Ce tableau est conçu pour aider les organisations soumises à l'HIPAA (Health Insurance Portability and Accountability Act) à comprendre comment nous contribuons à la conformité HIPAA.
Si vous avez déjà un contrat Atlassian ou si vous souhaitez en savoir plus sur la façon dont ces exigences peuvent s'appliquer à votre organisation, contactez-nous.
Exigences | Description | Comment nous satisfaisons à cette exigence |
---|---|---|
Description Réduction des risques et des vulnérabilités, réalisation d'évaluations périodiques techniques et non techniques en réponse aux changements environnementaux ou opérationnels | Comment nous satisfaisons à cette exigence Chaque année, nous réalisons une évaluation des lacunes, nous actualisons notre analyse des risques de sécurité et nous obtenons une attestation HIPAA auprès d'une autorité de certification indépendante. | |
Description Vérification des antécédents et procédures de licenciement appropriées | Comment nous satisfaisons à cette exigence Conformément à notre politique globale, avant de rejoindre les équipes Atlassian, les personnes à qui nous proposons un poste sont soumises à une vérification des antécédents. Un ensemble complet de vérifications d'antécédents est automatiquement déclenché et exécuté pour tous les nouveaux employés, ainsi que pour les sous-traitants indépendants. | |
Description Sanctions à l'encontre des membres du personnel | Comment nous satisfaisons à cette exigence Lors de son intégration, chaque nouvel employé doit prendre connaissance du code de conduite et de la politique de la société en matière d'éthique, et suivre une formation de sensibilisation à la sécurité. Des sanctions formelles existent et sont appliquées à l'encontre des personnes contrevenant aux politiques et procédures établies en matière de sécurité des informations. | |
Gestion des accès aux informations | Description Autorisations d'accès pour les employés traitant des informations de santé protégées électroniquement (ePHI) | Comment nous satisfaisons à cette exigence Un rôle Active Directory est automatiquement assigné en fonction du service et de l'équipe de l'utilisateur. Les rôles sont strictement limités aux personnes ayant besoin d'un accès spécifique. Si un utilisateur intègre une nouvelle équipe, une alerte est générée, et déclenche le suivi et la suppression de l'accès existant, le cas échéant. Les propriétaires de systèmes ou Service Owners ont été désignés comme approbateurs afin d'accorder ou de modifier l'accès utilisateur dans les niveaux d'accès Active Directory pour divers systèmes.
|
Description Octroi des accès appropriés (principe du moindre privilège) | ||
Description Fermeture d'une session après une période d'inactivité prédéterminée | Comment nous satisfaisons à cette exigence Le délai d'expiration maximal de session utilisateur pour les applications de bureau et mobiles est basé sur nos procédures opérationnelles standard (8 à 24 heures pour les sessions sur ordinateur, 30 à 90 jours pour les sessions mobiles). | |
Description Journalisation/Détection d'audit (inclut la surveillance des tentatives de connexion) | Comment nous satisfaisons à cette exigence Nous conservons des journaux d'événements, et les protégeons contre toute perte ou altération. L'accès aux journaux est régulièrement contrôlé. La journalisation est activée dans notre environnement AWS, et les journaux sont redirigés vers Splunk. Nous avons déployé des alertes automatisées pour AWS, ainsi que pour les événements cloud conformes à la norme HIPAA en fonction d'événements et d'incidents de sécurité connus et antérieurs. | |
Description Identification et réponse aux incidents de sécurité potentiels ou avérés. Limitation et documentation des incidents et de leurs résultats. | Comment nous satisfaisons à cette exigence En collaboration avec l'équipe de sécurité responsable du programme, nous avons mis en place un processus de gestion des incidents à l'échelle de l'organisation, qui comprend :
| |
Responsabilité en matière de sécurité | Description Désignation d'une personne responsable du développement et de la mise en œuvre du programme de conformité à la norme HIPAA en matière de sécurité | Comment nous satisfaisons à cette exigence Une personne est nommée responsable de la sécurité HIPAA. Notre responsable de la sécurité connaît ses responsabilités, comprend la norme de sécurité HIPAA et la façon dont ces exigences s'appliquent à nos produits. |
Responsabilité en matière de confidentialité | Description Désignation d'une personne responsable du développement et de la mise en œuvre du programme de conformité à la norme HIPAA en matière de confidentialité | Comment nous satisfaisons à cette exigence Une personne est nommée responsable de la confidentialité HIPAA. Notre responsable de la confidentialité connaît ses responsabilités, comprend la norme de confidentialité HIPAA et la façon dont ces exigences s'appliquent à nos produits. |
