• Homepage
  • Articoli
  • Marketing
  • La differenza HIPAA: come Braze supporta un impegno ponderato salvaguardando le informazioni sanitarie protette

La differenza HIPAA: come Braze supporta un impegno ponderato salvaguardando le informazioni sanitarie protette

Pubblicato: 2020-02-21

I consumatori di oggi richiedono esperienze di marca pertinenti. Per costruire relazioni solide, i marchi devono assicurarsi di comunicare in modi che parlino a ciascun cliente come individuo, e questo è vero sia che il marchio sia un rivenditore o nel settore sanitario. Ma c'è un problema: sebbene i dati siano una parte essenziale di queste esperienze personalizzate, sono anche un argomento che può essere molto sensibile sia per i consumatori che per le autorità di regolamentazione. Non puoi evitare la necessità di dati come marketer oggi, ma non puoi nemmeno permetterti di trattarli alla leggera o non proteggere e salvaguardare le informazioni che sono state affidate al tuo marchio.

Tutto ciò è particolarmente vero quando si tratta di dati relativi alla salute. Poiché i servizi digitali offerti dai marchi di salute e fitness continuano ad espandersi, la necessità di trovare modi per sfruttare e proteggere i dati sensibili relativi alla salute è diventata sempre più chiara. Mentre la capacità di fornire rapidamente valore e convenienza attraverso le esperienze di marca può migliorare concretamente la vita delle persone, specialmente in uno spazio noto per i suoi lunghi tempi di attesa, è importante proteggere i dati che informano tali esperienze senza compromessi.

Per renderlo possibile per i marchi legati alla salute, Braze ha dato la priorità al raggiungimento e al mantenimento della conformità HIPAA per la nostra piattaforma. Diamo un'occhiata al motivo per cui è importante, come l'abbiamo realizzato e cosa significa per i marketer.

Cos'è l'HIPAA?

Il governo degli Stati Uniti ha approvato l'Health Insurance Portability and Accountability Act (HIPAA) nel 1996 per implementare regole che garantiscano che le organizzazioni con accesso digitale alle informazioni sanitarie dei clienti proteggano tali informazioni altamente riservate. Questi dati, noti come Protected Health Information (PHI), includono dati medici tradizionali, come cartelle cliniche e risultati dei test, nonché punti dati identificativi individuali relativi alle cartelle cliniche di qualcuno, come il nome di un paziente, numero di conto, immagini, dati demografici informazioni e altro ancora.

HIPAA è obbligatorio solo per le "Entità coperte", che includono:

  • Compagnie di assicurazione sanitaria (HMO, piani sanitari aziendali, Medicare, Medicaid)
  • Operatori sanitari (medici, cliniche, specialisti, farmacie)
  • Società di dati sanitari

Tuttavia, queste organizzazioni non operano nel vuoto. L'HIPAA consente alle entità coperte di divulgare le PHI ad altre organizzazioni (note come "associati in affari") se ciò è necessario per soddisfare esigenze o attività relative all'assistenza sanitaria. Tuttavia, questi soci in affari devono assicurarsi di salvaguardare le PHI in questione, utilizzandole solo per gli scopi che sono state condivise per supportare, tra gli altri requisiti, al fine di essere conformi all'HIPAA.

Che aspetto ha la conformità HIPAA?

In generale, tutti i marchi che inviano informazioni sanitarie protette digitali devono istituire e seguire determinate misure di sicurezza fisica, di rete e di processo per soddisfare la conformità HIPAA. Inoltre, affinché un'azienda sia conforme all'HIPAA, i suoi sub-incaricati (qualsiasi terza parte che può gestire le PHI per conto dell'entità coperta) generalmente devono essere conformi all'HIPAA. Ciò significa che il sub-responsabile del trattamento deve rispettare severi requisiti inclusi, ma non limitati a, quanto segue:

  • Firma un contratto di società in affari (BAA) in cui si afferma che aderiscono alle regole di sicurezza e privacy richieste da HIPAA
  • Eseguire un'analisi del rischio
  • Verifica e traccia l'attività su hardware e software che elabora le PHI
  • Implementare un piano di backup dei dati
  • Installare protezioni fisiche per proteggere i sistemi informatici elettronici
  • Implementare politiche e procedure per garantire la conformità

Diventare conforme HIPAA non è facile e non è un affare una tantum. Richiede supporto, manutenzione e attenzione continui, soprattutto perché la legge viene aggiornata nel tempo.

