Configuração da HIPAA
Este artigo fornece as configurações de produto obrigatórias para tornar o espaço de trabalho do Notion em conformidade com a HIPAA 🏥
Acessar as perguntas frequentesA Lei de Portabilidade e Responsabilidade do Seguro de Saúde (Health Insurance Portability and Accountability Act, HIPAA) é uma lei federal dos EUA de 1996 que demanda a proteção e o manuseio sigiloso de informações de saúde protegidas pelas pessoas jurídicas abrangidas, tais como prestadores de serviços de saúde, planos de saúde e câmaras de compensação de saúde, bem como seus parceiros comerciais.
Este artigo explica as configurações de produto obrigatórias que deixam o espaço de trabalho do Notion em conformidade com a HIPAA.
Nota: O Contrato de Parceria Comercial do Notion rege a segurança de informações de saúde armazenadas no Serviço do Notion. Para se qualificar para assinar um Contrato de Parceria Comercial, é preciso ter um Plano Enterprise do Notion.
O calendário Notion e quaisquer recursos relacionados ao calendário Notion não são protegidos pelo acordo de assistência empresarial (BAA) e, portanto, não podem ser utilizados ou implementados de forma a processar informações de saúde protegidas.
Caso qualquer linguagem nesta página e a linguagem encontrada no Contrato de Parceria Comercial entrem em conflito em algum momento, o Contrato de Parceria Comercial deverá prevalecer.
Configurações de suporte do Notion | |
---|---|
Controle de acesso Implemente políticas e procedimentos técnicos para sistemas eletrônicos que mantenham informações confidenciais de saúde .Assim, você garante o acesso apenas às pessoas ou aos softwares com direitos de acesso autorizados. | A autenticação SAML SSO do Notion é desenvolvida com base no padrão SAML 2.0, conectando seu provedor de identidade e seus espaços de trabalho com uma experiência de login mais fácil e mais segura. O Notion é compatível com as seguintes configurações oficiais de autenticação SAML SSO: Azure, Google, Gusto, Okta, OneLogin e Rippling. Para usar a autenticação SAML com o Notion, é preciso:
• Vincular outros espaços de trabalho: caso você queira configurar o SSO para mais de um espaço de trabalho, escreva para team@makenotion.com. Após a configuração, qualquer membro que entrar nos seus espaços de trabalho precisará utilizar o domínio verificado e fazer a autenticação pelo seu provedor de identidade. Os proprietários de espaços de trabalho com Plano Enterprise podem ignorar a autenticação SAML e usar outro método de login caso haja uma falha do provedor de identidade ou da autenticação SAML. |
Identificação única do usuário Atribua um nome e/ou número exclusivo para identificar e rastrear a identidade do usuário. | O Notion tem uma API SCIM que pode ser usada para provisionar, gerenciar e desprovisionar membros e grupos. Os proprietários de espaços de trabalho têm acesso à chave de API em |
Procedimento de acesso de emergência Estabeleça (e implemente conforme o caso) procedimentos para obter informações de saúde protegidas em formato eletrônico durante uma emergência. | A pesquisa de conteúdos oferece a proprietários de espaços de trabalho com o Plano Enterprise visibilidade sobre os conteúdos dos espaços de trabalho para melhorar a governança e solução de problemas de acesso às páginas. É possível: |
Logoff automático Implemente procedimentos que encerrem sessões eletrônicas após um tempo pré-determinado de inatividade. | Defina a duração da sessão personalizada: para usuários gerenciados no plano Enterprise, o Notion tem uma duração de sessão padrão de 180 dias. No entanto, os proprietários de espaços de trabalho podem personalizar a duração das sessões entre 1 hora e 180 dias. |
Controles de auditoria Implemente mecanismos de hardware, software e/ou procedimentais que registrem e examinem as atividades em sistemas de informações que contenham ou utilizem informações de saúde protegidas em formato eletrônico. | Proprietários de espaços de trabalho com o Plano Enterprise têm acesso a um Registro de auditoria (em Esse recurso pode ser especialmente útil para identificar possíveis problemas de segurança, investigar comportamentos suspeitos e resolver problemas de acesso. É possível exportar o registro de auditoria em formato CSV. Os clientes corporativos também podem usar nossas integrações de parceiros do Data Loss Prevention (DLP) para descobrir, classificar e proteger dados confidenciais no Notion. |
