Dropbox e HIPAA/HITECH
As informações contidas neste artigo se aplicam a determinadas equipes do Dropbox Standard, Dropbox Advanced, Dropbox Enterprise, Dropbox Education, Dropbox Business, Dropbox Business Plus e Dropbox Sign.
O que é HIPAA/HITECH?
HIPAA/HITECH refere-se a duas leis:
- A Lei da Portabilidade e Responsabilidade de Seguros de Saúde (1996)
- A Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica (2009)
Estas leis buscam encorajar a proliferação de tecnologia na industria de serviços de saúde, ao mesmo tempo em que estabelecem proteções para a segurança e privacidade das informações referentes à saúde. Organizações como hospitais, consultórios médicos e odontológicos, bem como indivíduos que interagem com informações de saúde protegidas (PHI) podem estar sujeitos à HIPAA/HITECH. Isso também pode se estender a empresas que trabalham com essas instituições e que também entram em contato com PHI em seu nome.
Termos principais HIPAA/HITECH
Informações de saúde protegidas (PHI)
Informações identificadas individualmente no que concerne ao passado, presente ou futuro de uma pessoa em relação aos seguintes pontos:
- Condição médica ou psicológica
- Realização de serviços médicos
- Pagamentos para serviços médicos
Entidade coberta
Uma entidade coberta é um plano de saúde, central de informações de plano de saúde ou prestador de serviços de plano de saúde. Essas categorias incluem hospitais, clínicas, médicos e outras pessoas que criam, recebem ou transmitem informações de saúde protegidas (PHI). Devido ao seu contato com PHI, as entidades cobertas são responsáveis pela privacidade e segurança das informações no âmbito das leis HIPAA/HITECH.
Empresa associada
Uma empresa associada é uma entidade que cria, recebe, armazena e transmite informações de saúde protegidas (PHI) em nome da entidade coberta e, portanto, também está sujeita às regras das leis HIPAA/HITECH.
Acordo de empresa associada (BAA)
Um acordo de empresa associada (BAA) é uma garantia contratual da empresa associada à entidade coberta confirmando o cumprimento dos requisitos da HIPAA. Esse acordo deve ser estabelecido antes da transferência de informações de saúde protegidas (PHI) entre a entidade coberta e a empresa associada.
O Dropbox tem certificação HIPAA/HITECH?
Não há certificação oficial no âmbito da legislação de HIPAA/HITECH. Para ajudá-lo a entender como estamos cumprindo nossas responsabilidades e requisitos sob HIPAA/HITECH, você pode acessar nossa Central de confiança do Dropbox. Ela fornece aos clientes potenciais e existentes acesso de autoatendimento e documentação essencial de segurança, confiabilidade, privacidade e conformidade. Você pode encontrar tudo o que precisa saber em um local conveniente e centralizado.
Como acessar a Central de confiança do Dropbox
Observação: Você não pode usar seu login do Dropbox para acessar a Central de confiança do Dropbox.
Você precisará se cadastrar para acessar todos os relatórios e documentação. Para solicitar acesso:
- Vá até a página trust.dropbox.com.
- Clique em Obter acesso no canto superior direito.
- Digite seu e-mail de trabalho e clique em Continuar.
- Digite seus dados e clique em Enviar solicitação.
Uma vez cadastrado, você poderá acessar relatórios e documentos privados e públicos.
Observação: Pode ser necessário assinar um contrato de não divulgação para acessar determinados documentos privados, mas isso pode ser feito facilmente na Central de confiança.
Como posso usar o Dropbox Business de modo que esteja em conformidade com minhas obrigações HIPAA/HITECH?
Queremos facilitar tudo para que você saiba como manter sua conta em segurança e cumprir os requisitos legais. Ainda que, em última instância, caiba a você se certificar de que está cumprindo com as obrigações regulamentares, reunimos algumas recomendações para ajudá‑lo a manter seus dados em segurança e suas contas protegidas.
Consulte nossa Central de confiança para saber mais sobre nossas práticas internas e recomendações para clientes que desejam atender aos requisitos das regras de segurança e privacidade da HIPAA/HITECH.
Você pode obter dicas sobre como configurar a sua conta para manter dados como PHI protegidos. A estrutura oferece diversas sugestões, abrangendo uma grande variedade de tópicos, incluindo:
- Configurar permissões de compartilhamento
- Desativar exclusões permanentes
- Monitorar acesso e atividades de conta
- Compreender a função dos aplicativos de terceiros
Os clientes sujeitos à legislação HIPAA/HITECH devem ter em mente que o Acordo de Empresa Associada (BAA) deve ser assinado antes que as Informações de Saúde Protegidas (PHI) sejam transferidas para a sua conta do Dropbox. Para saber mais sobre a aquisição de um plano de equipe do Dropbox, fale com nossa equipe de vendas.
Se você for administrador de uma conta de equipe do Dropbox, pode assinar o BAA eletronicamente na página Conta da seção de Administração.
Observação:
- A capacidade de assinar um BAA eletrônico pela seção de Administração só está disponível para clientes nos Estados Unidos.
- Se a sua equipe assinou um Acordo de Parceiro Comercial (Business Associate Agreement - BAA), não será possível habilitar o atendimento de revendedor.
- Saiba mais sobre como ativar o suporte ao revendedor e o programa de revendedores parceiros.
Como estabeleço um acordo de empresa associada com o Dropbox?
Para saber mais sobre a aquisição de um plano de equipe do Dropbox, Fale com nossa equipe de vendas. Se você for administrador de uma conta de equipe do Dropbox, pode assinar o BAA eletronicamente na página Conta da seção de Administração.
Os aplicativos e integrações de terceiros são cobertos pelo BAA do plano de equipes do Dropbox?
Há um ecossistema robusto de aplicativos de terceiros que você pode vincular à sua conta de equipe do Dropbox para agregar funcionalidades. As integrações que prestam serviços de SIEM, DLP e gerenciamento de identidade podem ser ferramentas poderosas para fortalecer suas práticas de segurança já existentes.
Ainda que esses aplicativos de terceiros e integrações possam ser ótimos complementos à sua conta, é importante lembrar que eles não fazem parte de nossos serviços. Dessa forma, eles não são cobertos pelos termos de uso do Dropbox, o que inclui um BAA que você venha a estabelecer com o Dropbox. Você é responsável por avaliar esses aplicativos para determinar se o seu uso é consistente com nossos requisitos legais e regulamentares. Lembre-se de que alguns aplicativos vinculam-se a contas individuais, enquanto outros podem ser vinculados por um administrador à toda a equipe.