الفرق HIPAA: كيف يدعم Braze المشاركة المدروسة مع حماية المعلومات الصحية المحمية

يطالب المستهلكون اليوم بتجارب ذات صلة بالعلامة التجارية. لبناء علاقات قوية ، تحتاج العلامات التجارية إلى التأكد من أنها تتواصل بطرق تخاطب كل عميل كفرد - وهذا صحيح سواء كانت هذه العلامة التجارية بائع تجزئة أو في مجال الرعاية الصحية. ولكن هناك مشكلة: بينما تعد البيانات جزءًا أساسيًا من هذه التجارب الشخصية ، إلا أنها أيضًا موضوع يمكن أن يكون شديد الحساسية للمستهلكين والمنظمين على حدٍ سواء. لا يمكنك تجنب الحاجة إلى البيانات كمسوق اليوم ، ولكن لا يمكنك أيضًا التعامل معها باستخفاف ، أو تفشل في حماية المعلومات التي عُهد بها إلى علامتك التجارية وحمايتها.

كل هذا صحيح بشكل خاص عندما يتعلق الأمر بالبيانات المتعلقة بالصحة. مع استمرار توسيع الخدمات الرقمية التي تقدمها العلامات التجارية للصحة واللياقة البدنية ، أصبحت الحاجة إلى إيجاد طرق للاستفادة من البيانات الحساسة المتعلقة بالصحة وحمايتها واضحة بشكل متزايد. في حين أن القدرة على تقديم القيمة والراحة بسرعة من خلال تجارب العلامة التجارية يمكن أن تحسن حياة الناس بشكل ملموس - لا سيما في مكان معروف بأوقات الانتظار الطويلة - فمن المهم حماية البيانات التي تبلغ تلك التجارب دون المساومة.

لجعل ذلك ممكنًا للعلامات التجارية ذات الصلة بالصحة ، أعطت Braze الأولوية لتحقيق الامتثال HIPAA لمنصتنا والحفاظ عليه. دعنا نلقي نظرة على سبب أهمية ذلك ، وكيف جعلناه يحدث ، وماذا يعني للمسوقين.

ما هو HIPAA؟

أصدرت حكومة الولايات المتحدة قانون التأمين الصحي لقابلية النقل والمساءلة (HIPAA) في عام 1996 لتنفيذ القواعد التي تضمن أن المنظمات التي لديها وصول رقمي إلى المعلومات الصحية للعملاء تحمي تلك المعلومات شديدة السرية. تتضمن هذه البيانات ، المعروفة باسم المعلومات الصحية المحمية (PHI) ، البيانات الطبية التقليدية ، مثل السجلات الصحية ونتائج الاختبارات ، بالإضافة إلى نقاط بيانات التعريف الفردي المتعلقة بالسجلات الصحية لشخص ما ، مثل اسم المريض ورقم الحساب والصور والديموغرافية المعلومات والمزيد.

إن قانون نقل التأمين الصحي والمسؤولية (HIPAA) مُلزم فقط "للكيانات المشمولة" ، والتي تشمل:

• شركات التأمين الصحي (صناديق المرضى ، خطط الشركة الصحية ، ميديكير ، ميديكيد)
• مقدمو الرعاية الصحية (أطباء ، عيادات ، متخصصون ، صيدليات)
• شركات البيانات الصحية

ومع ذلك ، فإن هذه المنظمات لا تعمل في فراغ. يسمح قانون نقل التأمين الصحي والمسؤولية (HIPAA) للكيانات المشمولة بالإفصاح عن المعلومات الصحية المحمية لمؤسسات أخرى (المعروفة باسم "شركاء الأعمال") إذا كان القيام بذلك ضروريًا لتنفيذ الاحتياجات أو الأنشطة المتعلقة بالرعاية الصحية. ومع ذلك ، يتعين على شركاء الأعمال هؤلاء التأكد من أنهم يحمون PHI المعنية ، باستخدامها فقط للأغراض التي تمت مشاركتها لدعمها ، من بين متطلبات أخرى ، من أجل أن تكون متوافقة مع HIPAA.

كيف يبدو الامتثال HIPAA؟

بشكل عام ، يجب على جميع العلامات التجارية التي ترسل المعلومات الصحية الرقمية المحمية أن تضع وتتبع بعض الإجراءات الأمنية المادية والشبكات والعملية لتلبية الامتثال لقانون HIPAA. علاوة على ذلك ، من أجل أن تكون الشركة متوافقة مع HIPAA ، يجب أن تكون معالجاتها الفرعية (أي طرف ثالث قد يتعامل مع المعلومات الصحية المحمية نيابة عن الكيان المشمول) بشكل عام متوافقين مع HIPAA. هذا يعني أن المعالج الفرعي يجب أن يلتزم بالمتطلبات الصارمة بما في ذلك ، على سبيل المثال لا الحصر ، ما يلي:

• قم بتوقيع اتفاقية شراكة أعمال (BAA) تنص على التزامهم بقواعد الأمان والخصوصية التي تتطلبها HIPAA
• قم بإجراء تحليل للمخاطر
• تدقيق وتتبع النشاط على الأجهزة والبرامج التي تعالج المعلومات الصحية المحمية
• تنفيذ خطة النسخ الاحتياطي للبيانات
• تثبيت الضمانات المادية لحماية أنظمة المعلومات الإلكترونية
• تنفيذ السياسات والإجراءات لضمان الامتثال

أن تصبح متوافقًا مع HIPAA ليس بالأمر السهل - وليست صفقة لمرة واحدة. يتطلب دعمًا وصيانة وتركيزًا مستمرين ، خاصة وأن القانون يتم تحديثه بمرور الوقت.

