Skip To Content

ArcGIS Trust Center

  • Przegląd
  • Bezpieczeństwo
  • Prywatność
  • Trusted AI
  • Zgodność
  • Dokumenty
Launch Security Adviser
Wróć do początku

HIPAA

W tym temacie

  1. Usługi Esri objęte zakresem
  2. Usługi ArcGIS Online podlegające ustawie HIPAA
  3. EMCS Advanced i Advanced Plus
  4. ArcGIS a umowa HIPAA — często zadawane pytania
  5. Zasoby
Logotyp HIPAA

Zasada Prywatności określona w ustawie Health Insurance Portability and Accountability Act (HIPAA) zapewnia federalną ochronę podlegających ochronie informacji dotyczących stanu zdrowia (Protected Health Information — PHI) przechowywanych przez podmioty objęte tą ustawą i daje pacjentom szereg praw w odniesieniu do tych informacji.

Przepisy ustawy HIPAA wymagają, aby podmioty nią objęte oraz ich partnerzy biznesowi, w tym przypadku firma Esri, jeśli świadczy tym podmiotom usługi, w tym usługi przetwarzania w chmurze, zawierały odpowiednie umowy zapewniające, że będą odpowiednio chronić informacje PHI. Umowy te lub umowy Business Associate Agreement (BAA) wyjaśniają i ograniczają możliwości obsługi informacji PHI przez partnerów biznesowych oraz określają obowiązek przestrzegania przez każdy podmiot przepisów bezpieczeństwa i prywatności określonych w ustawach HIPAA i HITECH.

Obecnie nie ma oficjalnej certyfikacji zgodności z HIPAA lub HITECH Act. Poniższe usługi Esri są natomiast zgodne z ustawieniami zabezpieczeń standardu NIST 800-53, które są odwzorowywane na standardy HIPAA Security Rule. Usługi ArcGIS Online oraz EMCS Advanced Plus mają oficjalną autoryzację FedRAMP.

Usługi Esri objęte zakresem

  • Usługi ArcGIS Online, do których ma zastosowanie ustawa HIPAA
  • Esri Managed Cloud Service EMCS Advanced
  • Esri Managed Cloud Services (EMCS) Advanced Plus

Usługi ArcGIS Online podlegające ustawie HIPAA

Pierwszą usługą ArcGIS Online firmy Esri, do której ma zastosowanie ustawa HIPAA, jest usługa geokodowania dostępna pod adresem geocode.arcgis.com. Firma Esri będzie umieszczać w tym miejscu wszystkie dodatkowe usługi, do których będzie mieć zastosowanie ustawa HIPAA, w miarę jak będą one zatwierdzane do dostosowania w oparciu o zapotrzebowanie klientów. Bieżące ograniczenia i wymagania związane z usługą geokodowania podlegającą wymogom ustawy HIPAA obejmują tylko wsparcie techniczne dla obywateli Stanów Zjednoczonych, geokodowanie wyłącznie adresów w USA oraz wywołania bez użycia klucza API (akceptowalne są tylko logowania do aplikacji lub konta użytkowników). Firma Esri nie modyfikuje umowy HIPAA BAA dla ArcGIS Online pod kątem unikalnych wymagań klientów, ponieważ usługa jest wielodostępnym oprogramowaniem dostępnym jako usługa (Software as a Service — SaaS), która jest taka sama dla wszystkich klientów.

EMCS Advanced i Advanced Plus

Esri Managed Cloud Services (EMCS) Advanced i Advanced Plus to jednodostępne oferty oprogramowania ArcGIS Enterprise realizowane w ramach usług Esri Professional Services. EMCS Advanced i Advanced Plus umożliwiają negocjowanie warunków umowy BAA instytucji, ale domyślnie wykorzystują również umowę HIPAA BAA firmy Esri.

ArcGIS a umowa HIPAA — często zadawane pytania

Poniżej wymieniono często zadawane pytania dotyczące oprogramowania ArcGIS i ustawy HIPAA:

Czy instytucja może zawrzeć z firmą Esri umowę HIPAA Business Associate Agreement (BAA) dotyczącą konkretnej subskrypcji usługi ArcGIS Online?

Tak. Firma Esri oferuje uprawnionym firmom lub ich dostawcom umowę BAA obejmującą usługi ArcGIS Online i/lub EMCS Advanced i Advanced Plus podlegające wymogom ustawy HIPAA wraz z usługami utrzymania. O zawarcie z Esri umowy BAA może poprosić opiekun klienta.

Z jakich usług mogę korzystać w mojej instytucji ArcGIS Online, jeśli mam umowę BAA z firmą Esri?

Możesz korzystać z dowolnych usług ArcGIS Online wskazanych w ramach konta instytucji HIPAA, ale powinny one przetwarzać, przechowywać i przesyłać chronione informacje o stanie zdrowia (PHI) jedynie z użyciem kwalifikujących się usług określonych w umowie BAA.

Czy firma Esri zgodzi się w zamian na użycie umowy BAA mojej instytucji?

W przypadku usługi ArcGIS Online — nie. Firma Esri nie może zmodyfikować umowy HIPAA BAA, ponieważ usługa ArcGIS Online jest wielodostępnym oprogramowaniem dostępnym jako usługa (Software as a Service — SaaS), która jest taka sama dla wszystkich klientów. Firma Esri musi stosować takie same procedury wobec wszystkich. W celu ograniczenia problemów firma Esri przejrzała i uwzględniła uwagi dotyczące umów BAA z klientami oraz innymi średnimi i dużymi dostawcami oprogramowania SaaS.

