Skip To Content

ArcGIS Trust Center

  • 总览
  • 安全性​
  • 隐私​
  • Trusted AI
  • 合规性​
  • 文档​
Launch Security Adviser
合规性行业

概览

合规性

全球

ISO CSA STAR DPA SOC/SSAE

美国政府

FedRAMP FIPS 140-2 DoD IL2 STIG USGCB

行业

FERPA HIPAA

Regional

CCPA GDPR DPF
返回顶部
返回顶部

HIPAA

在本主题中

  1. Esri 服务范围
  2. ArcGIS Online HIPAA 服务
  3. EMCS Advanced 和 Advanced Plus
  4. ArcGIS HIPAA 常见问题解答
  5. 资源
HIPAA 徽标

《健康保险可携性和责任法案》(HIPAA) 隐私规则为涵盖实体持有的受保护健康信息 (PHI) 提供联邦保护,并赋予患者一系列与该信息相关的权利。

HIPAA 法规要求涵盖实体及其业务伙伴(在本例中为 Esri,当其向涵盖实体提供服务(包括云服务)时)签订合同,以确保这些业务伙伴能够充分保护 PHI。 这些合同或业务伙伴协议 (BAA) 阐明并限制了业务伙伴处理 PHI 的方式,并规定了各方应遵守 HIPAA 和 HITECH 法案中规定的安全和隐私条款。

目前,没有 HIPAA 或 HITECH 法案合规性的官方认证,但是,以下 Esri 服务符合 HIPAA 安全规则标准相应的 NIST 800-53 安全控制。 ArcGIS Online 和 EMCS Advanced Plus 拥有官方 FedRAMP 授权。

Esri 服务范围

  • ArcGIS Online HIPAA 合格服务
  • Esrii Managed Cloud Services EMCS Advanced
  • Esri Managed Cloud Services (EMCS) Advanced Plus

ArcGIS Online HIPAA 服务

Esri 最初的 ArcGIS Online HIPAA 合格服务是其地理编码服务,可从 geocode.arcgis.com 获取。Esri 将在此处列出其他 HIPAA 合格服务,因为已根据客户需求对其是否合规进行了验证。 与 HIPAA 合格地理编码服务相关的当前限制和要求包括仅限美国公民支持维护、仅限美国地址的地理编码以及无 API 密钥调用(仅可接受应用程序登录账户或用户账户)。 作为多租户软件即服务 (SaaS) 产品,对所有客户都是一致的,Esri 不会因为个别客户要求修改 ArcGIS Online HIPAA BAA。

EMCS Advanced 和 Advanced Plus

Esri Managed Cloud Services (EMCS) Advanced 和 Advanced Plus 是通过 Esri 专业服务提供的单租户 ArcGIS Enterprise。 EMCS Advanced 和 Advanced Plus 可以与组织 BAA 条款进行协商,但默认情况下,也使用 Esri 的 HIPAA BAA。

ArcGIS HIPAA 常见问题解答

以下是有关 ArcGIS 和 HIPAA 的常见问题解答:

组织是否可以针对特定 ArcGIS Online 订阅与 Esri 签订 HIPAA 商业伙伴协议 (BAA)?

是。 Esri 将为合格的公司或其供应商提供 BAA,涵盖符合 HIPAA 的 ArcGIS Online 和/或 EMCS Advanced 及 Advanced Plus 服务和相关维护。 可以通过您的客户经理请求 Esri 的 BAA。

如果我拥有 Esri 的 BAA,那么我可以在我的 ArcGIS Online 组织中使用哪些服务?

您可以使用指定为 HIPAA 组织账户的一部分的任何 ArcGIS Online 服务,但它们只能在 BAA 中定义的 HIPAA 合格服务中处理、存储和传输受保护的健康信息 (PHI)。

Esri 是否将会同意使用我组织的 BAA?

对于 ArcGIS Online,不可以。Esri 无法修改 HIPAA BAA,因为 ArcGIS Online 是一种多租户软件即服务 (SaaS) 产品,对所有客户都是一致的。 针对每个人,Esri 都必须遵循相同的程序。 为了最大限度地减少问题,Esri 已经审查并整合了客户 BAA 和其他大中型 SaaS 提供商的意见。

EMCS Advanced 和 Advanced Plus 可以与组织 BAA 条款进行协商,但默认情况下,也使用 Esri 的 HIPAA BAA。

如果客户必须使用自己的 BAA,或者需要对 Esri 的 BAA 进行大量自定义,建议客户联系其客户经理以考虑其在 ArcGIS Online 之外的特殊需求,例如 ArcGIS Enterprise 的本地部署或 EMCS Advanced 及 Advanced Plus 部署。

与 Esri 签订 BAA 是否表明组织符合 HIPAA 和 HITECH 法案?

否,并非单凭这一项。 HIPAA 合规性涉及涵盖实体(处理敏感数据的卫生组织)的多项责任。 通过提供 BAA,Esri 有助于支持您的 HIPAA 合规性,但使用 Esri 服务本身并不能实现合规性。 客户有责任确保其拥有适当的合规计划和内部流程,并且其对 Esri 服务的特定使用符合 HIPAA 和 HITECH 法案。 不仅仅是软件和服务;这是一个防止侵犯隐私的整体过程。

组织如何评估其 ArcGIS Online 配置的风险?

组织可以通过利用 Esri 提供的多种资源和工具来评估其 ArcGIS Online 配置的风险。 Esri 提供云安全联盟 (CSA) 共识评估倡议调查问卷 (CAIQ) 等资源,以及 Esri 信任中心提供的详细信息,可供客户深入了解 Esri 的安全实践和控制。 要验证 Esri 的合规性,组织可以查看 FedRAMP 市场上提供的 FedRAMP 授权。 此外,组织可以根据 Esri 安全评估协议 (SAA) 的条款进行自己的安全测试,以对 ArcGIS Online 配置进行技术验证。 对于持续的安全和隐私监控,Esri 提供了 ArcGIS Security Adviser 工具,使组织管理员能够对其 ArcGIS Online 的安全状况进行实时评估,帮助管理员快速识别和解决潜在的安全问题。

Esri 的在线 BAA 提供哪些支持或维护?

根据美国对电子受保护健康信息 (ePHI) 的监管要求,签约 BAA 的客户最初将使用 Esri 仅限美国个人的支持服务。 未来,这可能会根据需求扩展到标准的全球支持。 在标准条件下,运营和客户支持资源都不会查看 ArcGIS Online 客户数据集。 如果客户确定自己需要 Esri 支持帮助来访问、下载或查看与 BAA 涵盖的 ArcGIS Online 订阅相关的数据集,则 Esri 将联系预先确定的客户隐私资源以获得访问授权。

如果我需要的服务目前不符合 HIPAA 资格怎么办?

Esri 将继续添加 HIPAA 合格服务,此页面将随着 HIPAA 合格服务列表的增加而更新。 建议有即时服务需求但并非 HIPAA 合格的客户使用 ArcGIS Enterprise 产品来补充其在线服务需求。

资源

  • 管理 GIS 医疗信息(公开)
  • 使用 Security Adviser 工具验证最佳做法(公开信任中心工具)
  • HIPAA 隐私规则摘要(公开)

有关此主题的反馈?

在本主题中
  1. Esri 服务范围
  2. ArcGIS Online HIPAA 服务
  3. EMCS Advanced 和 Advanced Plus
  4. ArcGIS HIPAA 常见问题解答
  5. 资源