Configuração da HIPAA

Configuração da HIPAA
Neste artigo

Saiba como tornar seu espaço de trabalho Notion compatível com a HIPAA e como ativar a conformidade com a HIPAA 🏥

Acessar as perguntas frequentes

A Lei de Portabilidade e Responsabilidade do Seguro de Saúde (Health Insurance Portability and Accountability Act, HIPAA) é uma lei federal dos EUA de 1996 que demanda a proteção e o manuseio sigiloso de informações de saúde protegidas pelas pessoas jurídicas abrangidas, tais como prestadores de serviços de saúde, planos de saúde e câmaras de compensação de saúde, bem como seus parceiros comerciais.

Este artigo explica as configurações de produto obrigatórias que deixam o espaço de trabalho do Notion em conformidade com a HIPAA.

Nota: O Contrato de Parceria Comercial do Notion rege a segurança de informações de saúde armazenadas no Serviço do Notion. Para se qualificar para assinar um Contrato de Parceria Comercial, é preciso ter um Plano Enterprise do Notion.

O calendário Notion, quaisquer recursos do calendário Notion e quaisquer serviços Beta não são protegidos pelo acordo de assistência empresarial (BAA) e, portanto, não podem ser utilizados ou implementados de forma a processar informações confidenciais de saúde.

Caso qualquer linguagem nesta página e a linguagem encontrada no Contrato de Parceria Comercial entrem em conflito em algum momento, o Contrato de Parceria Comercial deverá prevalecer.

Configurações de suporte do Notion

Controle de acesso

Implemente políticas e procedimentos técnicos para sistemas eletrônicos que mantenham informações confidenciais de saúde .Assim, você garante o acesso apenas às pessoas ou aos softwares com direitos de acesso autorizados.

A autenticação SAML SSO do Notion é desenvolvida com base no padrão SAML 2.0, conectando seu provedor de identidade e seus espaços de trabalho com uma experiência de login mais fácil e mais segura. O Notion é compatível com as seguintes configurações oficiais de autenticação SAML SSO: Azure, Google, Gusto, Okta, OneLogin e Rippling.

Para usar a autenticação SAML SSO com o Notion, é necessário:


Verificar o(s) seu(s) domínio(s): Para usar recursos avançados de segurança, é preciso confirmar a propriedade do domínio do seu e-mail. Este processo automatizado envolve a adição de um registro TXT no DNS do seu domínio para confirmar a sua propriedade.

Habilitar o SAML SSO:Isso irá habilitar o recurso para concluir a configuração. Para mais informações sobre a configuração do SAML SSO, consulte este artigo.

Alterar o método-padrão de login: Após habilitar a autenticação SAML SSO pela primeira vez, o método-padrão de login passará a ser Qualquer método, o que significa que os usuários terão a opção de entrar e se conectar via SAML ou com seu método tradicional de login. Ao definir como Apenas SAML SSO, o método SAML passa a ser obrigatório para os usuários gerenciados do seu espaço de trabalho que tiverem e-mail comerciais verificados.

Vincular outros espaços de trabalho: Caso você queira configurar o SSO para mais de um espaço de trabalho, envie um e-mail para team@makenotion.com.

Após a configuração, qualquer membro que entrar nos seus espaços de trabalho precisará utilizar o domínio verificado e fazer a autenticação pelo seu provedor de identidade. Os proprietários de espaços de trabalho com Plano Enterprise podem ignorar a autenticação SAML e usar outro método de login caso haja uma falha do provedor de identidade ou da autenticação SAML.

Identificação única do usuário

Atribua um nome e/ou número exclusivo para identificar e rastrear a identidade do usuário.

O Notion tem uma API SCIM que pode ser usada para provisionar, gerenciar e desprovisionar membros e grupos. Proprietários de espaços de trabalho podem encontrar a chave de API necessária em ConfiguraçõesSegurança e identidadeconfiguração SCIM, depois clicando para ver o token.

Consulte a nossa documentação do SCIM para saber como interagir com a API SCIM do Notion. O Notion é compatível com os aplicativos oficiais de SCIM do Google, Gusto, Okta, OneLogin e Rippling.

Procedimento de acesso de emergência

Estabeleça (e implemente conforme o caso) procedimentos para obter informações de saúde protegidas em formato eletrônico durante uma emergência.

A pesquisa de conteúdo fornece aos proprietários de espaços de trabalho corporativos visibilidade do conteúdo do espaço de trabalho para melhorar a governança do espaço de trabalho e resolver problemas de acesso de página. A pesquisa de conteúdo permite que você:

• visualize quem tem acesso a uma página
• Modifique a autorização de uma página
• Descubra e reatribua as páginas abandonadas de ex-funcionários

Você pode exportar uma página do Notion, uma base de dados ou todo o espaço de trabalho a qualquer momento.

