Cumplimiento de HIPAA
Genesys Cloud se compromete a respetar la privacidad de su información y la de su cliente, incluida la información médica protegida electrónica (ePHI). Como parte de este compromiso, muchos servicios de Genesys Cloud cumplen con la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), y cumplen específicamente con las salvaguardas administrativas, físicas y técnicas requeridas por la ley. Pregúntele a un representante de ventas sobre asuntos de cumplimiento específicos, incluidos los acuerdos de socios comerciales (BAA) y la verificación de cumplimiento de terceros.
¿Qué es HIPAA?
los Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) es una ley federal de los Estados Unidos que se aprobó originalmente en 1996 e incluye adiciones posteriores aprobadas en los años posteriores. Debido a que la HIPAA es una Ley federal, solo rige transacciones o entidades dentro de los Estados Unidos y no es una ley o estándar internacional.
La HIPAA fue diseñada para regular tanto los planes de seguro médico (Título I) como la privacidad y seguridad de la información médica (Título II), entre otras cosas. La Regla de Privacidad en el Título II regula el uso y divulgación de información médica protegida (PHI). La Regla de seguridad en el Título II complementa la Regla de privacidad y establece las salvaguardas administrativas, físicas y técnicas requeridas para el cumplimiento de HIPAA.
¿Qué es un socio comercial y un BAA?
Entidades cubiertas, que incluyen proveedores de atención médica, proveedores de planes de salud y centros de compensación de atención médica, puede contratar a Genesys Cloud en el papel de un socio comercial para ayudar a llevar a cabo sus actividades y funciones de atención médica. Los socios comerciales incluyen entidades que realizan funciones o actividades en nombre de, o brindan ciertos servicios a las entidades cubiertas, como crear, recibir, mantener y / o transmitir información médica protegida.
Generalmente, las entidades cubiertas que utilizan los servicios de un socio comercial deben tener un BAA por escrito con cada socio comercial. Un BAA debe garantizar que los socios comerciales salvaguarden adecuadamente la información médica protegida y también debe aclarar y limitar los usos y divulgaciones permitidos de la información médica protegida por parte del socio comercial.
¿Genesys Cloud tiene la certificación HIPAA?
No existe una certificación HIPAA para un proveedor de servicios en la nube como Genesys Cloud. Sin embargo, Genesys Cloud se sometió a una auditoría independiente que verificó nuestros controles administrativos, físicos y técnicos.
Como socio comercial potencial de las entidades cubiertas, Genesys Cloud debe implementar los controles administrativos, físicos y técnicos requeridos para el cumplimiento de HIPAA. Para obtener detalles sobre estos controles, el programa de seguridad Genesys Cloud, la seguridad de la red y más, consulte Seguridad y cumplimiento.
¿Genesys Cloud cumple con HIPAA?
Las funciones de Genesys Cloud cumplen con HIPAA con las siguientes excepciones:
- Correos electrónicos de ACD
- Mensajes SMS
¿Qué pasa con las aplicaciones de AppFoundry, las integraciones de terceros y traiga sus propios proveedores de servicios de tecnología?
Genesys Cloud no puede garantizar que los proveedores externos cumplan con la HIPAA. Si bien Genesys Cloud BAA no excluye las comunicaciones hacia y desde terceros proveedores, nuestro BAA no se extiende más allá de Genesys Cloud.
Por lo general, si utiliza una tecnología de terceros para comunicar información de salud protegida hacia o desde Genesys Cloud, debe tener un BAA tanto con Genesys Cloud como con el proveedor de tecnología de terceros. Por ejemplo, si usa un plataforma de mensajería de terceros con un canal de terceros como Facebook, Twitter o WhatsApp, debe tener un BAA con Genesys y un BAA con la plataforma de mensajería de terceros. Del mismo modo, si utiliza una aplicación del AppFoundry tal como Google Dialogflow o Amazon Lex Para comunicar ePHI hacia o desde Genesys Cloud, debe tener un BAA tanto con Genesys como con el tercero, Google Dialogflow o Amazon Lex.
¿Dónde apoya Genesys Cloud el cumplimiento de HIPAA?
El cumplimiento de HIPAA está disponible en las regiones Este y Oeste de EE. UU. De Amazon Web Services (AWS).
¿Genesys Cloud tiene un acuerdo de socio comercial con Amazon Web Services (AWS)?
Si. El BAA entre Genesys Cloud y AWS cubre la información que Genesys Cloud almacena en AWS. Este acuerdo ayuda a garantizar que los datos de sus clientes estén completamente protegidos.
¿Qué es diferente en Genesys Cloud con el cumplimiento de HIPAA habilitado?
Genesys Cloud proporciona a las organizaciones que cumplen con HIPAA una interfaz de usuario y una experiencia de usuario similares a las de las organizaciones que no cumplen con HIPAA. Sin embargo, algunas funciones de Genesys Cloud funcionan de manera diferente para las organizaciones que cumplen con HIPAA.