Controles de integridade Implemente políticas e procedimentos para proteger informações confidenciais de saúde em formato eletrônico contra adulteração ou destruição. | Desabilitar o compartilhamento público de páginas: essa opção desabilitará a opção Compartilhar na web no menu Compartilhar em todas as páginas do espaço de trabalho. |
Autenticação de pessoas físicas ou jurídicas Implemente procedimentos para verificar a identidade de uma pessoa física ou jurídica que esteja tentando acessar informações de saúde protegidas em formato eletrônico. | Desabilitar mudanças no perfil: essa opção impede que usuários gerenciados alterem os dados dos próprios perfis para evitar que se passem por outras pessoas. |
Retenção e descarte de dados Implemente políticas e procedimentos que abordem o descarte final de informações confidenciais de saúde em formato eletrônico e/ou hardware ou mídias eletrônicas em que tais informações estão armazenadas. | As configurações personalizadas de retenção de dados permitem que proprietários de espaços de trabalho do Plano Enterprise controlem quando as páginas dos usuários são excluídas da lixeira e por quanto tempo ficarão retidas depois disso. Nós mantemos backups das nossas bases de dados, então conseguimos restaurar conteúdos de até 30 dias antes da ação de exclusão. |
Segurança nas transmissões Implemente medidas técnicas de segurança para ter proteção contra acesso não autorizado a | Criptografia em repouso: os dados de clientes são criptografados em repouso usando AES-256.Os dados de clientes são criptografados quando estão nas redes internas do Notion, em repouso no armazenamento em nuvem, tabelas de base de dados e backups. |
Nota: os proprietários de espaços de trabalho com Plano Enterprise podem ignorar a autenticação SAML e usar outro método de login caso haja uma falha do provedor de identidade ou da autenticação SAML.
Perguntas frequentes
Qual é o custo de habilitar a conformidade com a HIPAA?
A conformidade com a HIPAA está disponível gratuitamente para clientes de um plano Enterprise com mais de 100 membros.
Os clientes precisam concordar com o Contrato de Parceria Comercial do Notion e utilizar o Notion de uma forma que esteja em conformidade com a HIPAA, com o Contrato e com o Guia de configuração de produto da HIPAA.
Entre em contato com nossa equipe para mais informações em team@makenotion.com.
Quais são as limitações de produto ao habilitar a conformidade com a HIPAA?
O Notion não pode ser usado para comunicação com pacientes, membros do plano ou as famílias ou e empregadores destes.
Os usuários não podem incluir informações pessoais de saúde em nenhum dos seguintes campos ou funcionalidades:
Nomes de espaços de trabalho ou organizações
Nomes de espaços de equipe
Nomes de arquivos
Perfil de usuário/conta
Nome de grupos de usuários
Solicitações de suporte e anexos de uma solicitação de suporte não devem incluir informações pessoais de saúde.
O complemento e qualquer recurso da IA do Notion não podem ser usados/implantados em um espaço de trabalho que tenha assinado um Contrato de Parceria Comercial, e esses recursos não estão sujeitos aos compromissos do Notion no Contrato.
O Cron e qualquer recurso do Cron não são cobertos pelo Contrato de Parceria Comercial e, portanto, não devem ser usados/implantados de forma a coletar ou processar informações de saúde protegidas.
As integrações ainda estarão disponíveis?
Sim, os aplicativos habilitados anteriormente permanecerão habilitados. Os administradores devem analisar as integrações existentes usadas para garantir que estejam em conformidade. Os administradores podem optar por desabilitar a adição de novas integrações que não estão na lista de permissão.