Close
Logo HIPAA

Ce tableau est conçu pour aider les organisations soumises à l'HIPAA (Health Insurance Portability and Accountability Act) à comprendre comment nous contribuons à la conformité HIPAA.

Si vous avez déjà un contrat Atlassian ou si vous souhaitez en savoir plus sur la façon dont ces exigences peuvent s'appliquer à votre organisation, contactez-nous.

Exigences

Description

Comment nous satisfaisons à cette exigence

Gestion des risques

Description

Réduction des risques et des vulnérabilités, réalisation d'évaluations périodiques techniques et non techniques en réponse aux changements environnementaux ou opérationnels

Comment nous satisfaisons à cette exigence

Chaque année, nous réalisons une évaluation des lacunes, nous actualisons notre analyse des risques de sécurité et nous obtenons une attestation HIPAA auprès d'une autorité de certification indépendante.

Nous réalisons des évaluations des risques qui comprennent l'identification, l'évaluation, l'assignation, l'acceptation, la remédiation et d'autres activités de gestion pertinentes, afin de nous assurer que nous respectons le niveau de risque convenu ainsi que les exigences juridiques et réglementaires pertinentes. Nous évaluons en permanence les contrôles et les stratégies d'atténuation, y compris en recommandant des changements de l'environnement de contrôle. Nous tenons une matrice des risques et des contrôles au sein de notre outil GRC (gouvernance, risque et conformité).

Sécurité du personnel

Description

Vérification des antécédents et procédures de licenciement appropriées

Comment nous satisfaisons à cette exigence

Conformément à notre politique globale, avant de rejoindre les équipes Atlassian, les personnes à qui nous proposons un poste sont soumises à une vérification des antécédents. Un ensemble complet de vérifications d'antécédents est automatiquement déclenché et exécuté pour tous les nouveaux employés, ainsi que pour les sous-traitants indépendants.

Les employés et sous-traitants qui ont accès à des informations confidentielles sont liés par leur contrat de travail et par un accord de confidentialité afin de garantir que leurs responsabilités et obligations en matière de sécurité des informations restent valables après leur départ, après un changement de poste ou après la rupture des relations contractuelles.

Description

Sanctions à l'encontre des membres du personnel

Comment nous satisfaisons à cette exigence

Lors de son intégration, chaque nouvel employé doit prendre connaissance du code de conduite et de la politique de la société en matière d'éthique, et suivre une formation de sensibilisation à la sécurité. Des sanctions formelles existent et sont appliquées à l'encontre des personnes contrevenant aux politiques et procédures établies en matière de sécurité des informations.

Gestion des accès aux informations

Description

Autorisations d'accès pour les employés traitant des informations de santé protégées électroniquement (ePHI)

Comment nous satisfaisons à cette exigence

Un rôle Active Directory est automatiquement assigné en fonction du service et de l'équipe de l'utilisateur. Les rôles sont strictement limités aux personnes ayant besoin d'un accès spécifique. Si un utilisateur intègre une nouvelle équipe, une alerte est générée, et déclenche le suivi et la suppression de l'accès existant, le cas échéant. Les propriétaires de systèmes ou Service Owners ont été désignés comme approbateurs afin d'accorder ou de modifier l'accès utilisateur dans les niveaux d'accès Active Directory pour divers systèmes.

L'accès privilégié aux environnements de production est strictement limité aux utilisateurs autorisés et appropriés.

L'accès au réseau et aux outils internes est limité aux utilisateurs autorisés via des mesures d'accès logiques. Chaque compte utilisateur doit :

  • disposer d'un compte Active Directory actif ; et
  • faire partie du groupe Active Directory approprié.

Description

Octroi des accès appropriés (principe du moindre privilège)

Description

Fermeture d'une session après une période d'inactivité prédéterminée

Comment nous satisfaisons à cette exigence

Le délai d'expiration maximal de session utilisateur pour les applications de bureau et mobiles est basé sur nos procédures opérationnelles standard (8 à 24 heures pour les sessions sur ordinateur, 30 à 90 jours pour les sessions mobiles).

Un économiseur d'écran est appliqué pour les terminaux macOS et Windows, et un mot de passe est requis pour déverrouiller les terminaux.

