Skip To Content

ArcGIS Trust Center

  • Visão Geral
  • Segurança
  • Privacidade
  • Conformidade
  • Documentos
Iniciar o Aconselhamento de Segurança
Voltar ao Topo

HIPAA

Neste tópico

  1. Serviços no âmbito da Esri
  2. Serviços HIPAA do ArcGIS Online
  3. EMCS Advanced Plus
  4. Perguntas Frequentes sobre o HIPAA no ArcGIS
  5. Recursos
Logótipo HIPAA

A Regra de Privacidade da Lei Health Insurance Portability and Accountability Act (HIPAA) dos EUA fornece proteções federais para informações pessoais de saúde (PHI) detidas por entidades abrangidas e dá aos pacientes uma série de direitos com respeito a essas informações.

Os regulamentos da HIPAA exigem que as entidades abrangidas e os respetivos associados comerciais (neste caso, a Esri quando fornece serviços, incluindo serviços na cloud, a entidades abrangidas) celebrem contratos para assegurar que esses associados comerciais protegem adequadamente as PHI. Estes contratos, ou Business Associate Agreements (BAA), esclarecem e limitam como o associado comercial pode lidar com as PHI e estabelecem a adesão de cada parte às disposições de segurança e privacidade estabelecidas na HIPAA e na Lei HITECH.

Atualmente, não existe certificação oficial para a conformidade com a HIPAA ou a Lei HITECH. Em vez disso, os serviços Esri abaixo indicados são autorizados pela FedRAMP Moderate, utilizando os controlos de segurança NIST 800-53 que correspondem às normas da Regra de Segurança HIPAA.

Serviços no âmbito da Esri

  • Serviços Elegíveis Para Conformidade HIPAA do ArcGIS Online
  • Esri Managed Cloud Services (EMCS) Advanced Plus

Serviços HIPAA do ArcGIS Online

O serviço inicial Elegível para conformidade HIPAA do ArcGIS Online da Esri é especificamente o respetivo serviço de geocodificação, disponível em geocode.arcgis.com. A Esri indicará aqui serviços adicionais Elegíveis HIPAA, à medida que forem validados para alinhamento com base na procura por parte dos clientes. As restrições e requisitos atuais associados ao serviço de geocodificação Elegível para conformidade HIPAA incluem apenas Manutenção de Suporte ao Cidadão dos Estados Unidos da América, Geocodificação apenas para endereços baseados nos Estados Unidos da América e Nenhuma chamada de chave de API (apenas são aceitáveis inícios de sessão ou contas de utilizador de aplicação). Como uma oferta de Software como Serviço (SaaS) multi-tenant que é consistente para todos os clientes, a Esri não modifica o BAA HIPAA do ArcGIS Online para requisitos exclusivos do cliente.

EMCS Advanced Plus

A Esri Managed Cloud Services (EMCS) Advanced Plus é uma oferta de um único tenant do ArcGIS Enterprise através dos Esri Professional Services. O EMCS Advanced Plus oferece a capacidade de negociar com os termos BAA de uma organização, mas por predefinição também utiliza o BAA HIPAA da Esri.

Perguntas Frequentes sobre o HIPAA no ArcGIS

Abaixo encontram-se as perguntas mais frequentes sobre ArcGIS e HIPAA:

Uma organização pode celebrar um HIPAA Business Associate Agreement (BAA) com a Esri para uma subscrição do ArcGIS Online específica?

Sim. A Esri oferece às empresas qualificadas ou aos respetivos fornecedores um BAA que abrange os serviços Elegíveis para conformidade HIPAA do ArcGIS Online e/ou EMCS Advanced Plus e manutenção associada. O BAA da Esri pode ser solicitado através do seu gestor de conta. Isto aplicar-se-á à maioria das organizações de saúde públicas, hospitais e companhias de seguros de saúde; contudo, as agências federais dos EUA e as organizações de defesa dos EUA não estão qualificadas para o BAA da Esri até que o ArcGIS Online tenha uma autorização FedRAMP Moderate, que está no plano para 2022.

Que serviços posso utilizar na minha organização ArcGIS Online se tiver um BAA com a Esri?

Pode utilizar quaisquer serviços do ArcGIS Online designados como parte de uma conta de organização HIPAA, mas estes só devem processar, armazenar e transmitir informações pessoais de saúde (PHI) protegidas nos serviços Elegíveis para conformidade HIPAA definidos no BAA.

