Skip To Content

ArcGIS Trust Center

  • Краткий обзор
  • Безопасность​
  • Конфиденциальность​
  • Соответствие требованиям​
  • Документы​
Запустить Консультант по безопасности​
Наверх

HIPAA

В этом разделе

  1. Сервисы Esri
  2. Сервисы ArcGIS Online HIPAA
  3. EMCS Advanced Plus
  4. ArcGIS HIPAA FAQ
  5. Ресурсы
Логотип HIPAA

Правило конфиденциальности Health Insurance Portability and Accountability Act (HIPAA) Privacy Rule дает защиту персональной информации о здоровье (PHI), хранящейся в охваченных структурах, и предоставляет пациентам набор прав с учетом этой информации.

Регламенты HIPAA требуют, чтобы закрытые структуры и их бизнес-партнеры, в нашем случае, Esri при предоставлении сервисов, включая облачные сервисы, к охваченным структурам, включались в контракты, чтобы гарантировать, что эти бизнес-партнеры будут защищать PHI. Эти контракты, или соглашения о сотрудничестве (BAA), разъясняют и ограничивают то, как бизнес-партнер может обрабатывать PHI, и задают дальнейшее строгое соблюдение каждой стороной регламента по защите и конфиденциальности, заданного в HIPAA и в HITECH Act.

В настоящее время нет официальной сертификации на соответствие требованиям HIPAA или HITECH Act, вместо этого указанные ниже сервисы Esri авторизованы агентством FedRAMP Moderate, использующим средства контроля безопасности NIST 800-53, которые соответствуют стандартам правил безопасности HIPAA."

Сервисы Esri

  • Сервисы ArcGIS Online, соответствующие требованиям HIPAA
  • Esri Managed Cloud Services (EMCS) Advanced Plus

Сервисы ArcGIS Online HIPAA

Первый сервис Esri, ArcGIS Online, соответствующий HIPAA - это сервис геокодирования, доступный на geocode.arcgis.com. Esri дает список дополнительных сервисов HIPAA Eligible здесь, чтобы их можно было проверить на согласованность, основанной на требованиях клиента. Текущие ограничения и требования, связанные с сервисом геокодирования HIPAA Eligible, включают только United States Citizen Support Maintenance, Геокодирование для адресов США и вызовы No API-key (принимаются только логины приложения и учетные записи пользователей). Являясь мультитенантным предложением Software as a Service (SaaS), которое одинаково для всех клиентов, Esri не модифицирует ArcGIS Online HIPAA BAA в соответствии с уникальными требованиями клиентов.

EMCS Advanced Plus

Esri Managed Cloud Services (EMCS) Advanced Plus - это предложение для одного арендатора ArcGIS Enterprise, предлагаемое через Esri Professional Services. EMCS Advanced Plus предлагает возможность согласования с условиями BAA организации, но по умолчанию также использует Esri HIPAA BAA.

ArcGIS HIPAA FAQ

Здесь приведены часто задаваемые вопросы, касающиеся ArcGIS и HIPAA:

Может ли организация войти в соглашение HIPAA Business Associate Agreement (BAA) c Esri для определенной подписки ArcGIS Online?

Да. Esri предлагает квалифицированным компаниям или их поставщикам BAA, который охватывает услуги ArcGIS Online и/или EMCS Advanced Plus, соответствующие требованиям HIPAA, и сопутствующее техническое обслуживание. BAA от Esri можно запросить через менеджер учетной записи. Это применимо для большинства общественных организации здравоохранения, больниц и компаний медицинского страхования; однако, федеральные агентства США и оборонные организации не включены в Esri BAA до тех пор, пока у ArcGIS Online не будет авторизации FedRAMP Moderate, что включено в дорожную карту 2022.

Какие сервисы я могу использовать в моей организации ArcGISOnline, если у меня есть BAA c Esri?