Gestion des réponses aux incidents

Description

Journalisation/Détection d'audit (inclut la surveillance des tentatives de connexion)

Comment nous satisfaisons à cette exigence

Nous conservons des journaux d'événements, et les protégeons contre toute perte ou altération. L'accès aux journaux est régulièrement contrôlé. La journalisation est activée dans notre environnement AWS, et les journaux sont redirigés vers Splunk. Nous avons déployé des alertes automatisées pour AWS, ainsi que pour les événements cloud conformes à la norme HIPAA en fonction d'événements et d'incidents de sécurité connus et antérieurs.

Nous appliquons un processus de revue afin d'ajuster et d'optimiser nos alertes, et d'éliminer les faux positifs. Un ingénieur en automatisation est dédié à la simplification du processus de développement et de tri des alertes.

Description

Identification et réponse aux incidents de sécurité potentiels ou avérés. Limitation et documentation des incidents et de leurs résultats.

Comment nous satisfaisons à cette exigence

En collaboration avec l'équipe de sécurité responsable du programme, nous avons mis en place un processus de gestion des incidents à l'échelle de l'organisation, qui comprend :

  • l'enregistrement de chaque action, lors de la gestion d'un incident, dans le système de gestion des incidents sous forme d'un ticket d'incident. Les enregistrements doivent inclure les informations suivantes :
    • L'heure de début de l'incident
    • La description de l'incident
    • La gravité
    • Les services concernés
    • L'impact
    • Le nombre de clients concernés
    • La cause profonde
    • Les mesures prises
    • Les objectifs de niveau de service (SLO) concernés, c'est-à-dire les capacités impactées
  • la détermination, dans la mesure du possible, de la cause des problèmes et/ou le regroupement des problèmes sous des incidents parent ;
  • la réalisation d'une revue post-incident (PIR) à la suite d'incidents majeurs et critiques.

Responsabilité en matière de sécurité

Description

Désignation d'une personne responsable du développement et de la mise en œuvre du programme de conformité à la norme HIPAA en matière de sécurité

Comment nous satisfaisons à cette exigence

Une personne est nommée responsable de la sécurité HIPAA. Notre responsable de la sécurité connaît ses responsabilités, comprend la norme de sécurité HIPAA et la façon dont ces exigences s'appliquent à nos produits.

Responsabilité en matière de confidentialité

Description

Désignation d'une personne responsable du développement et de la mise en œuvre du programme de conformité à la norme HIPAA en matière de confidentialité

Comment nous satisfaisons à cette exigence

Une personne est nommée responsable de la confidentialité HIPAA. Notre responsable de la confidentialité connaît ses responsabilités, comprend la norme de confidentialité HIPAA et la façon dont ces exigences s'appliquent à nos produits.

Sensibilisation et formation à la sécurité

Description

Formation de sensibilisation des utilisateurs

Comment nous satisfaisons à cette exigence

Dans le cadre du programme de sensibilisation à la sécurité Atlassian, tous les employés doivent suivre une formation annuelle. De plus, des exercices de sensibilisation à la sécurité sont organisés, et des communications ad hoc sont diffusées tout au long de l'année.

Planification d'urgence

Description

Procédures garantissant la continuité des processus métier critiques

Comment nous satisfaisons à cette exigence

Nous avons défini, examiné et testé des procédures de reprise d'activité. La politique décrit de façon générale le but, les objectifs, la portée, l'objectif de temps de récupération, l'objectif de point de récupération et les rôles/responsabilités. Nous testons des plans officiels de continuité de l'activité et de reprise d'activité sur une base trimestrielle. Afin de soutenir les composantes du plan d'urgence, nous évaluons chaque année la criticité des services et des systèmes.

Nous effectuons et testons des sauvegardes et des restaurations d'applications, de systèmes et de configurations associés aux actifs Atlassian conformément à nos procédures opérationnelles standard.

Accords de partenariat commercial

Description

Les accords de partenariat commercial contiennent des garanties précisant que vos données seront protégées de manière appropriée par Atlassian et des fournisseurs tiers.

Comment nous satisfaisons à cette exigence

Nous garantissons que nous protégerons vos informations de manière appropriée, et que nous n'utiliserons ou ne divulguerons vos informations que dans la mesure permise ou requise, partout où nous créerons, recevrons, conserverons ou transmettrons des informations de santé protégées en votre nom. Ces garanties sont consignées dans les accords de partenariat commercial conclus avec vous. Nous avons également créé un guide de mise en œuvre qui fournit des instructions aux clients sur la façon dont ils doivent utiliser et configurer nos services afin de s'assurer qu'ils protègent également leurs informations de manière appropriée.

