Conformité HIPAA

Genesys Cloud s’engage à respecter la confidentialité de vos informations et de celles de vos clients, y compris les informations de santé protégées électroniques (ePHI). Dans le cadre de cet engagement, de nombreux services Genesys Cloud sont conformes à la loi HIPAA (Health Insurance Portability and Accountability Act), répondant spécifiquement aux garanties administratives, physiques et techniques requises par la loi. Demandez à un représentant des ventes des questions de conformité participant particulières, y compris les accords d’associés d’affaires (BAA) et la vérification de la troisième conformité.

Qu’est-ce que HIPAA ?

le Loi sur la portabilité et la responsabilisation en matière d’assurance maladie (HIPAA) est une loi fédérale des États-Unis qui a été adoptée à l’origine en 1996 et comprend des ajouts ultérieurs adoptés dans les années qui ont suivi. Parce que HIPAA est un US Étant donné que la HIPAA est une loi fédérale des États-Unis, elle ne régit que les transactions ou les entités aux États-Unis et n’est pas une loi ou une norme internationale. 

HIPAA a été conçu pour réglementer à la fois les régimes d’assurance maladie (Titre I) et la confidentialité et la sécurité des renseignements sur la santé (Titre II), entre autres choses. La règle de confidentialité du Titre II réglemente l’utilisation et la divulgation de renseignements sur la santé protégés (IsP). La règle de sécurité du Titre II complète la règle de confidentialité et prévoit les garanties administratives, physiques et techniques requises pour la conformité à la HIPAA.

Qu’est-ce qu’un associé et un BAA ?

Entités couvertes, qui comprennent les prestataires de soins de santé, les prestataires de plans de santé et les centres d’échange d’informations sur les soins de santé, peut engager Genesys Cloud dans le rôle d’un associé commercial pour les aider à mener à bien leurs activités et fonctions de soins de santé. Les associés d’affaires comprennent les entités qui exécutent des fonctions ou des activités pour le compte d’entités couvertes ou qui fournissent certains services, comme la création, la réception, la maintenance et/ou la transmission de renseignements protégés sur la santé. 

En règle générale, les entités couvertes utilisant les services d'un associé commercial doivent avoir un BAA écrit avec chaque associé commercial. Une BAA devrait s’assurer que les associés d’affaires protégeront de façon appropriée les renseignements sur la santé protégés et devrait également clarifier et limiter les utilisations et les divulgations permises de renseignements sur la santé protégés par l’associé d’affaires.

Genesys Cloud -il certifié HIPAA ?

Il n’y a pas de certification HIPAA pour un fournisseur de services cloud tel que Genesys Cloud. Cependant, Genesys Cloud a fait l’objet d’un audit indépendant qui a vérifié nos contrôles administratifs, physiques et techniques.  

En tant qu’associé commercial potentiel des entités couvertes, Genesys Cloud est tenu de mettre en œuvre les contrôles administratifs, physiques et techniques requis pour la conformité HIPAA. Pour plus d’informations sur ces contrôles, le programme de sécurité Genesys Cloud, la sécurité du réseau et bien plus, consultezSécurité et conformité.

Genesys Cloud -il conforme HIPAA ?

Genesys Cloud fonctionnalités de Genesys Cloud sont conformes HIPAA avec les exceptions suivantes :

  • Emails ACD
  • SMS
Mise en garde: Mise en garde :L’utilisation de services non conformes à la HIPAA pour transmettre l’ePHI n’est pas couverte par les termes du Genesys Cloud BAA.

Qu'en est-il des applications AppFoundry, des intégrations tierces et de vos propres fournisseurs de services technologiques ? 

Genesys Cloud ne peut garantir que tiers participant fournisseurs sont conformes HIPAA. Bien que Genesys Cloud BAA n’exclut pas les communications vers et depuis des fournisseurs tiers participant, notre BAA ne s’étend pas au-delà de Genesys Cloud.

En règle générale, si vous utilisez une technologie tierce pour communiquer des informations de santé protégées vers ou depuis Genesys Cloud, vous devez avoir un BAA avec Genesys Cloud et le fournisseur de technologie tiers.  Par exemple, si vous utilisez un plate-forme de messagerie tierce avec un canal tiers tel que Facebook, Twitter ou WhatsApp, vous devez avoir à la fois un BAA avec Genesys et un BAA avec la plateforme de messagerie tierce.  De même, si vous utilisez une application du AppFoundry tel que Flux de dialogue Google ou Amazon Lex pour communiquer ePHI vers ou depuis Genesys Cloud, vous devez avoir un BAA avec Genesys et le tiers, Google Dialogflow ou Amazon Lex.

Où Genesys Cloud prend Genesys Cloud charge la conformité HIPAA ?

La conformité HIPAA est disponible dans les régions Amazon Web Services (AWS) US East et US West.

Genesys Cloud a Genesys Cloud t Genesys Cloud il un accord d’association commerciale avec Amazon Web Services (AWS) ?

Oui. Le BAA entre Genesys Cloud et AWS couvre les informations que Genesys Cloud stocke dans AWS.  Cet accord permet de garantir que vos données client sont entièrement protégées.

Qu’est-ce qui est différent dans Genesys Cloud avec la conformité HIPAA activée ?

Genesys Cloud fournit aux organisations conformes à la HIPAA une interface utilisateur et une expérience utilisateur similaires à celles des organisations non conformes à la HIPAA. Cependant, certaines fonctionnalités de Genesys Cloud fonctionnent différemment pour les organisations conformes à la loi HIPAA.

