Configuración conforme a la HIPAA
Este artículo proporciona a los usuarios las configuraciones de producto necesarias para que su espacio de trabajo en Notion cumpla la HIPAA 🏥
Ir a la sección de preguntas frecuentesLa Ley de Transferencia y Responsabilidad de Seguros Médicos (Health Insurance Portability and Accountability Act, HIPAA por sus siglas en inglés) es una ley federal de EE. UU. promulgada en 1996 que exige la protección y la gestión confidencial de la información médica protegida (PHI) por parte de las entidades afectadas, tales como proveedores de asistencia sanitaria, planes de salud y cámaras de compensación de asistencia sanitaria, así como sus socios comerciales.
Este artículo proporciona a los usuarios las configuraciones de producto necesarias para que su espacio de trabajo en Notion cumpla la HIPAA.
Nota: El Acuerdo de socio comercial (BAA) de Notion rige la protección de la Información médica personal (PHI) que se almacena en el Servicio de Notion. Para poder firmar el BAA de Notion, debes suscribirte al plan Enterprise.
Ni Notion Calendar ni sus funciones están cubiertas por el BAA y, por lo tanto, no pueden utilizarse o desplegarse de forma que procesen información sanitaria protegida.
En la medida en que el lenguaje de esta página y el lenguaje que se encuentra en el BAA entren en conflicto en cualquier momento, prevalecerá el BAA.
Configuraciones de Notion relacionadas | |
---|---|
Control de acceso Implementar políticas y procedimientos técnicos para los sistemas de información electrónicos que mantengan la información médica electrónica protegida para permitir el acceso solo a aquellas personas o programas de software a los se les hayan otorgado derechos de acceso. | El inicio de sesión único de SAML de Notion se basa en el estándar SAML 2.0 y conecta tu proveedor de identidades (IdP) con tus espacios de trabajo para ofrecer una experiencia de inicio de sesión más sencilla y segura. Notion admite configuraciones oficiales para el inicio de sesión único de SAML con: Azure, Google, Gusto, Okta, OneLogin y Rippling.
• Enlazar espacios de trabajo adicionales: Si tienes más de un espacio de trabajo que quieras configurar con el inicio de sesión único, puedes hacerlo si te pones en contacto con team@makenotion.com. Una vez establecida la configuración correcta, cualquier miembro que inicie sesión en tus espacios de trabajo deberá utilizar el dominio verificado y autenticarse a través de tu proveedor de identidades. Los propietarios de espacios de trabajo con el plan Enterprise podrán evitar esta restricción y utilizar un método de inicio de sesión alternativo en caso de que se produzca un fallo del inicio de sesión único de SAML o del IdP. |
Identificación de usuario exclusiva Asignar un nombre o un número exclusivos para identificar y rastrear la identidad del usuario. | Notion tiene una API de SCIM que se puede utilizar para aprovisionar, gestionar y desaprovisionar miembros y grupos. Los propietarios de espacios de trabajo pueden obtener la clave de API requerida si acceden a |
Procedimiento de acceso de emergencia Establecer (e implementar según sea necesario) procedimientos para obtener la información médica electrónica protegida necesaria durante una emergencia. | La búsqueda de contenido proporciona a los propietarios de espacios de trabajo del plan Enterprise visibilidad del contenido de los espacios de trabajo para mejorar su gestión y resolver problemas de acceso a páginas: |
Cierre de sesión automático Implementar procedimientos electrónicos que pongan fin a una sesión electrónica después de un tiempo predeterminado de inactividad. | Establece una duración de sesión personalizada: Para los usuarios gestionados en el plan Enterprise, Notion tiene una duración de sesión predeterminada de 180 días. Sin embargo, los propietarios de espacios de trabajo pueden personalizar la duración de su sesión desde 1 hora hasta 180 días. |