A Esri irá concordar em utilizar o BAA da minha organização em alternativa?

Para o ArcGIS Online, não. A Esri não pode modificar o HIPAA BAA, porque o ArcGIS Online é uma oferta de Software como Serviço (SaaS) multi-tenant que é consistente para todos os clientes. A Esri tem de seguir os mesmos procedimentos para todas as pessoas. Para minimizar os problemas, a Esri já reviu e incorporou os contributos de BAA de clientes e outros fornecedores de SaaS médios e grandes.

O EMCS Advanced Plus oferece a capacidade de negociar com os termos BAA de uma organização, mas por predefinição também utiliza o BAA HIPAA da Esri.

Se um cliente tiver de utilizar o seu próprio BAA, ou necessitar de uma personalização significativa do BAA da Esri, recomenda-se que o cliente contacte a equipa de Serviços Profissionais para considerar as suas necessidades especializadas fora do ArcGIS Online, como com uma implementação EMCS Advanced Plus no local do ArcGIS Enterprise.

Ter um BAA com a Esri indica que uma organização está em alinhamento com a HIPAA e a Lei HITECH?

Não, não por si só. A conformidade com a HIPAA envolve várias responsabilidades para a entidade abrangida, a organização de saúde que trabalha com dados sensíveis. Ao oferecer um BAA, a Esri ajuda a manter a sua conformidade com a HIPAA, mas a utilização dos serviços da Esri não consegue por si só alcançar a conformidade. Os clientes são responsáveis por assegurar que têm um programa de conformidade adequado e processos internos em vigor e que a respetiva utilização particular dos serviços da Esri se alinha com a HIPAA e a Lei HITECH. É mais do que o software e os serviços, é um processo holístico para evitar uma violação de privacidade.

Como pode uma organização avaliar o risco da respetiva configuração do ArcGIS Online?

Em primeiro lugar, os clientes podem obter o relatório anual de avaliação de terceiros FedRAMP da Esri ao abrigo de um acordo de confidencialidade (NDA) ou ao aceder aos pacotes de autorização FedRAMP disponíveis em connect.gov. Em segundo lugar, os clientes podem implementar testes de segurança nos termos de um Acordo de Avaliação de Segurança (SAA) da Esri para efetuar a validação técnica da respetiva oferta. Por último, a Esri criou a ferramenta ArcGIS Security Advisor que um administrador da organização pode utilizar para aceder a um resumo vermelho, amarelo e verde em qualquer altura.

Que suporte ou manutenção está disponível com o BAA online da Esri?

Como requisito regulamentar baseado nos EUA para informação pessoal de saúde eletrónica (ePHI), os clientes que assinem um BAA utilizarão inicialmente o suporte da Esri apenas para pessoas dos EUA. Isto pode ser expandido para suporte global padrão no futuro, com base na procura. Em condições normais, tanto as operações como os recursos de apoio ao cliente não visualizam os conjuntos de dados de cliente do ArcGIS Online. Se um cliente determinar que necessita da assistência do Suporte Esri para aceder, transferir ou visualizar o conjunto de dados relacionado com uma subscrição do ArcGIS Online abrangida por um BAA, o recurso pré-identificado de privacidade do cliente será contactado pela Esri para autorização do acesso.

E se os serviços que eu pretendo não são atualmente Elegíveis para conformidade com HIPAA?

A Esri continuará a adicionar serviços que são Elegíveis para conformidade HIPAA e esta página será atualizada à medida que a lista de serviços Elegíveis para conformidade HIPAA aumentar. Recomenda-se que os clientes com necessidades de assistência imediata que não sejam Elegíveis para conformidade HIPAA utilizem a oferta do ArcGIS Enterprise para complementar as suas necessidades de assistência online.

Recursos

  • Gestão das Informações de Saúde SIG (Público)
  • Validar as Melhores Práticas com a Security Advisor Tool (Ferramenta do Centro de Confiança Público)
  • Resumo da Regra de Privacidade da HIPAA (Público)

Tem feedback sobre este tópico?

Neste tópico
  1. Serviços no âmbito da Esri
  2. Serviços HIPAA do ArcGIS Online
  3. EMCS Advanced Plus
  4. Perguntas Frequentes sobre o HIPAA no ArcGIS
  5. Recursos