Skip To Content

ArcGIS Trust Center

  • Genel Bakış
  • Güvenlik
  • Gizlilik
  • Trusted AI
  • Uyumluluk
  • Belgeler
Launch Security Adviser
ComplianceEndüstri

Genel Bakış

Uyumluluk

Global

ISO CSA STAR DPA SOC/SSAE

ABD Hükümeti

FedRAMP FIPS 140-2 DoD IL2 STIG USGCB

Endüstri

FERPA HIPAA

Bölgesel

CCPA GVKY DPF
Başa Dön
Başa Dön

HIPAA

Bu konu başlığında

  1. Esri kapsam içi Servisleri
  2. ArcGIS Online HIPAA Servisleri
  3. EMCS Advanced ve Advanced Plus
  4. ArcGIS HIPAA SSS
  5. Kaynaklar
HIPAA logosu

Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) Gizlilik Kuralı, kapsam dahilindeki kuruluşlar tarafından tutulan korunan sağlık bilgileri (PHI) için federal koruma sağlar ve hastalara bu bilgilerle ilgili bir takım haklar sağlar.

HIPAA düzenlemeleri, kapsam dahilindeki kuruluşların ve iş ortaklarının, (bu durumda Esri kapsam dahilindeki kuruluşlara bulut hizmetleri de dahil olmak üzere hizmetler sunduğunda), PHI'nın yeterince korunmasını sağlamak için sözleşmeler imzalamasını gerektirir. Bu sözleşmeler veya İş Ortağı Sözleşmesi (BAA), iş ortağının PHI'yı nasıl ele alacağını açıklar, sınırlandırır ve her bir tarafın HIPAA ve HITECH Yasası'nda belirtilen güvenlik ve gizlilik hükümlerine bağlılığını ortaya koyar.

Şu anda, HIPAA veya HITECH Yasası uyumluluğu için resmi bir sertifika bulunmamaktadır; bunun yerine aşağıdaki Esri servisleri, HIPAA Güvenlik Kuralı standartlarıyla uyumlu NIST 800-53 güvenlik denetimleriyle uyumludur. ArcGIS Online ve EMCS Advanced Plus'ta resmi FedRAMP yetkilendirmeleri bulunmaktadır.

Esri kapsam içi Servisleri

  • ArcGIS Online HIPAA Hak Sahibi Servisleri
  • Esri Managed Cloud Services EMCS Advanced
  • Esri Managed Cloud Services (EMCS) Advanced Plus

ArcGIS Online HIPAA Servisleri

Esri'nin ilk ArcGIS Online HIPAA Hak Sahibi servisi, özellikle geocode.arcgis.com adresinde bulunan coğrafi kodlama servisidir. Esri burada, müşterinin talebi üzerine uyumluluk için doğrulanmış olduklarından ek HIPAA Hak Sahibi servislerini listeleyecektir. HIPAA Hak Sahibi coğrafi kodlama servisiyle ilgili mevcut kısıtlamalar ve gereksinimler arasında, yalnızca ABD Vatandaş Destek Bakımı, yalnızca ABD merkezli adresler için Coğrafi Kodlama ve API-anahtar çağrısı yok (yalnızca uygulama oturumları veya kullanıcı hesapları kabul edilebilir) bulunur. Tüm müşteriler için tutarlı olan çok kullanıcılı bir Hizmet Olarak Yazılım (SaaS) teklifi olduğundan Esri, benzersiz müşteri gereksinimleri için ArcGIS Online HIPAA BAA'yı değiştirmez.

EMCS Advanced ve Advanced Plus

Esri Managed Cloud Services (EMCS) Advanced ve Advanced Plus, Esri Professional Services üzerinden tek kullanıcılı ArcGIS Enterprise teklifleridir. Varsayılan olarak Esri HIPAA BAA'yı kullanan EMCS Advanced ve Advanced Plus, bir kuruluşun BAA koşullarıyla uzlaşma olanağı sunar.

ArcGIS HIPAA SSS

ArcGIS ve HIPAA ile ilgili sık sorulan sorular şunlardır:

Bir kuruluş, belirli bir ArcGIS Online aboneliği için Esri ile HIPAA İş Ortağı Sözleşmesi (BAA) yapabilir mi?

Evet. Esri, uygun şirketlere veya tedarikçilerine HIPAA Hak sahibi ArcGIS Online ve/veya EMCS Advanced ve Advanced Plus servislerini ve ilgili bakımı kapsayan bir BAA sunar. Esri'nin BAA'sını hesap yöneticiniz aracılığıyla talep edebilirsiniz.

Esri ile bir BAA'ya sahipsem, ArcGIS Online kuruluşumda hangi servisleri kullanabilirim?

Bir HIPAA kuruluş hesabının parçası olarak belirlenmiş herhangi bir ArcGIS Online servisi kullanabilirsiniz ancak bunlar, yalnızca BAA'da tanımlanan HIPAA Hak Sahibi hizmetlerinde korunan sağlık bilgilerini (PHI) işliyor, depoluyor ve aktarıyor olmalıdır.

Esri bunun yerine kuruluşumun BAA'sını kullanmayı kabul edecek mi?

ArcGIS Online için hayır. ArcGIS Online, tüm müşteriler için tutarlı olan çok kullanıcılı bir Hizmet Olarak Yazılım (SaaS) teklifi olduğundan Esri, HIPAA BAA'yı değiştiremez. Esri, herkes için aynı prosedürleri izlemelidir. Sorunları en aza indirmek amacıyla Esri, müşterilerin BAA'ları ve orta ölçekli-büyük SaaS sağlayıcılarından gelen girdileri halihazırda gözden geçirmiş ve birleştirmiştir.