Conformità e brasatura HIPAA

Oggi, la privacy e la sicurezza dei dati sono parte integrante sia dei marchi che dei consumatori. Per garantire che i clienti Braze (e i loro clienti) possano gestire le PHI in modo sicuro e protetto per supportare esperienze significative e pertinenti, abbiamo reso la conformità HIPAA, e la privacy e la sicurezza dei dati in generale, una priorità assoluta per la nostra azienda e il nostro prodotto .

In Braze, il lavoro svolto per diventare conformi a HIPAA ha costituito la base del nostro attuale approccio alla sicurezza dei dati.

"La prima grande analisi formale del rischio che abbiamo fatto è stata per HIPAA", osserva Jon Hyman, cofondatore e CTO di Braze. "Abbiamo assunto un avvocato che studia HIPAA e abbiamo lavorato con lui per assicurarci che stessimo facendo le cose secondo ciò che è richiesto... [e] abbiamo letteralmente costruito un'analisi del rischio in cui avevamo un registro dei rischi di potenziali minacce e vulnerabilità, i controlli che abbiamo in luogo, la probabilità che si verifichino problemi, il potenziale impatto, l'aspetto della riparazione e il modo in cui il nostro team di risposta agli incidenti affronterà le cose".

Braze ha anche completato importanti lavori relativi alle infrastrutture. Per uno abbiamo creato un cluster separato, incentrato sull'HIPAA, della piattaforma Braze per i marchi che lavorano con PHI. Con il cluster Braze HIPAA, "Accedi a un URL diverso e, se non ti trovi in ​​un ambiente non HIPAA, i tuoi SDK raggiungono un URL completamente diverso e un diverso set di server", afferma Hyman. “I tuoi database sono separati. Tutto è completamente separato. Ha diverse regole del firewall. Dispone di una propria rete virtuale. È completamente separato dagli altri ambienti all'interno di Braze, il che è bello dal punto di vista dell'isolamento".

Braze è orgogliosa di essere conforme HIPAA, ma non ci siamo fermati qui. Abbiamo continuato a iterare su queste misure, andando al di là di quanto richiesto dalla legge. Ad esempio, abbiamo aggiunto ulteriori garanzie di autorizzazione a due fattori, whitelist IP per il dashboard e le nostre API, criteri di scadenza delle password e regole di complessità delle password.

Conformità HIPAA significa sicurezza rigorosa delle informazioni per tutti i clienti Braze

Ma mentre la conformità HIPAA è stata un'impresa importante per Braze, ha finito per spianare la strada a tutto ciò che è seguito: infatti, nel 2018, abbiamo anche completato con successo il nostro audit SOC 2 di tipo 2 e la certificazione ISO 27001, quindi abbiamo completato un secondo audit e certificazione nell'anno passato.

Lo standard SOC 2, supervisionato dall'American Institute of Certified Public Accountants (AICPA), stabilisce i requisiti di conformità per i controlli di sicurezza di una determinata azienda. Questo controllo ha assicurato che Braze avesse già stabilito rigide politiche e procedure di sicurezza delle informazioni. Inoltre, la nostra certificazione ISO 27001 afferma che Braze ha eseguito una valutazione completa dei rischi per la sicurezza e dispone di un sistema di gestione della sicurezza delle informazioni (ISMS) conforme allo standard di gestione della sicurezza delle informazioni globale dell'Organizzazione internazionale per la standardizzazione (ISO).

"Il modo in cui HIPAA richiede che Braze operi per i marchi che utilizzano PHI è il modo in cui operiamo ora su tutta la linea", spiega Hyman. “Ad esempio, le salvaguardie amministrative nell'HIPAA ci hanno richiesto di fare un'analisi del rischio, cosa che abbiamo fatto. Ma questo è anche un requisito per la ISO 27001, in cui devi assicurarti che il tuo sistema di gestione della sicurezza delle informazioni sia conforme a standard elevati. E tutto ne consegue; assicurandoci di avere controlli adeguati, processi efficaci per cose come la cessazione dell'accesso ai dipendenti che partono e un processo per la gestione dei dati sensibili su tutta la linea".

Prossimi passi

La privacy e la sicurezza dei dati sono importanti, ora più che mai. Con una piattaforma impegnata nella conformità HIPAA, i marchi di salute e fitness possono offrire ai clienti esperienze memorabili e rilevanti pur rispettando la loro privacy.

Per scoprire come una strategia di comunicazione personalizzata e conforme all'HIPAA aumenta il valore del tuo marchio, scopri come HelpAround aumenta la fidelizzazione degli utenti dell'app con Braze.