Отличие от HIPAA: как Braze поддерживает продуманное взаимодействие при защите защищенной медицинской информации

Сегодняшние потребители требуют релевантного взаимодействия с брендом. Чтобы построить прочные отношения, бренды должны убедиться, что они общаются таким образом, чтобы говорить с каждым покупателем как с личностью, и это верно, независимо от того, является ли этот бренд розничным продавцом или в сфере здравоохранения. Но есть одна загвоздка: хотя данные являются неотъемлемой частью этого персонализированного опыта, это также тема, которая может быть очень чувствительной как для потребителей, так и для регулирующих органов. Вы не можете избежать потребности в данных как маркетолог сегодня, но вы также не можете позволить себе легкомысленно относиться к ним или не защищать информацию, которая была доверена вашему бренду.

Все это особенно верно, когда речь идет о данных, связанных со здоровьем. По мере того, как цифровые услуги, предлагаемые брендами товаров для здоровья и фитнеса, продолжают расширяться, становится все более очевидной необходимость найти способы как использовать, так и защищать конфиденциальные данные, связанные со здоровьем. Несмотря на то, что способность быстро предоставлять ценность и удобство с помощью взаимодействия с брендом может конкретно улучшить жизнь людей, особенно в пространстве, известном своим длительным временем ожидания, важно защищать данные, которые информируют об этом опыте, без компромиссов.

Чтобы сделать это возможным для брендов, связанных со здоровьем, Braze поставила в приоритет достижение и поддержание соответствия HIPAA для нашей платформы. Давайте посмотрим, почему это важно, как мы этого добились и что это значит для маркетологов.

Что такое ХИПАА?

В 1996 году правительство США приняло Закон о переносимости и подотчетности медицинского страхования (HIPAA) для реализации правил, гарантирующих, что организации, имеющие цифровой доступ к информации о здоровье клиентов, защищают эту строго конфиденциальную информацию. Эти данные, известные как защищенная медицинская информация (PHI), включают в себя традиционные медицинские данные, такие как медицинские записи и результаты анализов, а также индивидуально идентифицирующие точки данных, связанные с чьими-либо медицинскими записями, такие как имя пациента, номер счета, изображения, демографические данные. информация и многое другое.

HIPAA требуется только для «Охватываемых организаций», в том числе:

• Медицинские страховые компании (HMOs, корпоративные планы медицинского страхования, Medicare, Medicaid)
• Поставщики медицинских услуг (врачи, клиники, специалисты, аптеки)
• Компании данных о здоровье

Однако эти организации не работают в вакууме. HIPAA позволяет организациям, на которые распространяется действие страховки, раскрывать PHI другим организациям (известным как «деловые партнеры»), если это необходимо для удовлетворения потребностей или деятельности, связанной со здравоохранением. Тем не менее, эти деловые партнеры должны гарантировать, что они защищают рассматриваемую закрытую медицинскую информацию, используя ее только для целей, для которых она была предоставлена, среди прочих требований, чтобы соответствовать требованиям HIPAA.

Как выглядит соответствие HIPAA?

Как правило, все бренды, отправляющие защищенную цифровую информацию о состоянии здоровья, должны установить и соблюдать определенные физические, сетевые и технологические меры безопасности, чтобы соответствовать требованиям HIPAA. Кроме того, для того, чтобы компания соответствовала требованиям HIPAA, ее вспомогательные обработчики (любая третья сторона, которая может обрабатывать PHI от имени Застрахованного лица), как правило, также должны соответствовать требованиям HIPAA. Это означает, что субобработчик должен придерживаться строгих требований, включая, помимо прочего, следующее:

• Подпишите Соглашение о деловом партнерстве (BAA), в котором говорится, что они придерживаются правил безопасности и конфиденциальности, требуемых HIPAA.
• Проведите анализ рисков
• Аудит и отслеживание активности аппаратного и программного обеспечения, обрабатывающего PHI.
• Реализовать план резервного копирования данных
• Установите физические средства защиты для защиты электронных информационных систем.
• Внедрение политик и процедур для обеспечения соответствия

Стать совместимым с HIPAA непросто, и это не разовая сделка. Он требует постоянной поддержки, обслуживания и внимания, особенно с учетом того, что закон со временем обновляется.

