Skip To Content

ArcGIS Trust Center

  • Prezentare generală
  • Securitate
  • Confidenţialitate
  • Conformitate
  • Documente
Lansați Security Advisor
Înapoi sus

HIPAA

În acest subiect

  1. Servicii Esri incluse
  2. Servicii HIPAA ArcGIS Online
  3. EMCS Advanced Plus
  4. Întrebări frecvente HIPAA ArcGIS
  5. Resurse
Sigla HIPAA

Regula de confidențialitate în legătură cu Legea privind portabilitatea asigurărilor de sănătate și responsabilitatea (HIPAA) prevede protecții federale pentru informațiile medicale cu caracter personal (IMP) deținute de entitățile acoperite și le oferă pacienților o serie de drepturi în legătură cu informațiile respective.

Regula de confidențialitate în legătură cu Legea privind portabilitatea asigurărilor de sănătate și responsabilitatea (HIPAA) prevede protecții federale pentru informațiile medicale cu caracter personal (IMP) deținute de entitățile acoperite și le oferă pacienților o serie de drepturi în legătură cu informațiile respective. Aceste contracte, sau Acorduri cu asociații de afaceri (AAA), clarifică și limitează modul în care asociatul de afaceri poate manipula IMP și stabilește respectarea de către fiecare parte a dispozițiilor privind securitatea și confidențialitatea stabilite în HIPAA și Legea HITECH.

Momentan, nu există o certificare oficială pentru HIPAA sau conformitatea cu Legea HITECH, în schimb, serviciile Esri de mai jos sunt autorizate de agenția de moderare FedRAMP folosindcontroalele de securitate NIST 800-53, care cartografiază standardele pentru regula de securitate HIPAA.”

Servicii Esri incluse

  • Servicii eligibile HIPAA ArcGIS Online
  • Esri Managed Cloud Services (EMCS) Advanced Plus

Servicii HIPAA ArcGIS Online

Serviciul eligibil HIPAA ArcGIS Online inițial al Esri este mai exact serviciul de geocodificare, disponibil la geocode.arcgis.com. Esri va lista servicii eligibile HIPAA eligibile aici pe măsură ce sunt validate pentru aliniere pe baza cererii clienților. Restricțiile și cerințele actuale asociate cu serviciul de geocodificare eligibil HIPAA includ numai Întreținerea asistenței pentru cetățenii Statelor Unite, geocodificarea numai pentru adresele aflate în Statele Unite și apelurile fără cheie API (numai datele de autentificare în aplicații sau conturi de utilizator sunt acceptabile). Fiind un software cu mai mulți chiriași ca serviciu (SaaS) a cărui ofertă este consecventă pentru toți clienții, Esri nu modifică AAA HIPAA ArcGIS Online pentru cerințele utilizatorilor unici.

EMCS Advanced Plus

Esri Managed Cloud Services (EMCS) Advanced Plus este un software cu un singur chiriaș ArcGIS Enterprise oferit prin intermediul Esri Professional Services. EMCS Advanced Plus oferă posibilitatea de a negocia cu termenii BAA ai unei organizații, dar implicit utilizează tot AAA HIPAA Esri.

Întrebări frecvente HIPAA ArcGIS

Următoarele sunt întrebări frecvente referitoare la ArcGIS și HIPAA:

O organizație poate încheia un Acord de asociat de afaceri HIPAA (AAA) cu Esri pentru un anumit abonament ArcGIS Online?

Da. Esri le oferă companiilor calificate sau furnizorilor lor un AAA care acoperă HIPAA eligibile pentru ArcGIS Online și/sau servicii și întreținere asociate cu EMCS Advanced Plus. AAA Esri poate fi solicitat de la managerul dvs. de cont. Acest lucru se va aplica pentru majoritatea organizațiilor din domeniul sănătății publice, spitale și firme de asigurări medicale; cu toate acestea, agențiile federale din SUA și organizațiile de apărare din SUA nu se califică pentru AAA Esri până când ArcGIS Online nu obține o autorizație FedRAMP Moderate, care este prevăzută pentru anul 2022.

Ce servicii pot utiliza în organizația mea ArcGIS Online dacă am un AAA încheiat cu Esri?

Puteți utiliza orice servicii ArcGIS Online concepute în cadrul unui cont al organizației HIPAA, dar trebuie să se refere doar la procesarea, stocarea și transmiterea de informații medicale protejate (IMP) în cadrul serviciilor HIPAA eligibile definite în AAA.

