Configuração da HIPAA
Saiba como tornar seu espaço de trabalho Notion compatível com a HIPAA e como ativar a conformidade com a HIPAA 🏥
Acessar as perguntas frequentesA Lei de Portabilidade e Responsabilidade do Seguro de Saúde (Health Insurance Portability and Accountability Act, HIPAA) é uma lei federal dos EUA de 1996 que demanda a proteção e o manuseio sigiloso de informações de saúde protegidas pelas pessoas jurídicas abrangidas, tais como prestadores de serviços de saúde, planos de saúde e câmaras de compensação de saúde, bem como seus parceiros comerciais.
Este artigo explica as configurações de produto obrigatórias que deixam o espaço de trabalho do Notion em conformidade com a HIPAA.
Nota: O Contrato de Parceria Comercial do Notion rege a segurança de informações de saúde armazenadas no Serviço do Notion. Para se qualificar para assinar um Contrato de Parceria Comercial, é preciso ter um Plano Enterprise do Notion.
O calendário Notion, quaisquer recursos do calendário Notion e quaisquer serviços Beta não são protegidos pelo acordo de assistência empresarial (BAA) e, portanto, não podem ser utilizados ou implementados de forma a processar informações confidenciais de saúde.
Caso qualquer linguagem nesta página e a linguagem encontrada no Contrato de Parceria Comercial entrem em conflito em algum momento, o Contrato de Parceria Comercial deverá prevalecer.
Configurações de suporte do Notion | |
---|---|
Controle de acesso Implemente políticas e procedimentos técnicos para sistemas eletrônicos que mantenham informações confidenciais de saúde .Assim, você garante o acesso apenas às pessoas ou aos softwares com direitos de acesso autorizados. | A autenticação SAML SSO do Notion é desenvolvida com base no padrão SAML 2.0, conectando seu provedor de identidade e seus espaços de trabalho com uma experiência de login mais fácil e mais segura. O Notion é compatível com as seguintes configurações oficiais de autenticação SAML SSO: Azure, Google, Gusto, Okta, OneLogin e Rippling. Para usar a autenticação SAML SSO com o Notion, é necessário:
Habilitar o SAML SSO:Isso irá habilitar o recurso para concluir a configuração. Para mais informações sobre a configuração do SAML SSO, consulte este artigo. Alterar o método-padrão de login: Após habilitar a autenticação SAML SSO pela primeira vez, o método-padrão de login passará a ser Vincular outros espaços de trabalho: Caso você queira configurar o SSO para mais de um espaço de trabalho, envie um e-mail para team@makenotion.com. Após a configuração, qualquer membro que entrar nos seus espaços de trabalho precisará utilizar o domínio verificado e fazer a autenticação pelo seu provedor de identidade. Os proprietários de espaços de trabalho com Plano Enterprise podem ignorar a autenticação SAML e usar outro método de login caso haja uma falha do provedor de identidade ou da autenticação SAML. |
Identificação única do usuário Atribua um nome e/ou número exclusivo para identificar e rastrear a identidade do usuário. | O Notion tem uma API SCIM que pode ser usada para provisionar, gerenciar e desprovisionar membros e grupos. Proprietários de espaços de trabalho podem encontrar a chave de API necessária em |
Procedimento de acesso de emergência Estabeleça (e implemente conforme o caso) procedimentos para obter informações de saúde protegidas em formato eletrônico durante uma emergência. | A pesquisa de conteúdo fornece aos proprietários de espaços de trabalho corporativos visibilidade do conteúdo do espaço de trabalho para melhorar a governança do espaço de trabalho e resolver problemas de acesso de página. A pesquisa de conteúdo permite que você: |
Logoff automático Implemente procedimentos que encerrem sessões eletrônicas após um tempo pré-determinado de inatividade. | Defina a duração da sessão personalizada: para usuários gerenciados no plano Enterprise, o Notion tem uma duração de sessão padrão de 180 dias. No entanto, os proprietários de espaços de trabalho podem personalizar a duração das sessões entre 1 hora e 180 dias. |
Controles de auditoria Implemente mecanismos de hardware, software e/ou procedimentais que registrem e examinem as atividades em sistemas de informações que contenham ou utilizem informações de saúde protegidas em formato eletrônico. | Proprietários do espaço de trabalho Enterprise têm acesso a um log de auditoria em Esse recurso pode ser especialmente útil para identificar possíveis problemas de segurança, investigar comportamentos suspeitos e resolver problemas de acesso. É possível exportar o registro de auditoria em formato CSV. Os clientes corporativos também podem usar nossas integrações de parceiros do Data Loss Prevention (DLP) para descobrir, classificar e proteger dados confidenciais no Notion. |
