HIPAA 차이점: Braze가 보호되는 건강 정보를 보호하면서 사려 깊은 참여를 지원하는 방법

오늘날의 소비자는 관련 브랜드 경험을 요구합니다. 강력한 관계를 구축하기 위해 브랜드는 각 고객과 개별적으로 소통하는 방식으로 커뮤니케이션해야 하며 이는 해당 브랜드가 소매업체이든 의료 분야든 마찬가지입니다. 그러나 문제가 있습니다. 데이터는 이러한 개인화된 경험의 필수적인 부분이지만 소비자와 규제 기관 모두에게 매우 민감한 주제이기도 합니다. 오늘날 마케터로서 데이터의 필요성을 피할 수는 없지만, 이를 가볍게 여기거나 브랜드에 맡겨진 정보를 보호하고 보호하지 못하는 것도 용납할 수 없습니다.

건강 관련 데이터의 경우 특히 그렇습니다. 건강 및 피트니스 브랜드에서 제공하는 디지털 서비스가 계속 확장됨에 따라 민감한 건강 관련 데이터를 활용하고 보호하는 방법을 찾아야 할 필요성이 점점 더 명확해졌습니다. 브랜드 경험을 통해 가치와 편의성을 신속하게 제공하는 능력은 특히 긴 대기 시간으로 알려진 공간에서 사람들의 삶을 구체적으로 개선할 수 있지만 이러한 경험을 알려주는 데이터를 타협 없이 보호하는 것이 중요합니다.

건강 관련 브랜드에서 이를 가능하게 하기 위해 Braze는 플랫폼에 대한 HIPAA 규정 준수를 달성하고 유지하는 것을 우선시했습니다. 이것이 왜 중요한지, 어떻게 구현했는지, 그리고 이것이 마케터에게 무엇을 의미하는지 살펴보겠습니다.

HIPAA란 무엇입니까?

미국 정부는 1996년 HIPAA(Health Insurance Portability and Accountability Act)를 통과시켜 고객의 건강 정보에 대한 디지털 액세스 권한이 있는 조직이 기밀 정보를 보호하도록 하는 규칙을 구현했습니다. PHI(보호 건강 정보)로 알려진 이 데이터에는 건강 기록 및 검사 결과와 같은 기존 의료 데이터와 환자 이름, 계정 번호, 이미지, 인구 통계와 같은 개인의 건강 기록과 관련된 개별 식별 데이터 요소가 포함됩니다. 정보 등.

HIPAA는 다음을 포함하는 "해당 기관"에 대해서만 의무화됩니다.

• 건강 보험 회사(HMO, 회사 건강 보험, Medicare, Medicaid)
• 의료 제공자(의사, 진료소, 전문의, 약국)
• 건강 데이터 회사

그러나 이러한 조직은 진공 상태에서 작동하지 않습니다. HIPAA는 의료 관련 요구 또는 활동을 실행하는 데 필요한 경우 해당 주체가 다른 조직("비즈니스 제휴사"로 알려짐)에 PHI를 공개하는 것을 허용합니다. 그러나 이러한 비즈니스 어소시에이트는 HIPAA 준수를 위해 다른 요구 사항 중에서 지원하기 위해 공유된 목적으로만 문제의 PHI를 보호하고 있는지 확인해야 합니다.

HIPAA 규정 준수는 어떤 모습입니까?

일반적으로 디지털로 보호되는 건강 정보를 보내는 모든 브랜드는 HIPAA 규정 준수를 충족하기 위해 특정 물리적, 네트워크 및 프로세스 보안 조치를 제정하고 따라야 합니다. 또한 회사가 HIPAA를 준수하려면 해당 하위 처리자(해당 대상을 대신하여 PHI를 처리할 수 있는 제3자)도 일반적으로 HIPAA를 준수해야 합니다. 이는 하위 프로세서가 다음을 포함하되 이에 국한되지 않는 엄격한 요구 사항을 준수해야 함을 의미합니다.

• HIPAA에서 요구하는 보안 및 개인 정보 보호 규칙을 준수한다는 BAA(Business Associate Agreement)에 서명합니다.
• 위험 분석 수행
• PHI를 처리하는 하드웨어 및 소프트웨어에 대한 활동 감사 및 추적
• 데이터 백업 계획 구현
• 전자 정보 시스템을 보호하기 위한 물리적 보호 장치 설치
• 규정 준수를 보장하기 위한 정책 및 절차 구현

HIPAA를 준수하는 것은 쉬운 일이 아니며 일회성 거래도 아닙니다. 특히 시간이 지남에 따라 법률이 업데이트됨에 따라 지속적인 지원, 유지 관리 및 집중이 필요합니다.

