• Strona główna
  • Artykuły
  • Marketing
  • Różnica HIPAA: w jaki sposób Braze wspiera przemyślane zaangażowanie, jednocześnie chroniąc chronione informacje zdrowotne

Różnica HIPAA: w jaki sposób Braze wspiera przemyślane zaangażowanie, jednocześnie chroniąc chronione informacje zdrowotne

Opublikowany: 2020-02-21

Dzisiejsi konsumenci wymagają odpowiednich doświadczeń związanych z marką. Aby budować silne relacje, marki muszą mieć pewność, że komunikują się w sposób, który przemawia do każdego klienta indywidualnie — i jest to prawdą, niezależnie od tego, czy ta marka jest sprzedawcą detalicznym, czy w obszarze opieki zdrowotnej. Ale jest pewien haczyk: chociaż dane są istotną częścią tych spersonalizowanych doświadczeń, jest to również temat, który może być bardzo wrażliwy zarówno dla konsumentów, jak i organów regulacyjnych. Nie możesz dziś uniknąć potrzeby posiadania danych jako marketer, ale nie możesz też pozwolić sobie na lekceważenie ich lub zaniechanie ochrony i zabezpieczenia informacji, które zostały powierzone Twojej marce.

Wszystko to jest szczególnie prawdziwe, jeśli chodzi o dane dotyczące zdrowia. W miarę rozwoju usług cyfrowych oferowanych przez marki zajmujące się zdrowiem i fitnessem coraz wyraźniej widać potrzebę znalezienia sposobów zarówno na wykorzystanie, jak i ochronę wrażliwych danych dotyczących zdrowia. Chociaż możliwość szybkiego dostarczania wartości i wygody poprzez doświadczenia związane z marką może konkretnie poprawić życie ludzi — zwłaszcza w przestrzeni znanej z długiego czasu oczekiwania — ważne jest, aby chronić dane, które wpływają na te doświadczenia bez kompromisów.

Aby było to możliwe dla marek związanych ze zdrowiem, firma Braze nadała priorytet osiągnięciu i utrzymaniu zgodności z HIPAA dla naszej platformy. Przyjrzyjmy się, dlaczego to ma znaczenie, jak to zrobiliśmy i co to oznacza dla marketerów.

Co to jest HIPAA?

Rząd Stanów Zjednoczonych uchwalił ustawę o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) w 1996 r., aby wdrożyć przepisy zapewniające, że organizacje z cyfrowym dostępem do informacji zdrowotnych klientów chronią te wysoce poufne informacje. Dane te, znane jako Chronione Informacje Zdrowotne (PHI), obejmują tradycyjne dane medyczne, takie jak dokumentacja zdrowotna i wyniki badań, a także indywidualnie identyfikujące punkty danych związane z czyjąś dokumentacją zdrowotną, takie jak imię i nazwisko pacjenta, numer konta, obrazy, dane demograficzne informacje i nie tylko.

HIPAA obowiązuje tylko dla „podmiotów objętych ubezpieczeniem”, które obejmują:

  • Firmy ubezpieczeniowe (HMO, zakładowe plany zdrowotne, Medicare, Medicaid)
  • Świadczeniodawcy (lekarze, przychodnie, specjaliści, apteki)
  • Firmy zajmujące się danymi zdrowotnymi

Jednak te organizacje nie działają w próżni. Ustawa HIPAA umożliwia podmiotom objętym ubezpieczeniem ujawnianie PHI innym organizacjom (znanym jako „współpracownicy biznesowi”), jeśli jest to konieczne do realizacji potrzeb lub działań związanych z opieką zdrowotną. Jednak ci Partnerzy Biznesowi muszą zapewnić, że chronią dane PHI, używając ich tylko do celów, które zostały udostępnione, aby wspierać, między innymi, w celu spełnienia wymagań HIPAA.

Jak wygląda zgodność z HIPAA?

Ogólnie rzecz biorąc, wszystkie marki, które wysyłają chronione cyfrowo informacje zdrowotne, muszą wprowadzić i przestrzegać pewnych fizycznych, sieciowych i procesowych środków bezpieczeństwa, aby spełnić wymagania HIPAA. Ponadto, aby firma była zgodna z HIPAA, jej podwykonawcy przetwarzania (każda strona trzecia, która może obsługiwać PHI w imieniu Podmiotu objętego niniejszą Umową) również muszą być zgodne z HIPAA. Oznacza to, że podwykonawca przetwarzania musi przestrzegać surowych wymagań, w tym między innymi:

  • Podpisz umowę o partnerstwie biznesowym (BAA), która stwierdza, że ​​przestrzegają zasad bezpieczeństwa i prywatności wymaganych przez HIPAA
  • Przeprowadź analizę ryzyka
  • Audytuj i śledź aktywność na sprzęcie i oprogramowaniu przetwarzającym PHI
  • Wdróż plan tworzenia kopii zapasowych danych
  • Zainstaluj fizyczne zabezpieczenia w celu ochrony elektronicznych systemów informatycznych
  • Wdrażaj zasady i procedury w celu zapewnienia zgodności

Uzyskanie zgodności z HIPAA nie jest łatwe — i nie jest jednorazową transakcją. Wymaga stałego wsparcia, konserwacji i skupienia, zwłaszcza że prawo jest aktualizowane z biegiem czasu.