Controles de auditoría Implementar hardware, software o mecanismos procedimentales que registren y examinen la actividad en sistemas de información que contengan o utilicen información médica electrónica protegida. | Los propietarios de espacios de trabajo del plan Enterprise tienen acceso a un registro de auditoría (en Esto puede resultar especialmente útil para identificar posibles problemas de seguridad, investigar comportamientos sospechosos y solucionar problemas de acceso. El registro de auditoría del espacio de trabajo se puede exportar en formato CSV. Los clientes Enterprise también pueden utilizar nuestras integraciones de socios de prevención ante pérdida de datos (DLP, por sus siglas en inglés) para descubrir, clasificar y proteger datos confidenciales en Notion. |
Controles de integridad Implementar políticas y procedimientos para proteger la información médica electrónica protegida frente a la alteración o la destrucción inadecuadas. | Desactivar la opción de compartir páginas públicamente: Esto deshabilitará la opción Compartir en la web del menú Compartir en todas las páginas de este espacio de trabajo. |
Autenticación de personas o entidades Implementar procedimientos para verificar que una persona o entidad que pretende acceder a información médica electrónica protegida es quien dice ser. | Deshabilitar los cambios de perfil: Esto evita que los usuarios gestionados cambien su propia información de perfil para evitar suplantaciones. |
Retención y eliminación de datos Implementar políticas y procedimientos para abordar la eliminación final de la IMP electrónica, así como el hardware o los medios de soporte electrónicos en los que se almacena. | No existe ninguna forma de vaciar la papelera por completo y de una sola vez, peropuedes ir a la papelera para eliminar páginas permanentemente de forma individual. Después de eliminar la página de la papelera, se eliminará de los servidores de Notion transcurridos 30 días. Guardamos copias de seguridad de nuestra base de datos, y eso nos permite restaurar una instantánea de tu contenido en los últimos 30 días en caso de que lo necesites. |
Seguridad de las transmisiones Implementar medidas técnicas de seguridad para proteger frente al acceso no autorizado | Cifrado en reposo: Los datos del cliente se cifran en reposo mediante AES-256. Los datos del cliente se cifran cuando están en las redes internas de Notion, en reposo en el almacenamiento en la nube, las tablas de bases de datos y las copias de seguridad. |
Nota: Los propietarios de espacios de trabajo con el plan Enterprise podrán evitar esta restricción y utilizar un método de inicio de sesión alternativo en caso de que se produzca un fallo del inicio de sesión único de SAML o del IdP.
Preguntas frecuentes
¿Cuál es el coste de hacer posible el cumplimiento de la HIPAA?
El cumplimiento de la HIPAA está disponible de forma gratuita para los clientes que cuentan con un plan Enterprise con más de 100 miembros.
Los clientes deben aceptar el Acuerdo de socio comercial de Notion (BAA) y utilizar Notion de forma que cumpla con la HIPAA, el BAA y la Guía de configuración de productos HIPAA.
Para obtener más información, ponte en contacto con nuestro equipo en team@makenotion.com.
¿Cuáles son las limitaciones del producto en cuanto al cumplimiento de la HIPAA?
Notion no puede utilizarse para comunicarse con pacientes, miembros del plan o sus familiares o empleadores.
Los usuarios no pueden incluir Información médica personal (PHI) en ninguno de los siguientes campos o funcionalidades:
Nombres de espacio de trabajo u organización
Nombres de espacio de equipo
Nombres de archivo
Perfil de cuenta/usuario
Nombre de los grupos de usuarios
Las solicitudes de asistencia y los anexos a una solicitud de asistencia no deben incluir ninguna información médica personal.
El complemento IA de Notion y cualquier función de la IA de Notion no podrán utilizarse/desplegarse en un espacio de trabajo que haya firmado un BAA (Acuerdo de socio comercial) y dichas funciones no estarán sujetas a los compromisos de Notion en el BAA.
Cron y cualquier función de Cron no están cubiertos por el BAA y, por lo tanto, no deben utilizarse/desplegarse de manera que recopilen o procesen información sanitaria protegida.
¿Seguirán disponibles las integraciones?
Sí, las aplicaciones habilitadas anteriormente lo seguirán estando. Los administradores deben revisar las integraciones existentes para asegurarse de que son conformes. Los administradores pueden optar por desactivar la adición de nuevas integraciones que no estén en la lista de integraciones permitidas.