Закон о переносимости и подотчетности данных медицинского страхования (HIPAA), регулирующий вопросы конфиденциальности, обеспечивает федеральную защиту защищенной медицинской информации (PHI), хранящейся у застрахованных лиц, и предоставляет пациентам ряд прав в отношении этой информации.
Регламенты HIPAA требуют, чтобы закрытые структуры и их бизнес-партнеры, в нашем случае, Esri при предоставлении сервисов, включая облачные сервисы, к охваченным структурам, включались в контракты, чтобы гарантировать, что эти бизнес-партнеры будут защищать PHI. Эти контракты, или соглашения о сотрудничестве (BAA), разъясняют и ограничивают то, как бизнес-партнер может обрабатывать PHI, и задают дальнейшее строгое соблюдение каждой стороной регламента по защите и конфиденциальности, заданного в HIPAA и в HITECH Act.
В настоящее время нет официальной сертификации на соответствие требованиям HIPAA или HITECH Act, вместо этого указанные ниже сервисы Esri приведены в соответствие с элементами управления безопасностью NIST 800-53, которые соответствуют стандартам правил безопасности HIPAA." ArcGIS Online и EMCS Advanced Plus имеют официальные разрешения FedRAMP.
Сервисы Esri
- Сервисы ArcGIS Online, соответствующие требованиям HIPAA
- Esrii Managed Cloud Services EMCS Advanced
- Esri Managed Cloud Services (EMCS) Advanced Plus
Сервисы ArcGIS Online HIPAA
Первый сервис Esri, ArcGIS Online, соответствующий HIPAA - это сервис геокодирования, доступный на geocode.arcgis.com. Esri дает список дополнительных сервисов HIPAA Eligible здесь, чтобы их можно было проверить на согласованность, основанной на требованиях клиента. Текущие ограничения и требования, связанные с сервисом геокодирования HIPAA Eligible, включают только United States Citizen Support Maintenance, Геокодирование для адресов США и вызовы No API-key (принимаются только логины приложения и учетные записи пользователей). Являясь мультитенантным предложением Software as a Service (SaaS), которое одинаково для всех клиентов, Esri не модифицирует ArcGIS Online HIPAA BAA в соответствии с уникальными требованиями клиентов.
EMCS Advanced и Advanced Plus
Esri Managed Cloud Services (EMCS) Advanced и Advanced Plus — это однопользовательское решение ArcGIS Enterprise, предлагаемое через Esri Professional Services. EMCS Advanced и Advanced Plus предоставляют возможность вести переговоры с условиями BAA организации, но по умолчанию также используют Esri HIPAA BAA.
ArcGIS HIPAA FAQ
Здесь приведены часто задаваемые вопросы, касающиеся ArcGIS и HIPAA:
Может ли организация войти в соглашение HIPAA Business Associate Agreement (BAA) c Esri для определенной подписки ArcGIS Online?
Да. Esri предлагает квалифицированным компаниям или их поставщикам BAA, который охватывает услуги ArcGIS Online и/или EMCS Advanced и Advanced Plus, соответствующие требованиям HIPAA, и сопутствующее техническое обслуживание. BAA от Esri можно запросить через менеджер учетной записи.
Какие сервисы я могу использовать в моей организации ArcGISOnline, если у меня есть BAA c Esri?
Вы можете использовать любые сервисы ArcGIS Online, разработанные как часть учетной записи организации HIPAA, но они должны обрабатывать, хранить и передавать защищенную информацию о здоровье (PHI) только в сервисы HIPAA Eligible, заданные в BAA.
Не согласится ли Esri использовать BAA моей организации вместо этого?
Для ArcGIS Online нет. Esri не может изменить HIPAA BAA, потому что ArcGIS Online - это многопользовательское программное обеспечение Software as a Service (SaaS), согласованное для всех потребителей. Esri должны следовать тем же процедурам для всех. Чтобы минимизировать проблемы, Esri уже просмотрел и внедрил данные от BAA потребителей и общими провайдерами SaaS.
EMCS Advanced и Advanced Plus предлагает возможность согласования с условиями BAA организации, но по умолчанию также использует Esri HIPAA BAA.
Если потребителю необходимо использовать свой собственный BAA или требуется существенная настройка BAA Esri, рекомендуется, чтобы он связался со своим менеджером по работе с клиентами для рассмотрения своих специализированных потребностей за пределами ArcGIS Online, например, с развертыванием ArcGIS Enterprise как EMCS Advanced и Advanced Plus.
Наличие BAA с Esri показывает, что организация работает согласно HIPAA и HITECH Act?
Нет, не только это. Соответствие HIPAA включает несколько видов ответственности для охваченной структуры - организации здравоохранения, работающей с уязвимыми данными. Предлагая BAA, Esri помогает поддерживать соответствие HIPAA, но использование сервисов Esri само по себе не дает соответствие. Потребители ответственны за то, чтобы у них была адекватная программа соответствия и внутренние процессы и за специальное использование сервисов Esri вместе с HIPAA и HITECH Act. Это больше, чем просто программное обеспечение или сервисы; это единый процесс для предотвращения нарушения конфиденциальности.
Как организации узнают об уязвимости их настроек ArcGIS Online?
Организации могут оценить риск, связанный с их конфигурацией ArcGIS Online, используя несколько ресурсов и инструментов, предоставляемых Esri. Esri предлагает такие ресурсы, как Cloud Security Alliance (CSA) Consensus Assessments Initiative Questionnaire (CAIQ) и подробную информацию, доступную в Esri Trust Center, которые дают представление о методах обеспечения безопасности и средствах контроля Esri. Чтобы подтвердить соответствие Esri требованиям, организации могут ознакомиться с авторизацией FedRAMP, доступной на торговой площадке FedRAMP marketplace. Кроме того, организации могут проводить собственное тестирование безопасности в соответствии с условиями соглашения Esri Security Assessment Agreement (SAA), что позволяет проводить техническую проверку конфигурации ArcGIS Online. Для постоянного анализа безопасности и конфиденциальности Esri предоставляет инструмент ArcGIS Security Adviser, позволяющий администраторам организаций выполнять оценку состояния безопасности ArcGIS Online в режиме реального времени, помогая администраторам быстро выявлять и устранять потенциальные проблемы безопасности.
Какая поддержка доступна с онлайн BAA от Esri.
В соответствии с требованиями регулятора США для электронной защищаемой информации о здоровье (ePHI), клиенты, подписывая BAA, будут изначально использовать поддержку Esri только для граждан США. Она может быть расширена до стандартной глобальной поддержки в будущем по требованию. В стандартных условиях ресурсы поддержки как операций, так и клиента не просматривают наборы данных клиента ArcGIS Online. Если клиент решает, что ему нужна помощью Esri Support для доступа, скачивания или просмотра набора данных, относящегося к подписке ArcGIS Online, охваченной BAA, Esri может связаться с определенным заранее конфиденциальным ресурсом клиента для авторизации доступа.
Что, если сервисы, которые мне нужны, не HIPAA Eligible?
Esri продолжает добавлять сервисы, которые HIPAA Eligible, и эта страница будет обновляться по мере увеличения списка сервисов HIPAA Eligible. Рекомендуется, что клиенты с срочными потребностями сервисов, которые не являются сервисами HIPAA Eligible, использовали предложение ArcGIS Enterprise для удовлетворения своих потребностей в онлайн сервисах.
Ресурсы
- Управление медицинской информацией в ГИС (Public)
- Изучите рекомендации с помощью инструмента Security Advisor (инструмент от Public Trust Center)
- Сводка HIPAA Privacy Rule (Public)