrastruktur sorgen zu müssen.

VorherigeDatenprivatsphäre-RahmenNächsteDispel Compliance-Angebote

Zuletzt aktualisiert