Вы можете использовать любые сервисы ArcGIS Online, разработанные как часть учетной записи организации HIPAA, но они должны обрабатывать, хранить и передавать защищенную информацию о здоровье (PHI) только в сервисы HIPAA Eligible, заданные в BAA.

Не согласится ли Esri использовать BAA моей организации вместо этого?

Для ArcGIS Online нет. Esri не может изменить HIPAA BAA, потому что ArcGIS Online - это многопользовательское программное обеспечение Software as a Service (SaaS), согласованное для всех потребителей. Esri должны следовать тем же процедурам для всех. Чтобы минимизировать проблемы, Esri уже просмотрел и внедрил данные от BAA потребителей и общими провайдерами SaaS.

EMCS Advanced Plus предлагает возможность согласования с условиями BAA организации, но по умолчанию также использует Esri HIPAA BAA.

Если потребитель должен использовать свой собственный BAA или требует значительной настройки Esri BAA, рекомендуется, что потребитель обратился к команде профессионального сервиса, чтобы рассмотреть специализированные потребности вне ArcGIS Online, например, с развертыванием ArcGIS Enterprise как EMCS Advanced Plus.

Наличие BAA с Esri показывает, что организация работает согласно HIPAA и HITECH Act?

Нет, не только это. Соответствие HIPAA включает несколько видов ответственности для охваченной структуры - организации здравоохранения, работающей с уязвимыми данными. Предлагая BAA, Esri помогает поддерживать соответствие HIPAA, но использование сервисов Esri само по себе не дает соответствие. Потребители ответственны за то, чтобы у них была адекватная программа соответствия и внутренние процессы и за специальное использование сервисов Esri вместе с HIPAA и HITECH Act. Это больше, чем просто программное обеспечение или сервисы; это единый процесс для предотвращения нарушения конфиденциальности.

Как организации узнают об уязвимости их настроек ArcGIS Online?

Во-первых, клиенты могут получить ежегодный отчет Esri об оценке FedRAMP третьей стороной в соответствии с Соглашением о неразглашении (NDA) или получив доступ к пакетам авторизации FedRAMP, доступным по адресу connect.gov. Далее пользователи могут применить тестирование безопасности в условиях Esri Security Assessment Agreement (SAA), чтобы выполнить техническую проверку его предложения. И, наконец, Esri создал инструмент ArcGIS Security Advisor, который администратор организации может использовать, чтобы получить доступ к красной, желтой и зеленой итоговой информации в любое время.

Какая поддержка доступна с онлайн BAA от Esri.

В соответствии с требованиями регулятора США для электронной конфиденциальной информации о здоровье (ePHI), потребители, подписывая BAA, будут изначально использовать поддержку Esri только для граждан США. Она может быть расширена до стандартной глобальной поддержки в будущем по требованию. В стандартных условиях ресурсы поддержки как операций, так и клиента не просматривают наборы данных клиента ArcGIS Online. Если клиент решает, что ему нужна помощью Esri Support для доступа, скачивания или просмотра набора данных, относящегося к подписке ArcGIS Online, охваченной BAA, Esri может связаться с определенным заранее конфиденциальным ресурсом клиента для авторизации доступа.

Что, если сервисы, которые мне нужны, не HIPAA Eligible?

Esri продолжает добавлять сервисы, которые HIPAA Eligible, и эта страница будет обновляться по мере увеличения списка сервисов HIPAA Eligible. Рекомендуется, что клиенты с срочными потребностями сервисов, которые не являются сервисами HIPAA Eligible, использовали предложение ArcGIS Enterprise для удовлетворения своих потребностей в онлайн сервисах.

Ресурсы

  • Управление медицинской информацией в ГИС (Public)
  • Изучите рекомендации с помощью инструмента Security Advisor (инструмент от Public Trust Center)
  • Сводка HIPAA Privacy Rule (Public)

Отзыв по этому разделу?

В этом разделе
  1. Сервисы Esri
  2. Сервисы ArcGIS Online HIPAA
  3. EMCS Advanced Plus
  4. ArcGIS HIPAA FAQ
  5. Ресурсы