Smartsheet y el cumplimiento con la HIPAA

Este artículo no constituye, ni tiene la intención de constituir, asesoramiento legal; en cambio, toda la información proporcionada en este artículo es para que la revise como parte de sus propios esfuerzos de cumplimiento de la HIPAA.

Cualquier término en mayúsculas que se utilice en este documento, pero que no esté definido, tendrá las definiciones asignadas en virtud de la HIPAA o del acuerdo que rige su uso de los servicios en línea basados en suscripciones de Smartsheet (Acuerdo de suscripción). 

HIPAA

La HIPAA es una ley federal que establece normas nacionales para regular cómo los planes de salud, los centros de distribución de información médica y los profesionales de la salud («Entidades cubiertas») utilizan o divulgan la información sobre los pacientes denominada “Información de salud protegida” o “PHI”, o cómo acceden a ella. 

Las normas nacionales estipuladas en virtud de la HIPAA también pueden extenderse a subcontratistas que presten servicios a las Entidades cubiertas («Asociados comerciales»), o sus subcontratistas («Subcontratistas de asociados comerciales»), que estén en contacto con la PHI en su nombre.La HIPAA se implementa a través del Departamento de Salud y Servicios Humanos de EE. UU.

DESCRIPCIÓN DEL SERVICIO

Smartsheet ofrece a sus clientes servicios y aplicaciones en línea basados en suscripciones (en conjunto, los Servicios de suscripción) que se proporcionan a los clientes elegibles con medidas de seguridad adicionales diseñadas para permitir a los clientes cumplir con sus obligaciones según la HIPAA.

Smartsheet implementa requisitos de solidificación y configuración consistentes en su enfoque con las recomendaciones del Instituto SANS, el Instituto Nacional de Estándares y Tecnología (NIST) o el Centro para la Seguridad en Internet (CIS), o estándares sucesores ampliamente utilizados en la industria diseñados para permitirle cumplir con sus obligaciones según la HIPAA.

“Contenido del Cliente” hace referencia a cualquier dato, archivo adjunto, texto, imágenes, informes, información personal u otro contenido que el Cliente o los Usuarios carguen o envíen a los Servicios en línea y que Smartsheet procese en representación del Cliente. Los datos que envía a los Servicios en línea están protegidos contra el acceso no autorizado mediante controles de seguridad que ofrecen una protección equivalente a la segregación lógica.

Smartsheet celebra acuerdos de asociación comercial con sus subcontratistas que procesan los datos de los clientes, lo que le permite almacenar archivos adjuntos que contienen PHI en los Servicios de suscripción que le permitenCumpla con sus obligaciones de HIPAA.

Si elige integrar o almacenar adjuntos a través de un tercero, usted es el único responsable de garantizar los controles y se han implementado acuerdos. Smartsheet es independiente de los datos con respecto a su tratamiento y al tipo o contenido de los datos que envía a los Servicios.

Smartsheet solo accederá o analizará el contenido de sus datos (a) según lo solicite para habilitar la prestación de servicios o soporte; y (b) según sea necesario para que Smartsheet (i) cumpla con la ley o los procedimientos legales aplicables, o (ii) investigue, evite o tome medidas contra sospechas de abuso, fraude o violación del Acuerdo de suscripción.

Organización de evaluación de terceros (3PAO)

 

Smartsheet utiliza asesores externos (3PAO) para verificar la adecuación de sus medidas de seguridad en torno a los Servicios de suscripción anualmente. Esta auditoría:

a) Incluirá el ensayo de todo el período de medición desde que finalizó el período de medición anterior;

(b) Se llevará a cabo de acuerdo con las normas SOC2 de AICPA o con otras normas alternativas que sean sustancialmente equivalentes a SOC2 de AICPA;

(c) será realizado por profesionales de seguridad externos independientes a cargo y selección de Smartsheet; y

d) Dará lugar a la elaboración de un informe de auditoría (Informe de auditoría) con respecto a los Servicios de suscripción que Smartsheet pondrá a disposición del público.

Un informe de auditoría estará a su disposición cuando lo solicite por escrito y solo una vez al año, sujeto a los términos de confidencialidad mutuamente acordados que abarcan el informe de auditoría. Para evitar dudas, cualquier informe de auditoría que se ponga a su disposición será información confidencial de Smartsheet.

    Responsabilidades del Cliente.

Para almacenar PHI en los servicios en línea, debe tener un plan Empresarial (excepto el plan Empresarial Heredado) y haber ingresado en el plan de Smartsheet Acuerdo de socio comercial (BAA).

Solo los usuarios empresariales tienen la capacidad de implementar las funciones y funcionalidades de Smartsheet necesarias para que usted cumpla con sus obligaciones según la HIPAA. Si determina que requiere capacidades de auditoría de usuarios más detalladas, se recomienda que aproveche Informe de eventos o tener acceso a Smartsheet Advance..

Modelo de responsabilidad compartida

Smartsheet emplea un software como servicio (SaaS) modelo de responsabilidad compartida entre usted y Smartsheet. Smartsheet es responsable de proporcionar medidas a nuestra plataforma que le permitan cumplir con sus requisitos normativos. Estas medidas incluyen la restauración de los sistemas de información mediante la incorporación de capacidades de protección, detección y reacción como se describe en la Figura 1 a continuación. Para obtener instrucciones y recomendaciones específicas sobre el control, consulte Responsabilidad del cliente para Configurar la configuración de seguridad a continuación.

Usted es responsable de determinar si se requiere un acuerdo de asociación comercial con Smartsheet y para garantizar que usted y sus usuarios utilicen los Servicios de suscripción de acuerdo con sus obligaciones según la HIPAA. Esto incluye comprender e implementar los controles de seguridad personalizables proporcionados por Smartsheet que considere necesarios para cumplir con sus obligaciones de cumplimiento de la HIPAA. 

Responsabilidad del cliente de configurar los ajustes de seguridad

Smartsheet proporciona configuraciones personalizables diseñadas para garantizar que sus datos estén seguros. Estas configuraciones están diseñadas para garantizar que cualquier PHI que envíe a los Servicios de suscripción esté se utiliza y/o se accede de acuerdo con sus instrucciones y/o según lo permita la BAA entre usted y Smartsheet. La obligación de garantizar que su uso de los Servicios en línea le permita cumplir con sus obligaciones HIPAA es exclusivamente su responsabilidad.

Consulte por favor Configurar controles de seguridad para un plan Empresarial y otros artículos de ayuda relacionados para obtener más información e instrucciones.

Recursos adicionales

Los recursos adicionales vinculados a continuación, aunque no son específicos de la HIPAA, pueden ayudarlo a comprender cómo se diseña el Servicio de suscripción teniendo en cuenta la privacidad, la confidencialidad y la disponibilidad de los datos. 

• Aviso de privacidad de Smartsheet
• Artículos de ayuda de Smartsheet
• Smartsheet para el sector de la atención médica

Este artículo de ayuda es solo para fines informativos. Cada cliente debe evaluar de manera independiente su propia uso de los Servicios de suscripción según corresponda para respaldar sus obligaciones de cumplimiento legal. MICROSOFT NO OFRECE GARANTÍA ALGUNA, EXPRESA, IMPLÍCITA O REGULATORIA, EN CUANTO A LA INFORMACIÓN EN ESTA PRESENTACIÓN.

 

Para obtener más ayuda con la HIPAA, póngase en contacto con nuestro Equipo de finanzas