Logoff automático

Implemente procedimentos que encerrem sessões eletrônicas após um tempo pré-determinado de inatividade.

Defina a duração da sessão personalizada: para usuários gerenciados no plano Enterprise, o Notion tem uma duração de sessão padrão de 180 dias. No entanto, os proprietários de espaços de trabalho podem personalizar a duração das sessões entre 1 hora e 180 dias.

Forçar logout para usuários gerenciados: aplique o logout forçado para usuários individuais de um espaço de trabalho ou para todos de uma só vez.

Forçar redefinição de senha: aplique a redefinição de senha forçada para usuários individuais de um espaço de trabalho ou para todos de uma vez.

Caso usuários sejam desaprovisionados por SCIM, esses serão removidos do espaço de trabalho e a sessão será encerrada.

Controles de auditoria

Implemente mecanismos de hardware, software e/ou procedimentais que registrem e examinem as atividades em sistemas de informações que contenham ou utilizem informações de saúde protegidas em formato eletrônico.

Proprietários do espaço de trabalho Enterprise têm acesso a um log de auditoria em Configurações. Isso fornece uma visão geral de uma grande variedade de eventos que ocorreram no espaço de trabalho.

Esse recurso pode ser especialmente útil para identificar possíveis problemas de segurança, investigar comportamentos suspeitos e resolver problemas de acesso. É possível exportar o registro de auditoria em formato CSV.

Os clientes corporativos também podem usar nossas integrações de parceiros do Data Loss Prevention (DLP) para descobrir, classificar e proteger dados confidenciais no Notion.

Controles de integridade

Implemente políticas e procedimentos para proteger informações confidenciais de saúde em formato eletrônico contra adulteração ou destruição.

Implemente mecanismos eletrônicos para confirmar que informações confidenciais de saúde em formato eletrônico não foram adulteradas nem destruídas sem autorização.

Implemente medidas de segurança para garantir que informações confidenciais de saúde em formato eletrônico transmitidas por meio eletrônico não foram modificadas de forma inadequada e sem detecção até serem descartadas.

Desabilitar o compartilhamento público de páginas: essa opção desabilitará a opção Compartilhar na web no menu Compartilhar em todas as páginas do espaço de trabalho.

Desabilitar convidados: essa opção impede que qualquer membro convide outras pessoas fora do espaço de trabalho para qualquer página.

Você não precisa usar esse controle se quiser convidar pessoas conforme a necessidade, mas esteja ciente de que o Notion não pode ser usado na comunicação com pacientes, membros do plano ou suas famílias e empregadores. Se você precisar habilitar convidados, recomendamos ativar as solicitações de convidados. Esse recurso implementa um processo de aprovação para receber convidados em seu espaço de trabalho enquanto garante a conformidade com a HIPAA.

Desabilitar movimentação ou duplicação de páginas para outros espaços de trabalho: essa opção impede que qualquer pessoa mova ou duplique páginas para outros espaços de trabalho por meio da ação Mover para ou Duplicar em.

Desabilitar exportação: essa opção impede que qualquer pessoa exporte como Markdown, CSV ou PDF.

Desabilitar criação de espaço de trabalho: essa opção impede que qualquer pessoa crie novos espaços de trabalho sem aprovação.

Desabilitar extensões de terceiros ou adicioná-las à lista de permitidos: essa opção impede que qualquer pessoa adicione extensões de terceiros não aprovadas ao espaço de trabalho do Notion.

Desabilitar o acesso externo ao espaço de trabalho: essa opção impede que usuários gerenciados ingressem ou acessem espaços de trabalho externos fora da organização.

Autenticação de pessoas físicas ou jurídicas

Implemente procedimentos para verificar a identidade de uma pessoa física ou jurídica que esteja tentando acessar informações de saúde protegidas em formato eletrônico.

Desabilitar mudanças no perfil: essa opção impede que usuários administrados alterem os dados dos próprios perfis para evitar que se passem por outras pessoas.

Gerenciamento de domínios: um domínio nada mais é do que o domínio do endereço de e-mail que está vinculado a uma conta do Notion. A verificação de domínio, por sua vez, é um processo no qual o proprietário de um espaço de trabalho torna explícita a sua titularidade sobre um domínio, ganhando acesso a novas configurações para o gerenciamento de domínio.

Desabilitar convidados: essa opção impede que qualquer membro convide outras pessoas fora do espaço de trabalho para qualquer página. Você não precisa usar esse controle se quiser convidar pessoas conforme a necessidade, mas esteja ciente de que o Notion não pode ser usado na comunicação com pacientes, membros do plano ou suas famílias e empregadores. Se você precisar habilitar convidados, recomendamos ativar as solicitações de convidados. Esse recurso implementa um processo de aprovação para receber convidados em seu espaço de trabalho enquanto garante a conformidade com a HIPAA.