Va fi de acord Esri să utilizeze în schimb AAA al organizației mele?

Pentru ArcGIS Online, nu. Esri nu poate modifica AAA HIPAA deoarece ArcGIS Online este un software cu mai mulți chiriași ca serviciu (SaaS), care este consecvent pentru toți clienții. Esri trebuie să urmeze aceleași proceduri pentru toată lumea. Pentru a minimiza problemele, Esri a examinat deja și a integrat rezultatele AAA ale clienților și furnizorilor parteneri SaaS medii și mari.

EMCS Advanced Plus oferă posibilitatea de a negocia cu termenii BAA ai unei organizații, dar implicit utilizează tot AAA HIPAA Esri.

Dacă un client trebuie să utilizeze propriul AAA sau solicită o particularizare semnificativă a AAA al Esri, se recomandă ca clientul să contacteze echipa de servicii profesionale pentru a analiza nevoile sale specializate în afara ArcGIS Online, cum ar fi o implementare în localuri sau EMCS Advancd Plus a ArcGIS Enterprise.

Existența unui AAA încheiat cu Esri indică faptul că o organizație respectă HIPAA și Legea HITECH?

Nu, nu în sine. Conformitatea cu HIPAA implică mai multe responsabilități pentru entitatea acoperită, organizația de sănătate care lucrează cu datele sensibile. Oferind un AAA, Esri susține conformitatea dvs. cu HIPAA, dar utilizarea serviciilor Esri nu este în sine o dovadă de conformitate. Clienții sunt responsabili pentru asigurarea faptului că au un program de conformitate adecvat și procese interne funcționale și că utilizarea de către ei a serviciilor Esri este conformă cu HIPAA și Legea HITECH. Este vorba de mai mult decât software și servicii; este un proces holistic pentru a preveni încălcarea confidențialității.

Cum poate o organizație să evalueze riscul configurației sale ArcGIS Online?

În primul rând, clienții pot obține un raport de evaluare anuală FedRAMP a Esri de la un terț în baza Acordului de confidențialitate (NDA) sau accesând pachetele de autorizare FedRAMP disponibile la connect.gov. În al doilea rând, clienții pot implementa testarea securității în conformitate cu condițiile Acordului de evaluare a securității Esri (AES) pentru a realiza validarea tehnică a ofertei sale. În ultimul rând, Esri a creat instrumentul ArcGIS Security Advisor, pe care un administrator al unei organizații în poate utiliza pentru a accesa un rezumat roșu, galben și verde în orice moment.

Ce asistență sau întreținere este disponibilă pentru AAA online al Esri?

O cerință de reglementare pentru SUA în legătură cu informațiile medicale private electronice (eIMP), clienții care semnează un AAA vor utiliza inițial asistența exclusivă pentru persoane din Statele Unite a Esri. Aceasta poate fi extinsă la o asistență standard globală în viitor, în funcție de cerere. În condiții standard, nici personalul de operațiuni, nici personalul de asistență clienți nu vede seturile de date despre clienți ArcGIS Online. În cazul în care clientul stabilește că are nevoie de asistență Esri pentru accesarea, descărcarea sau vizualizarea setului de date legat de un abonament ArcGIS Online acoperit de un AAA, resursa de confidențialitate a clienților preidentificată va fi contactată de Esri pentru autorizarea accesului.

Ce se întâmplă dacă serviciile pe care le doresc nu sunt eligibile momentan în baza HIPAA?

Esri va continua să adauge servicii care sunt eligibile în baza HIPAA și această pagină va fi actualizată pe măsură ce lista de servicii eligibile în baza HIPAA crește. Se recomandă ca clienții cu nevoi de servicii imediate care nu sunt eligibile în baza HIPAA să utilizeze oferta ArcGIS Enterprise pentru a suplimenta nevoile lor de servicii online.

Resurse

  • Gestionarea informațiilor medicale GIS (public)
  • Validarea bunelor practici cu instrumentul de consiliere în securitate (Instrument Public Trust Center)
  • Rezumatul Regulii de confidențialitate HIPAA (public)

Feedback pentru acest subiect?

În acest subiect
  1. Servicii Esri incluse
  2. Servicii HIPAA ArcGIS Online
  3. EMCS Advanced Plus
  4. Întrebări frecvente HIPAA ArcGIS
  5. Resurse