Zgodność z HIPAA i lutowanie

W dzisiejszych czasach prywatność i bezpieczeństwo danych są integralną częścią zarówno marek, jak i konsumentów. Aby upewnić się, że klienci Braze (i ich klienci) mogą obsługiwać PHI w bezpieczny sposób w celu wspierania znaczących i odpowiednich doświadczeń, uczyniliśmy zgodność z HIPAA — oraz ogólnie poufność i bezpieczeństwo danych — głównym priorytetem dla naszej firmy i naszego produktu .

W Braze praca, którą wykonaliśmy, aby uzyskać zgodność z HIPAA, stanowiła podstawę naszego obecnego podejścia do bezpieczeństwa danych.

„Pierwsza duża formalna analiza ryzyka, którą przeprowadziliśmy, dotyczyła HIPAA” — zauważa Jon Hyman, współzałożyciel Braze i CTO. „Zatrudniliśmy prawnika, który studiuje HIPAA i współpracowaliśmy z nim, aby upewnić się, że robimy wszystko zgodnie z wymaganiami… [i] dosłownie zbudowaliśmy analizę ryzyka, w której mieliśmy rejestr ryzyka potencjalnych zagrożeń i podatności, kontroli, które mamy w miejsce, prawdopodobieństwo wystąpienia problemów, potencjalny wpływ, wygląd środków zaradczych i sposób, w jaki nasz zespół reagowania na incydenty zajmie się problemami”.

Braze zrealizowało również znaczące prace związane z infrastrukturą. Po pierwsze stworzyliśmy osobny, skupiony na HIPAA klaster platformy Braze dla marek współpracujących z PHI. W przypadku klastra Braze HIPAA „logujesz się pod innym adresem URL, a jeśli nie znajdujesz się w środowisku innym niż HIPAA, Twoje zestawy SDK trafiają na zupełnie inny adres URL i inny zestaw serwerów” — mówi Hyman. „Twoje bazy danych są oddzielne. Wszystko jest całkowicie oddzielne. Ma różne reguły zapory. Posiada własną sieć wirtualną. Jest całkowicie oddzielony od innych środowisk w Braze, co jest miłe z punktu widzenia izolacji.”

Braze jest dumny z tego, że spełnia wymogi HIPAA, ale na tym nie poprzestaliśmy. Kontynuowaliśmy iterację tych środków, wykraczając poza to, co jest wymagane przez prawo. Na przykład dodaliśmy dodatkowe zabezpieczenia autoryzacji dwuskładnikowej, białej listy adresów IP dla pulpitu nawigacyjnego i naszych interfejsów API, zasad wygasania haseł i reguł złożoności haseł.

Zgodność z HIPAA oznacza ścisłe bezpieczeństwo informacji dla wszystkich klientów Braze

Ale chociaż zgodność z HIPAA była dla Braze ważnym przedsięwzięciem, ostatecznie utorowała drogę do wszystkiego, co nastąpiło później — w rzeczywistości w 2018 roku pomyślnie ukończyliśmy również nasz audyt SOC 2 typu 2 i certyfikację ISO 27001, a następnie przeprowadziliśmy drugi audyt i certyfikację W minionym roku.

Standard SOC 2, który jest nadzorowany przez Amerykański Instytut Biegłych Rewidentów (AICPA), określa wymagania zgodności dla kontroli bezpieczeństwa danej firmy. Ten audyt zapewnił, że Braze ustanowił już surowe zasady i procedury bezpieczeństwa informacji. Ponadto nasz certyfikat ISO 27001 potwierdza, że ​​Braze przeprowadził kompleksową ocenę zagrożeń bezpieczeństwa i posiada System Zarządzania Bezpieczeństwem Informacji (ISMS), który jest zgodny z globalną normą zarządzania bezpieczeństwem informacji Międzynarodowej Organizacji Normalizacyjnej (ISO).

„Sposób, w jaki HIPAA wymaga, aby Braze działał dla marek korzystających z PHI, jest sposobem, w jaki teraz działamy na całym świecie”, wyjaśnia Hyman. „Na przykład zabezpieczenia administracyjne w HIPAA wymagały od nas przeprowadzenia analizy ryzyka, co zrobiliśmy. Ale jest to również wymóg normy ISO 27001, w której musisz upewnić się, że Twój system zarządzania bezpieczeństwem informacji spełnia wysokie standardy. I wszystko z tego wynika; upewniając się, że mamy odpowiednie kontrole, skuteczne procesy dotyczące takich rzeczy, jak zablokowanie dostępu odchodzącym pracownikom oraz proces przetwarzania wrażliwych danych na całym świecie”.

Następne kroki

Prywatność i bezpieczeństwo danych mają znaczenie — teraz bardziej niż kiedykolwiek. Dzięki platformie zaangażowanej w zgodność z HIPAA, marki zajmujące się zdrowiem i fitness mogą dostarczać klientom niezapomniane, odpowiednie doświadczenia, jednocześnie szanując ich prywatność.

Aby dowiedzieć się, jak spersonalizowana, zgodna z ustawą HIPAA strategia komunikacji zwiększa wartość Twojej marki, sprawdź, jak HelpAround zwiększa retencję użytkowników aplikacji dzięki Braze.