En outre, nous veillons à ce que les fournisseurs tiers concernés sécurisent vos informations de santé protégées en leur demandant de signer un accord de partenariat commercial avec nous.

Sécurité physique et contrôle des terminaux

Description

Protection des installations physiques et des équipements contre l'altération ou le vol

Comment nous satisfaisons à cette exigence

Tous nos employés et sous-traitants reçoivent un badge de sécurité lors de leur intégration afin d'accéder physiquement aux installations. Lorsque l'employé quitte la société et que son profil est clôturé dans le système d'information des ressources humaines, notre système révoque automatiquement l'accès physique de l'employé.

Nous délivrons des badges temporaires aux visiteurs des sites locaux. Les visiteurs doivent rendre leurs badges à la sortie du bâtiment. Les badges qui ne sont pas rendus sont automatiquement désactivés.

Description

Mise en œuvre de mesures de protection physiques pour tous les postes de travail ayant accès à des informations de santé protégées électroniquement (ePHI)

Comment nous satisfaisons à cette exigence

Nous avons mis en place un réseau ZeroTrust qui autorise uniquement l'accès à partir d'appareils connus enregistrés sur une plateforme de gestion. Nous avons défini des niveaux de sécurité pour nos applications en fonction des données qu'elles stockent et des systèmes auxquels elles se connectent. Ce réseau est hiérarchisé comme suit : tier élevé, tier faible et tier ouvert. Le type et l'état de sécurité de l'appareil sont évalués afin de déterminer les applications auxquelles il peut accéder.

Nous gérons le chiffrement du disque, le verrouillage par mot de passe, et les correctifs de sécurité sur tous les ordinateurs portables exécutant macOS et Windows.

Nous avons configuré des périphériques de stockage de masse USB en lecture seule sur toutes les machines enregistrées par Atlassian qui exécutent macOS et Windows.

Description

Procédures relatives à la suppression définitive des ePHI et du matériel sur lequel les ePHI sont stockées

Comment nous satisfaisons à cette exigence

Nous effaçons tous les ordinateurs portables retournés avant qu'ils ne soient redéployés ou mis au rebut. Une procédure spécifique aux ordinateurs portables perdus/volés est également en place pour empêcher le vol de données.

Politiques et procédures

Description

Conservation de la documentation pendant 6 ans à compter de la date de sa création ou de sa dernière application

Comment nous satisfaisons à cette exigence

Toutes nos politiques sont révisées au moins une fois par an par leur propriétaire désigné et sont conservées indéfiniment. Pour obtenir un aperçu de nos politiques, consultez la page Politiques Atlassian en matière de sécurité et de technologie.

Notre politique de confidentialité est disponible ici.

Sécurité de la transmission

Description

Mesures de sécurité garantissant l'intégrité des ePHI

Comment nous satisfaisons à cette exigence

Nous chiffrons toutes les données des produits cloud conformes à la norme HIPAA au repos. En outre, nous chiffrons les données transmises sur des réseaux publics et nous nous assurons que les données atteignent leur destination.

Les utilisateurs externes se connectent à des produits cloud conformes à la norme HIPAA en utilisant du trafic chiffré via le protocole SSL.

Description

Mécanismes de chiffrement des ePHI chaque fois que cela est jugé approprié

Certification

À l'heure actuelle, il n'existe aucune certification relative à la norme HIPAA. Les organismes qui certifient les technologies de santé n'approuvent pas les logiciels, et n'habilitent pas les autorités de certification indépendantes à accréditer les partenaires commerciaux ou les entités couvertes disposant d'une attestation HIPAA. Par conséquent, il n'existe aucune certification officielle attestant de notre conformité à la norme HIPAA. Cependant, nos produits cloud font chaque année l'objet d'une vérification indépendante portant sur l'efficacité opérationnelle des contrôles de sécurité, de confidentialité et de conformité. Une autorité de certification indépendante a réalisé un audit, et a confirmé qu'Atlassian a mis en place les contrôles et pratiques nécessaires pour garantir le respect de toutes les réglementations HIPAA.