Sensibilisation et formation à la sécurité | Description Formation de sensibilisation des utilisateurs | Comment nous satisfaisons à cette exigence Dans le cadre du programme de sensibilisation à la sécurité Atlassian, tous les employés doivent suivre une formation annuelle. De plus, des exercices de sensibilisation à la sécurité sont organisés, et des communications ad hoc sont diffusées tout au long de l'année. |
Description Procédures garantissant la continuité des processus métier critiques | Comment nous satisfaisons à cette exigence Nous avons défini, examiné et testé des procédures de reprise d'activité. La politique décrit de façon générale le but, les objectifs, la portée, l'objectif de temps de récupération, l'objectif de point de récupération et les rôles/responsabilités. Nous testons des plans officiels de continuité de l'activité et de reprise d'activité sur une base trimestrielle. Afin de soutenir les composantes du plan d'urgence, nous évaluons chaque année la criticité des services et des systèmes. | |
Accords de partenariat commercial | Description Les accords de partenariat commercial contiennent des garanties précisant que vos données seront protégées de manière appropriée par Atlassian et des fournisseurs tiers. | Comment nous satisfaisons à cette exigence Nous garantissons que nous protégerons vos informations de manière appropriée, et que nous n'utiliserons ou ne divulguerons vos informations que dans la mesure permise ou requise, partout où nous créerons, recevrons, conserverons ou transmettrons des informations de santé protégées en votre nom. Ces garanties sont consignées dans les accords de partenariat commercial conclus avec vous. Nous avons également créé un guide de mise en œuvre qui fournit des instructions aux clients sur la façon dont ils doivent utiliser et configurer nos services afin de s'assurer qu'ils protègent également leurs informations de manière appropriée. |
Description Protection des installations physiques et des équipements contre l'altération ou le vol | Comment nous satisfaisons à cette exigence Tous nos employés et sous-traitants reçoivent un badge de sécurité lors de leur intégration afin d'accéder physiquement aux installations. Lorsque l'employé quitte la société et que son profil est clôturé dans le système d'information des ressources humaines, notre système révoque automatiquement l'accès physique de l'employé. | |
Description Mise en œuvre de mesures de protection physiques pour tous les postes de travail ayant accès à des informations de santé protégées électroniquement (ePHI) | Comment nous satisfaisons à cette exigence Nous avons mis en place un réseau ZeroTrust qui autorise uniquement l'accès à partir d'appareils connus enregistrés sur une plateforme de gestion. Nous avons défini des niveaux de sécurité pour nos applications en fonction des données qu'elles stockent et des systèmes auxquels elles se connectent. Ce réseau est hiérarchisé comme suit : tier élevé, tier faible et tier ouvert. Le type et l'état de sécurité de l'appareil sont évalués afin de déterminer les applications auxquelles il peut accéder. | |
Description Procédures relatives à la suppression définitive des ePHI et du matériel sur lequel les ePHI sont stockées | Comment nous satisfaisons à cette exigence Nous effaçons tous les ordinateurs portables retournés avant qu'ils ne soient redéployés ou mis au rebut. Une procédure spécifique aux ordinateurs portables perdus/volés est également en place pour empêcher le vol de données. | |
Politiques et procédures | Description Conservation de la documentation pendant 6 ans à compter de la date de sa création ou de sa dernière application | Comment nous satisfaisons à cette exigence Toutes nos politiques sont révisées au moins une fois par an par leur propriétaire désigné et sont conservées indéfiniment. Pour obtenir un aperçu de nos politiques, consultez la page Politiques Atlassian en matière de sécurité et de technologie. |
Description Mesures de sécurité garantissant l'intégrité des ePHI | Comment nous satisfaisons à cette exigence Nous chiffrons toutes les données des produits cloud conformes à la norme HIPAA au repos. En outre, nous chiffrons les données transmises sur des réseaux publics et nous nous assurons que les données atteignent leur destination. | |
Description Mécanismes de chiffrement des ePHI chaque fois que cela est jugé approprié |
Certification
À l'heure actuelle, il n'existe aucune certification relative à la norme HIPAA. Les organismes qui certifient les technologies de santé n'approuvent pas les logiciels, et n'habilitent pas les autorités de certification indépendantes à accréditer les partenaires commerciaux ou les entités couvertes disposant d'une attestation HIPAA. Par conséquent, il n'existe aucune certification officielle attestant de notre conformité à la norme HIPAA. Cependant, nos produits cloud font chaque année l'objet d'une vérification indépendante portant sur l'efficacité opérationnelle des contrôles de sécurité, de confidentialité et de conformité. Une autorité de certification indépendante a réalisé un audit, et a confirmé qu'Atlassian a mis en place les contrôles et pratiques nécessaires pour garantir le respect de toutes les réglementations HIPAA.