Además, cuando se habilita el cumplimiento de la HIPAA para su organización, Genesys Cloud aplicará un tiempo de espera de 15 minutos. Este tiempo de espera se aplica también a los clientes OAuth. Sin embargo, este tiempo de espera de inactividad se restablece cada vez que una aplicación, como la interfaz de usuario de Genesys Cloud, realiza una solicitud en nombre del usuario, por ejemplo, la obtención de datos para mantener la aplicación actualizada o el almacenamiento de registros de la aplicación. Cualquier solicitud reinicia el tiempo de espera de inactividad. En consecuencia, las organizaciones que cumplen con la HIPAA deben imponer un tiempo de inactividad en las estaciones de trabajo de los usuarios para cumplir con la política de la organización. Para personalizar el tiempo de inactividad de una organización, consulte Configurar un tiempo de inactividad automático.
- Genesys Cloud proporciona el mismo alto nivel de seguridad a todas las organizaciones. Las organizaciones que cumplen con HIPAA y las organizaciones que no cumplen con HIPAA son igualmente seguras.
- Los mensajes SMS no cumplen con HIPAA y no deben usarse para transmitir ePHI.
- Permitir PII en las notificaciones por correo electrónico y Transcripción de mensajes de voz opciones no están disponibles con la HIPAA activada.
¿Cómo me registro en Genesys Cloud con el cumplimiento de HIPAA?
Todas las organizaciones de HIPAA Genesys Cloud requieren un contrato de socio comercial válido con Genesys Cloud. Cuando todas las partes firman un acuerdo de socio comercial, Genesys Cloud establecerá un interruptor de HIPAA para su organización.
Si es administrador, puede verificar el estado del cumplimiento de la HIPAA de su organización revisando la configuración de HIPAA en el Página Administrar organización: pestaña Configuración.
¿Cómo configuro abacuerdo de asociado de negocios con Genesys Cloud?
Para recibir un BAA de Genesys Cloud, comuníquese con dataprivacy@genesys.com. Si tiene un BAA y necesita habilitar HIPAA, comuníquese con Atención al cliente de Genesys Cloud.
¿Puedo habilitar el cumplimiento de HIPAA en una organización existente de Genesys Cloud?
Si es administrador, puede verificar el estado del cumplimiento de la HIPAA de su organización revisando la configuración de HIPAA en el Página Administrar organización: pestaña Configuración. Si necesitas to habilitar el cumplimiento de HIPAA, Contáctenos.
¿Puedo utilizar servicios no compatibles con el cumplimiento de HIPAA habilitado?
Si. Sin embargo, el uso de servicios que no cumplen con HIPAA para transmitir información médica protegida electrónica no está cubierto por Genesys Cloud BAA y puede ser una violación de las regulaciones de HIPAA. Para más información, Contáctenos.
¿Tengo alguna responsabilidad por usar Genesys Cloud de manera compatible con HIPAA?
Clientes de Genesys Cloud:
- Debería utilizar Full Disk Encryption.
- Debe tener un BAA por escrito con cualquier proveedor externo que los clientes usen para transmitir información médica protegida con Genesys Cloud.
- Debe imponer un tiempo de espera de inactividad en las estaciones de trabajo de los usuarios para cumplir con la política de la organización.
La API de Genesys Cloud tiene un tiempo de espera inactivo de HIPAA. Pero las aplicaciones, incluida la interfaz de usuario de Genesys Cloud, pueden realizar solicitudes en nombre del usuario mientras el usuario está inactivo. Estas solicitudes incluyen obtener datos para mantener la aplicación actualizada o guardar registros de la aplicación. Una solicitud restablece el tiempo de espera de la API de HIPAA.
Al utilizar las aplicaciones web o de escritorio de Genesys Cloud, si el usuario está inactivo más tiempo que el tiempo de espera de la API, verá el siguiente mensaje que le pedirá que se vuelva a autenticar.
Genesys Cloud puede almacenar un token de sesión en el almacenamiento local en los dispositivos del cliente para que las sesiones de Genesys Cloud puedan sobrevivir a los navegadores que se cierran y vuelven a abrir con frecuencia.
Para más información, Contáctenos.
Más información sobre el tiempo de inactividad
La normativa de la HIPAA relativa a las salvaguardias técnicas (45 CFR 164.312) establece que una entidad o empresa cubierta debe, de conformidad con 164.306, aplicar políticas y procedimientos técnicos para los sistemas de información electrónicos (que mantienen la ePHI) que, entre otras cosas, permitan el acceso únicamente a aquellas personas o programas informáticos a los que se hayan concedido derechos de acceso según lo especificado en 164.308(a)(4). Las especificaciones de implementación establecen, en 164.312(a)(2)(iii), "Implementar procedimientos electrónicos que terminen una sesión electrónica después de un tiempo predeterminado de inactividad". Ni la ley, ni el reglamento, ni el HHS han establecido una medida de tiempo específica para el "tiempo predeterminado de inactividad" o lo que constituye "inactividad". Genesys Cloud determina la inactividad durante una sesión electrónica basándose, entre otras cosas, en el tiempo transcurrido entre determinadas llamadas a la API, ya que las interfaces de usuario del sistema se basan en llamadas a la API para recibir y transmitir datos. Como tales, esas llamadas a la API generalmente reflejan la actividad del agente o, en este contexto, la inactividad con la interfaz de usuario. Genesys Cloud utiliza actualmente un período de tiempo de espera predeterminado de 15 minutos como "tiempo de inactividad predeterminado" razonable entre esas llamadas a la API para finalizar una sesión electrónica, es decir, cerrar la sesión del agente, para proteger la ePHI de nuestro sistema frente a accesos no autorizados. El cliente puede configurar el tiempo de espera hasta un mínimo de 5 minutos.