En outre, lorsque la conformité HIPAA est activée pour votre organisation, Genesys Cloud appliquera un délai d'inactivité de 15 minutes. Ce délai d'inactivité est également applicable aux clients OAuth. Toutefois, ce délai d'inactivité est réinitialisé chaque fois qu'une application, telle que l'interface utilisateur de Genesys Cloud, effectue une demande au nom de l'utilisateur, par exemple pour récupérer des données afin de maintenir l'application à jour ou pour enregistrer les journaux de l'application. Toute demande remet à zéro le délai d'inactivité. Par conséquent, les organisations conformes à la loi HIPAA doivent appliquer un délai d'inactivité sur les postes de travail des utilisateurs afin de respecter la politique de l'organisation. Pour personnaliser le délai d'inactivité d'une organisation, voir Définir un délai d'inactivité automatique

Remarques:

Comment puis-je PureCloud m’inscrire à la conformité HIPAA ?

Toutes les PureCloud organisations HIPAA exigent PureCloud un accord d’associé d’affaires valide avec.  Lorsqu’une entente d’associé d’affaires est signée par toutes les parties, PureCloud vous verrez un basculement HIPAA pour votre organisation.

Si vous êtes administrateur, vous statut pouvez vérifier la conformité HIPAA de votre organisation en examinant le réglage HIPAA Gérer la page Organisation :Paramètresonglet

Comment puis-je configurer un baccord d’associé usiness avec PureCloud ?

Pour recevoir un BAA de Genesys Cloud, contactez dataprivacy@genesys.com. Si vous avez un BAA et devez activer HIPAA, contactezService client Genesys Cloud.

Puis-je activer la conformité PureCloud HIPAA sur une organisation existante ?

Si vous êtes administrateur, vous statut pouvez vérifier la conformité HIPAA de votre organisation en examinant le réglage HIPAA Gérer la page Organisation :Paramètresonglet. Si vous avez besoin de to activer la conformité HIPAA, Nous contacter.

Puis-je utiliser des services non conformes avec la conformité HIPAA activé ?

Oui. Toutefois, l’utilisation de services non conformes à la HIPAA pour transmettre des renseignements électroniques protégés sur la santé n’est pas couverte par la PureCloud BAA et peut constituer une violation des règlements de la HIPAA. Pour plus d’informations, Contactez-nous.

Ai-je la responsabilité d’utiliser Genesys Cloud de manière conforme au RGPD ?

Clients Genesys Cloud :

  • Devrait utiliser le chiffrement complet du disque.
  • Doit avoir un BAA écrit avec tout fournisseur tiers que les clients utiliseront pour transmettre des informations de santé protégées avec Genesys Cloud.
  • Doit faire respecter délai une utilisateur inactivité sur les postes de travail pour répondre à la politique organisationnelle. 

L’API PureCloud a un inactif HIPAA délai. Mais les applications, y PureCloud compris l’interface, utilisateur utilisateur peuvent inactif faire des demandes au nom de la utilisateur tandis que le est. Ces demandes comprennent la recherche application de données application pour tenir les journaux à jour ou les journaux d’enregistrement. Une demande réinitialise le délai API HIPAA.

Lors de PureCloud l’utilisation du utilisateur inactif web ou bureau des applications, si l’api est plus délai long que celui-ci, le utilisateur message suivant les incitant à ré-authentifier.

Mise en garde: Le seul moyen de garantir le délai inactivité requis par HIPAA est un verrouillage du système d’exploitation sur le poste de travail utilisateur. PureCloudrecommande une inactivité délai de 15 minutes sur utilisateur les postes de travail.  

PureCloudstocker, s’il y a du temps, un jeton de session dans un stockage local sur les périphériques clients afin que PureCloud les sessions puissent survivre aux navigateurs qui sont fréquemment fermés et rouverts.

Pour plus d’informations, Contactez-nous.

Plus d'informations sur le délai d'inactivité

La réglementation HIPAA relative aux garanties techniques (45 CFR 164.312) stipule qu'une entité ou entreprise concernée doit, conformément à l'article 164.306, mettre en œuvre des politiques et procédures techniques pour les systèmes d'information électroniques (qui conservent les ePHI) qui, entre autres, n'autorisent l'accès qu'aux personnes ou aux programmes logiciels auxquels des droits d'accès ont été accordés conformément à l'article 164.308(a)(4). Les spécifications de mise en œuvre stipulent, à l'article 164.312(a)(2)(iii), "Mettre en œuvre des procédures électroniques qui mettent fin à une session électronique après un temps d'inactivité prédéterminé". Ni la loi, ni le règlement, ni le HHS n'ont établi de mesure de temps spécifique pour le "temps prédéterminé d'inactivité" ou ce qui constitue l'"inactivité". Genesys Cloud détermine l'inactivité au cours d'une session électronique en se basant, entre autres, sur le temps écoulé entre certains appels API, étant donné que les interfaces utilisateur au sein du système s'appuient sur les appels API pour recevoir et transmettre des données. En tant que tels, ces appels à l'API reflètent généralement l'activité de l'agent ou, dans ce contexte, son inactivité avec l'interface utilisateur. Genesys Cloud utilise actuellement un délai d'attente par défaut de 15 minutes comme "temps d'inactivité prédéterminé" raisonnable entre ces appels API pour mettre fin à une session électronique, c'est-à-dire déconnecter l'agent, afin de protéger les ePHI dans notre système contre tout accès non autorisé. Le délai d'attente est configurable par le client jusqu'à un minimum de 5 minutes.