Suspender e excluir a conta de um usuário administrado: Essa opção suspende ou exclui contas de usuários gerenciados do painel de gerenciamento de usuários.

Desabilitar a exclusão de contas de usuários administrados: Essa opção impede que os usuários administrados excluam suas contas por conta própria.

Retenção e descarte de dados

Implemente políticas e procedimentos que abordem o descarte final de informações confidenciais de saúde em formato eletrônico e/ou hardware ou mídias eletrônicas em que tais informações estão armazenadas.

As configurações personalizadas de retenção de dados permitem que proprietários de espaços de trabalho do Plano Enterprise controlem quando as páginas dos usuários são excluídas da lixeira e por quanto tempo ficarão retidas depois disso.

Nós mantemos backups das nossas bases de dados, então conseguimos restaurar conteúdos de até 30 dias antes da ação de exclusão.

Segurança nas transmissões

Implemente medidas técnicas de segurança para ter proteção contra acesso não autorizado a
informações de saúde protegidas em formato eletrônico que estejam sendo transmitidas por uma rede eletrônica de comunicações.

Implemente um mecanismo para criptografar informações de saúde protegidas em formato eletrônico sempre que for adequado.

Criptografia em repouso: os dados de clientes são criptografados em repouso usando AES-256.Os dados de clientes são criptografados quando estão nas redes internas do Notion, em repouso no armazenamento em nuvem, tabelas de base de dados e backups.

Criptografia em trânsito: os dados enviados em trânsito são criptografados usando TLS 1.2 ou superior.

Nota: os proprietários de espaços de trabalho com Plano Enterprise podem ignorar a autenticação SAML e usar outro método de login caso haja uma falha do provedor de identidade ou da autenticação SAML.

Para habilitar a conformidade com a HIPAA no seu espaço de trabalho:

  1. Acesse Configurações na barra lateral → Configurações do espaço de trabalhoConformidade com HIPAAAtivar.

  2. Será exibida uma janela na qual você poderá ler o BAA completo assinado antes de selecionar Aceitar.

  3. Depois de aceitar, você verá a confirmação de que a conformidade com a HIPAA foi ativada. Você também receberá um e-mail confirmando que o seu espaço de trabalho aceitou a HIPAA BAA.

Se você quiser desativar a conformidade com a HIPAA no seu espaço de trabalho:

  1. Acesse Configurações na barra lateral → Configurações do espaço de trabalhoConformidade com HIPAADesativar.

  2. Na janela exibida, selecione Desativar.

  3. Depois de aceitar, você verá a confirmação de que a conformidade com a HIPAA foi desativada. Isso significa que você não pode mais armazenar informações confidenciais de saúde protegidas (PHI) no seu espaço de trabalho do Notion. Você também receberá um e-mail de confirmação.


Perguntas frequentes

Qual é o custo de habilitar a conformidade com a HIPAA?

A conformidade com a HIPAA está disponível gratuitamente para os clientes do Plano Enterprise.

Os clientes precisam concordar com o Contrato de Parceria Comercial do Notion e utilizar o Notion de uma forma que esteja em conformidade com a HIPAA, com o Contrato e com o Guia de configuração de produto da HIPAA.

Quais são as limitações de produto ao habilitar a conformidade com a HIPAA?

  • O Notion não pode ser usado para comunicação com pacientes, membros do plano ou as famílias ou e empregadores destes.

  • Os usuários não podem incluir informações pessoais de saúde em nenhum dos seguintes campos ou funcionalidades:

    • Nomes de espaços de trabalho ou organizações

    • Nomes de espaços de equipe

    • Nomes de arquivos

    • Perfil de usuário/conta

    • Nome de grupos de usuários

  • Solicitações de suporte e anexos de uma solicitação de suporte não devem incluir informações pessoais de saúde.

  • O calendário Notion, quaisquer recursos do calendário Notion e quaisquer serviços Beta não são protegidos pelo acordo de assistência empresarial (BAA) e, portanto, não podem ser utilizados ou implementados de forma a processar informações confidenciais de saúde.

As integrações ainda estarão disponíveis?

Sim, os aplicativos habilitados anteriormente permanecerão habilitados. Os administradores devem analisar as integrações existentes usadas para garantir que estejam em conformidade. Os administradores podem optar por desabilitar a adição de novas integrações que não estão na lista de permissão.

Ainda tem dúvidas? Envie uma mensagem ao suporte

Dar feedback

Este recurso foi útil?