Varsayılan olarak Esri HIPAA BAA'yı kullanan EMCS Advanced ve Advanced Plus, bir kuruluşun BAA koşullarıyla uzlaşma olanağı sunar.

Bir müşterinin kendi BAA'sını kullanması veya Esri'nin BAA'sının büyük ölçüde özelleştirilmesi gerekiyorsa, ArcGIS Enterprise'ın şirket içi veya EMCS Advanced ve Advanced Plus dağıtımı gibi ArcGIS Online dışındaki özel ihtiyaçlarını değerlendirmek için müşterinin hesap yöneticisi ile iletişime geçmesi tavsiye edilir.

Esri ile bir BAA'ya sahip olmak, bir kuruluşun HIPAA ve HITECH Yasası ile uyumlu olduğu anlamına gelir mi?

Hayır, doğrudan bu anlama gelmez. HIPAA uyumluluğu, kapsam altındaki kuruluş (hassas verilerle çalışan sağlık kuruluşu) için çeşitli sorumluluklar içerir. Esri, bir BAA sunarak HIPAA uyumluluğunuzu desteklemeye yardımcı olur ancak Esri servislerini kullanıyor olmak, kendi başına bu uyumluluğu sağlamaz. Müşteriler, yeterli bir uyumluluk programına ve şirket içi süreçlere sahip olduklarından ve Esri servislerinin özel kullanımlarının HIPAA ve HITECH Yasası ile uyumlu olduğundan emin olmaktan sorumludur. Yazılım ve servislerden daha fazlasıdır; gizlilik ihlalini önleyen bütünsel bir süreçtir.

Bir kuruluş ArcGIS Online yapılandırmasının riskini nasıl değerlendirebilir?

Kuruluşlar ArcGIS Online yapılandırmalarının riskini, Esri'nin sağladığı birçok kaynak ve aracı kullanarak değerlendirebilirler. Esri, Esri'nin güvenlik uygulamaları ve kontrolleri hakkında bilgi sağlayan Bulut Güvenliği Birliği (CSA) Uzlaşma Değerlendirmeleri İnisiyatifi Anketi (CAIQ) ve Esri Güven Merkezi'nde bulunan ayrıntılı bilgiler gibi kaynaklar sunmaktadır. Esri'nin uyumluluk durumunu doğrulamak için kuruluşlar FedRAMP marketplace'te bulunan FedRAMP yetkilendirmesini inceleyebilirler. Ayrıca kuruluşlar, ArcGIS Online yapılandırmasının teknik doğrulamasına olanak veren Esri Güvenlik Değerlendirme Sözleşmesi (SAA) şartları kapsamında kendi güvenlik testlerini gerçekleştirebilirler. Devam eden güvenlik ve gizlilik içgörüleri için Esri, kuruluş yöneticilerinin ArcGIS Online güvenlik durumlarını gerçek zamanlı olarak değerlendirmelerini sağlayan ve böylelikle yöneticilerin muhtemel güvenlik sorunlarını hızla tespit edip çözmelerine yardımcı olan ArcGIS Security Adviser aracını sağlar.

Esri'nin çevrim içi BAA'sında hangi destek veya bakım var?

Elektronik korumalı sağlık bilgileri (ePHI) için ABD merkezli bir yasal gereksinim olarak, bir BAA imzalayan müşteriler, başlangıçta yalnızca Esri'nin ABD-yalnızca Kişi desteğini kullanır. Bu destek, gelecekte talep üzerine standart küresel destek olarak genişletilebilir. Standart koşullar altında ArcGIS Online müşteri veri kümelerini, ne operasyon ne de müşteri destek kaynakları görüntüler. Bir müşteri, BAA kapsamındaki bir ArcGIS Online aboneliğiyle ilgili veri kümesine erişim sağlamak, indirmek veya görüntülemek için Esri Destek yardımına ihtiyacı olduğunu görürse, erişimin yetkilendirilmesi için Esri, önceden tanımlanmış müşteri gizlilik kaynağıyla iletişime geçecektir.

İstediğim servisler güncel olarak HIPAA Hak Sahibi servisleri değilse?

Esri, HIPAA Hak Sahibi hizmetlerini eklemeye devam ederken bu sayfa, HIPAA Hak Sahibi hizmetleri listesi büyüdükçe güncellenecektir. HIPAA Hak Sahibi dışı acil servis ihtiyaçları olan müşterilerin, çevrim içi servis ihtiyaçlarını desteklemek için ArcGIS Enterprise teklifini kullanmaları tavsiye edilir.

Kaynaklar

  • CBS Sağlık Hizmetleri Bilgilerinin Yönetimi (Halka Açık)
  • Security Adviser Aracı ile En İyi Uygulamaları Doğrulayın (Halka Açık Güven Merkezi Aracı)
  • HIPAA Gizlilik Kuralı Özeti (Halka Açık)

Bu konuda bir geri bildiriminiz var mı?

Bu konu başlığında
  1. Esri kapsam içi Servisleri
  2. ArcGIS Online HIPAA Servisleri
  3. EMCS Advanced ve Advanced Plus
  4. ArcGIS HIPAA SSS
  5. Kaynaklar