EMCS Advanced i Advanced Plus umożliwiają negocjowanie warunków umowy BAA instytucji, ale domyślnie wykorzystują również umowę HIPAA BAA firmy Esri.

Jeśli klient musi korzystać z własnej umowy BAA lub wymaga znacznego dostosowania umowy BAA firmy Esri, zaleca się, by skontaktował się ze swoim opiekunem klienta w sprawie uwzględnienia jego specjalnych potrzeb poza usługą ArcGIS Online, na przykład przez wdrożenie lokalne oprogramowania ArcGIS Enterprise lub w ramach usług EMCS Advanced i Advanced Plus.

Czy posiadanie umowy BAA z firmą Esri oznacza, że instytucja spełnia wymogi ustaw HIPAA i HITECH?

Samo w sobie nie jest to wystarczające. Zgodność z ustawą HIPAA wiąże się z kilkoma obowiązkami objętego nią podmiotu, czyli instytucji opieki zdrowotnej pracującej z danymi poufnymi. Oferując umowę BAA, firma Esri ułatwia uzyskanie zgodności z ustawą HIPAA, ale korzystanie z usług Esri samo w sobie nie zapewnia tej zgodności. Klienci są odpowiedzialni za zapewnienie, że obowiązuje u nich odpowiedni program i wewnętrzne procesy zgodności oraz że korzystają oni z usług Esri w sposób zgodny z wymogami ustaw HIPAA i HITECH. To coś więcej niż oprogramowanie i usługi; to ogólny proces zapobiegania przypadkom naruszenia ochrony prywatności.

Jak instytucja może ocenić ryzyko swojej konfiguracji usługi ArcGIS Online?

Instytucje mogą przeprowadzać ocenę ryzyka swojej konfiguracji usługi ArcGIS Online, korzystając z kilku zasobów i narzędzi udostępnianych przez firmę Esri. Firma Esri oferuje takie zasoby, jak kwestionariusz Cloud Security Alliance (CSA) Consensus Assessments Initiative Questionnaire (CAIQ), oraz szczegółowe informacje w Centrum zaufania Esri, które obejmują zasady i ustawienia zabezpieczeń stosowane przez Esri. W celu weryfikacji zgodności firmy Esri z obowiązującymi regulacjami instytucje mogą zapoznać się z autoryzacją FedRAMP dostępną na stronie FedRAMP Marketplace. Ponadto instytucje mogą przeprowadzać własne testy zabezpieczeń zgodnie z warunkami zawartej przez firmę Esri umowy o ocenie bezpieczeństwa (Security Assessment Agreement — SAA) pozwalające na techniczną weryfikację konfiguracji usługi ArcGIS Online. Firma Esri zapewnia dostęp do aktualnych informacji dotyczących zabezpieczeń i ochrony prywatności za pomocą narzędzia ArcGIS Security Adviser, które umożliwia administratorom instytucji przeprowadzanie oceny stanu zabezpieczeń usługi ArcGIS Online w czasie rzeczywistym, co ułatwia im szybkie identyfikowanie i eliminowanie potencjalnych zagrożeń dla bezpieczeństwa.

Jakie możliwości wsparcia lub utrzymania są dostępne w ramach umowy BAA online z firmą Esri?

Ponieważ jest to obowiązujący w USA wymóg prawny dotyczący podlegających ochronie informacji elektronicznych o stanie zdrowia (ePHI), klienci podpisujący umowę BAA będą początkowo korzystać ze wsparcia firmy Esri świadczonego wyłącznie przez osobę mieszkającą w Stanach Zjednoczonych. Na żądanie może to w przyszłości zostać rozszerzone do standardowego wsparcia globalnego. W warunkach standardowych pracownicy operacyjni ani działu obsługi klienta nie mogą wyświetlać zestawów danych klientów usługi ArcGIS Online. Jeśli klient stwierdzi, że potrzebuje wsparcia ze strony działu pomocy technicznej firmy Esri w zakresie dostępu do zestawu danych związanego z subskrypcją usługi ArcGIS Online objętą umową BAA, jego pobrania lub wyświetlenia, firma Esri skontaktuje się ze wskazaną osobą odpowiedzialną za prywatność klienta w celu autoryzacji dostępu.

Co zrobić, jeśli potrzebne mi usługi nie podlegają ustawie HIPAA?

Firma Esri będzie kontynuować dodawanie usług podlegających wymogom ustawy HIPAA i będzie zaktualizować tę stronę w miarę wydłużania listy usług podlegających wymogom ustawy HIPAA. Zaleca się, aby klienci wymagający usług, które nie podlegają wymogom ustawy HIPAA, korzystali z oprogramowania ArcGIS Enterprise w celu uzupełnienia używanych przez nich usług online.

Zasoby

  • Zarządzanie informacjami GIS dotyczącymi ochrony zdrowia (zasób dostępny publicznie)
  • Weryfikacja najważniejszych wskazówek za pomocą narzędzia Security Adviser (narzędzie dostępne publicznie w Trust Center)
  • Podsumowanie Zasady Prywatności w ustawie HIPAA (zasób dostępny publicznie)

Opinia na ten temat?

W tym temacie
  1. Usługi Esri objęte zakresem
  2. Usługi ArcGIS Online podlegające ustawie HIPAA
  3. EMCS Advanced i Advanced Plus
  4. ArcGIS a umowa HIPAA — często zadawane pytania
  5. Zasoby