Controles de integridade Implemente políticas e procedimentos para proteger informações confidenciais de saúde em formato eletrônico contra adulteração ou destruição. | Desabilitar o compartilhamento público de páginas: essa opção desabilitará a opção Compartilhar na web no menu Compartilhar em todas as páginas do espaço de trabalho. |
Autenticação de pessoas físicas ou jurídicas Implemente procedimentos para verificar a identidade de uma pessoa física ou jurídica que esteja tentando acessar informações de saúde protegidas em formato eletrônico. | Desabilitar mudanças no perfil: essa opção impede que usuários administrados alterem os dados dos próprios perfis para evitar que se passem por outras pessoas. |
Retenção e descarte de dados Implemente políticas e procedimentos que abordem o descarte final de informações confidenciais de saúde em formato eletrônico e/ou hardware ou mídias eletrônicas em que tais informações estão armazenadas. | As configurações personalizadas de retenção de dados permitem que proprietários de espaços de trabalho do Plano Enterprise controlem quando as páginas dos usuários são excluídas da lixeira e por quanto tempo ficarão retidas depois disso. Nós mantemos backups das nossas bases de dados, então conseguimos restaurar conteúdos de até 30 dias antes da ação de exclusão. |
Segurança nas transmissões Implemente medidas técnicas de segurança para ter proteção contra acesso não autorizado a | Criptografia em repouso: os dados de clientes são criptografados em repouso usando AES-256.Os dados de clientes são criptografados quando estão nas redes internas do Notion, em repouso no armazenamento em nuvem, tabelas de base de dados e backups. |
Nota: os proprietários de espaços de trabalho com Plano Enterprise podem ignorar a autenticação SAML e usar outro método de login caso haja uma falha do provedor de identidade ou da autenticação SAML.
Para habilitar a conformidade com a HIPAA no seu espaço de trabalho:
Acesse
Configurações
na barra lateral →Configurações do espaço de trabalho
→Conformidade com HIPAA
→Ativar
.Será exibida uma janela na qual você poderá ler o BAA completo assinado antes de selecionar
Aceitar
.Depois de aceitar, você verá a confirmação de que a conformidade com a HIPAA foi ativada. Você também receberá um e-mail confirmando que o seu espaço de trabalho aceitou a HIPAA BAA.
Se você quiser desativar a conformidade com a HIPAA no seu espaço de trabalho:
Acesse
Configurações
na barra lateral →Configurações do espaço de trabalho
→Conformidade com HIPAA
→Desativar
.Na janela exibida, selecione
Desativar
.Depois de aceitar, você verá a confirmação de que a conformidade com a HIPAA foi desativada. Isso significa que você não pode mais armazenar informações confidenciais de saúde protegidas (PHI) no seu espaço de trabalho do Notion. Você também receberá um e-mail de confirmação.
Perguntas frequentes
Qual é o custo de habilitar a conformidade com a HIPAA?
Qual é o custo de habilitar a conformidade com a HIPAA?
A conformidade com a HIPAA está disponível gratuitamente para os clientes do Plano Enterprise.
Os clientes precisam concordar com o Contrato de Parceria Comercial do Notion e utilizar o Notion de uma forma que esteja em conformidade com a HIPAA, com o Contrato e com o Guia de configuração de produto da HIPAA.
Quais são as limitações de produto ao habilitar a conformidade com a HIPAA?
Quais são as limitações de produto ao habilitar a conformidade com a HIPAA?
O Notion não pode ser usado para comunicação com pacientes, membros do plano ou as famílias ou e empregadores destes.
Os usuários não podem incluir informações pessoais de saúde em nenhum dos seguintes campos ou funcionalidades:
Nomes de espaços de trabalho ou organizações
Nomes de espaços de equipe
Nomes de arquivos
Perfil de usuário/conta
Nome de grupos de usuários
Solicitações de suporte e anexos de uma solicitação de suporte não devem incluir informações pessoais de saúde.
O calendário Notion, quaisquer recursos do calendário Notion e quaisquer serviços Beta não são protegidos pelo acordo de assistência empresarial (BAA) e, portanto, não podem ser utilizados ou implementados de forma a processar informações confidenciais de saúde.
As integrações ainda estarão disponíveis?
As integrações ainda estarão disponíveis?
Sim, os aplicativos habilitados anteriormente permanecerão habilitados. Os administradores devem analisar as integrações existentes usadas para garantir que estejam em conformidade. Os administradores podem optar por desabilitar a adição de novas integrações que não estão na lista de permissão.