HIPAA 규정 준수 및 브레이즈

오늘날 데이터 개인 정보 보호 및 보안은 브랜드와 소비자 모두에게 필수적입니다. Braze 고객(및 그 고객)이 의미 있고 관련성 있는 경험을 지원하기 위해 안전하고 안전한 방식으로 PHI를 처리할 수 있도록 HIPAA 규정 준수와 일반적인 데이터 개인 정보 보호 및 보안을 회사와 제품의 최우선 순위로 설정했습니다. .

Braze에서 HIPAA를 준수하기 위해 수행한 작업은 현재 데이터 보안 접근 방식의 기반이 되었습니다.

Braze 공동 설립자이자 CTO인 Jon Hyman은 "우리가 수행한 첫 번째 공식적인 위험 분석은 HIPAA에 대한 것이었습니다. "우리는 HIPAA를 연구하는 변호사를 고용했고 그와 협력하여 우리가 요구하는 바에 따라 일을 하고 있는지 확인했습니다...[그리고] 말 그대로 잠재적 위협 및 취약성에 대한 위험 레지스터가 있는 위험 분석을 구축했습니다. 장소, 문제의 가능성, 잠재적 영향, 해결 방법, 사고 대응 팀이 문제를 해결하는 방법."

Braze는 또한 중요한 인프라 관련 작업을 완료했습니다. 그 중 하나를 위해 우리는 PHI로 작업하는 브랜드를 위해 별도의 HIPAA 중심의 Braze 플랫폼 클러스터를 만들었습니다. Braze HIPAA 클러스터를 사용하면 "다른 URL에 로그인하면 비 HIPAA 환경에 있지 않으면 SDK가 완전히 다른 URL과 다른 서버 세트에 도달합니다."라고 Hyman은 말합니다. “당신의 데이터베이스는 별개입니다. 모든 것이 완전히 분리되어 있습니다. 방화벽 규칙이 다릅니다. 자체 가상 네트워크가 있습니다. Braze 내의 다른 환경과 완전히 분리되어 있어 격리 측면에서 좋습니다.”

Braze는 HIPAA 준수를 자랑스럽게 생각하지만 여기서 멈추지 않았습니다. 우리는 법에서 요구하는 것 이상으로 이러한 조치를 계속 반복했습니다. 예를 들어, 2단계 인증, 대시보드 및 API에 대한 IP 화이트리스트, 비밀번호 만료 정책 및 비밀번호 복잡성 규칙에 대한 추가 보호 기능을 추가했습니다.

HIPAA 규정 준수는 모든 Braze 고객을 위한 엄격한 정보 보안을 의미합니다.

그러나 HIPAA 규정 준수는 Braze의 주요 사업이었지만 결과적으로는 이후의 모든 일을 위한 길을 열었습니다. 실제로 2018년에는 SOC 2 Type 2 감사 및 ISO 27001 인증도 성공적으로 완료한 후 두 번째 감사 및 인증을 완료했습니다. 작년에.

AICPA(American Institute of Certified Public Accountants)에서 감독하는 SOC 2 표준은 특정 회사의 보안 제어에 대한 규정 준수 요구 사항을 설정합니다. 이 감사를 통해 Braze는 이미 엄격한 정보 보안 정책 및 절차를 수립했습니다. 또한 ISO 27001 인증은 Braze가 보안 위험에 대한 포괄적인 평가를 수행했으며 국제 표준화 기구(ISO)의 글로벌 정보 보안 관리 표준을 준수하는 정보 보안 관리 시스템(ISMS)을 보유하고 있음을 확인합니다.

Hyman은 "HIPAA가 Braze가 PHI를 사용하는 브랜드에 대해 운영하도록 요구하는 방식은 현재 우리가 전반적으로 운영하는 방식입니다"라고 설명합니다. “예를 들어 HIPAA의 행정적 보호 장치에 따라 위험 분석을 수행해야 했습니다. 그러나 이는 정보 보안 관리 시스템이 높은 표준을 준수하는지 확인해야 하는 ISO 27001의 요구 사항이기도 합니다. 그리고 모든 것이 그것에서 비롯됩니다. 적절한 통제, 퇴사하는 직원에 대한 액세스 종료와 같은 효과적인 프로세스, 전반적으로 민감한 데이터를 처리하는 프로세스가 있는지 확인합니다."

다음 단계

데이터 개인 정보 보호 및 보안 문제는 그 어느 때보다 중요합니다. HIPAA 규정 준수에 전념하는 플랫폼을 통해 건강 및 피트니스 브랜드는 고객의 개인 정보를 존중하면서 기억에 남고 관련성 있는 경험을 제공할 수 있습니다.

개인화된 HIPAA 준수 커뮤니케이션 전략이 브랜드 가치를 높이는 방법을 알아보려면 HelpAround가 Braze를 사용하여 앱 사용자 유지를 높이는 방법을 확인하십시오.