الامتثال HIPAA والنحاس

اليوم ، تعد خصوصية البيانات وأمانها جزءًا لا يتجزأ من العلامات التجارية والمستهلكين على حدٍ سواء. لضمان أن عملاء Braze (وعملائهم) يمكنهم التعامل مع المعلومات الصحية المحمية بطريقة آمنة ومأمونة لدعم التجارب الهادفة وذات الصلة ، جعلنا الامتثال لقانون HIPAA - وخصوصية البيانات وأمانها بشكل عام - أولوية رئيسية لشركتنا ومنتجاتنا .

في Braze ، شكل العمل الذي قمنا به لنصبح متوافقين مع HIPAA أساس نهجنا الحالي لأمن البيانات.

"أول تحليل رسمي كبير للمخاطر قمنا به كان من أجل HIPAA ،" يلاحظ جون هايمان ، مؤسس شركة Braze ورئيس قسم التكنولوجيا. "لقد قمنا بتعيين محامٍ يدرس HIPAA وعملنا معه للتأكد من أننا نقوم بالأشياء وفقًا لما هو مطلوب ... [و] حرفيًا قمنا ببناء تحليل للمخاطر حيث كان لدينا سجل مخاطر للتهديدات المحتملة ونقاط الضعف ، والضوابط التي لدينا في المكان ، واحتمالية المشكلات ، والأثر المحتمل ، وكيف يبدو العلاج ، وكيف سيتعامل فريق الاستجابة للحوادث لدينا مع الأمور ".

أكمل Braze أيضًا أعمالًا مهمة متعلقة بالبنية التحتية. لأحدها ، أنشأنا مجموعة منفصلة تركز على HIPAA لمنصة Braze للعلامات التجارية التي تعمل مع PHI. مع مجموعة Braze HIPAA ، "تقوم بتسجيل الدخول إلى عنوان URL مختلف ، وإذا لم تكن في بيئة غير HIPAA ، فإن SDKs لديك تصل إلى عنوان URL مختلف تمامًا ومجموعة مختلفة من الخوادم" ، كما يقول Hyman. قواعد بياناتك منفصلة. كل شيء منفصل تمامًا. لها قواعد جدار حماية مختلفة. لديها شبكتها الافتراضية الخاصة. إنه منفصل تمامًا عن البيئات الأخرى داخل Braze ، وهو أمر رائع من وجهة نظر العزلة ".

تفخر Braze بكونها متوافقة مع HIPAA ، لكننا لم نتوقف عند هذا الحد. لقد واصلنا تكرار هذه الإجراءات ، متجاوزين ما هو مطلوب بموجب القانون. على سبيل المثال ، أضفنا ضمانات إضافية للترخيص الثنائي ، وقائمة IP البيضاء للوحة القيادة وواجهات برمجة التطبيقات ، وسياسات انتهاء صلاحية كلمة المرور ، وقواعد تعقيد كلمة المرور.

يعني الامتثال HIPAA أمانًا صارمًا للمعلومات لجميع عملاء Braze

ولكن في حين أن الامتثال لقانون HIPAA كان بمثابة مهمة رئيسية لشركة Braze ، فقد انتهى الأمر بتمهيد الطريق لكل ما جاء بعد ذلك - في الواقع ، في عام 2018 ، أكملنا بنجاح تدقيق SOC 2 من النوع 2 وشهادة ISO 27001 ثم أكملنا تدقيقًا ثانيًا وشهادة في العام الماضي.

يحدد معيار SOC 2 ، الذي يشرف عليه المعهد الأمريكي للمحاسبين القانونيين المعتمدين (AICPA) ، متطلبات الامتثال لضوابط أمان شركة معينة. وأكد هذا التدقيق أن Braze قد وضعت بالفعل سياسات وإجراءات صارمة لأمن المعلومات. بالإضافة إلى ذلك ، تؤكد شهادة ISO 27001 الخاصة بنا أن Braze قد أجرت تقييمًا شاملاً للمخاطر الأمنية ولديها نظام إدارة أمن المعلومات (ISMS) الذي يتوافق مع معيار إدارة أمن المعلومات العالمي للمنظمة الدولية للتوحيد القياسي (ISO).

يوضح هايمان: "الطريقة التي تتطلب بها HIPAA من Braze للعمل مع العلامات التجارية التي تستخدم PHI هي الطريقة التي نعمل بها الآن في جميع المجالات". "على سبيل المثال ، تطلبت الضمانات الإدارية في HIPAA منا إجراء تحليل للمخاطر ، وهو ما فعلناه. ولكن هذا أيضًا أحد متطلبات ISO 27001 ، حيث يتعين عليك التأكد من أن نظام إدارة أمن المعلومات الخاص بك يتوافق مع المعايير العالية. وكل شيء يتبع ذلك ؛ التأكد من أن لدينا ضوابط مناسبة ، وعمليات فعالة لأشياء مثل إنهاء الوصول إلى الموظفين الذين يغادرون ، وعملية للتعامل مع البيانات الحساسة في جميع المجالات. "

الخطوات التالية

خصوصية البيانات وأمانها مهمان - الآن أكثر من أي وقت مضى. من خلال منصة ملتزمة بالامتثال لقانون HIPAA ، يمكن للعلامات التجارية الخاصة بالصحة واللياقة البدنية تقديم تجارب ذات صلة لا تُنسى للعملاء مع الاستمرار في احترام خصوصيتهم.

لاكتشاف كيف تعمل إستراتيجية الاتصال المخصصة والمتوافقة مع HIPAA على زيادة قيمة علامتك التجارية ، تحقق من كيفية تعزيز HelpAround للاحتفاظ بمستخدمي التطبيق باستخدام Braze.