Соответствие HIPAA и пайка

Сегодня конфиденциальность и безопасность данных являются неотъемлемой частью как брендов, так и потребителей. Чтобы гарантировать, что клиенты Braze (и их клиенты) могут обращаться с PHI безопасным и надежным способом для поддержки значимого и актуального опыта, мы сделали соответствие HIPAA, а также конфиденциальность и безопасность данных в целом, главным приоритетом для нашей компании и нашего продукта. .

В Braze работа, которую мы проделали, чтобы соответствовать HIPAA, легла в основу нашего текущего подхода к безопасности данных.

«Первый крупный формальный анализ рисков, который мы провели, был для HIPAA», — отмечает Джон Хайман, соучредитель и технический директор Braze. «Мы наняли юриста, который изучает HIPAA, и мы работали с ним, чтобы убедиться, что мы делаем все в соответствии с требованиями… [и] буквально построили анализ рисков, где у нас был реестр рисков потенциальных угроз и уязвимостей, средства контроля, которые у нас есть в место, вероятность возникновения проблем, потенциальное влияние, как выглядит исправление и как наша группа реагирования на инциденты будет решать проблемы».

Braze также выполнила значительные работы, связанные с инфраструктурой. Во-первых, мы создали отдельный кластер платформы Braze, ориентированный на HIPAA, для брендов, работающих с PHI. В кластере Braze HIPAA «вы входите по другому URL-адресу, и если вы не находитесь в среде, отличной от HIPAA, ваши SDK используют совершенно другой URL-адрес и другой набор серверов», — говорит Хайман. «Ваши базы данных разделены. Все совершенно отдельно. У него другие правила брандмауэра. Имеется собственная виртуальная сеть. Он полностью отделен от других сред внутри Braze, что хорошо с точки зрения изоляции».

Braze гордится тем, что соответствует требованиям HIPAA, но на этом мы не остановились. Мы продолжали повторять эти меры, выходя за рамки того, что требуется по закону. Например, мы добавили дополнительные средства защиты двухфакторной авторизации, белые списки IP-адресов для панели управления и наших API, политики истечения срока действия паролей и правила сложности паролей.

Соответствие HIPAA означает строгую информационную безопасность для всех клиентов Braze

Но хотя соблюдение требований HIPAA было важным мероприятием для Braze, в конечном итоге оно проложило путь для всего, что последовало за ним — фактически, в 2018 году мы также успешно завершили аудит SOC 2 Type 2 и сертификацию ISO 27001, а затем завершили второй аудит и сертификацию. в прошлом году.

Стандарт SOC 2, который контролируется Американским институтом сертифицированных бухгалтеров (AICPA), устанавливает требования соответствия для средств контроля безопасности данной компании. Этот аудит подтвердил, что Braze уже установила строгие политики и процедуры информационной безопасности. Кроме того, наша сертификация ISO 27001 подтверждает, что Braze провела всестороннюю оценку рисков безопасности и имеет Систему управления информационной безопасностью (ISMS), которая соответствует глобальному стандарту управления информационной безопасностью Международной организации по стандартизации (ISO).

«То, как HIPAA требует, чтобы Braze работал с брендами, использующими PHI, — это то, как мы сейчас работаем по всем направлениям», — объясняет Хайман. «Например, административные меры безопасности в HIPAA требовали от нас проведения анализа рисков, что мы и сделали. Но это также требование для ISO 27001, где вы должны убедиться, что ваша система управления информационной безопасностью соответствует высоким стандартам. И все вытекает из этого; убедиться, что у нас есть надлежащий контроль, эффективные процессы для таких вещей, как прекращение доступа к уходящим сотрудникам, и процесс обработки конфиденциальных данных по всем направлениям».

Следующие шаги

Конфиденциальность и безопасность данных важны — сейчас больше, чем когда-либо. Благодаря платформе, соответствующей требованиям HIPAA, бренды товаров для здоровья и фитнеса могут предоставлять клиентам незабываемые и актуальные впечатления, сохраняя при этом их конфиденциальность.

Чтобы узнать, как персонализированная коммуникационная стратегия, соответствующая HIPAA, повышает ценность вашего бренда, узнайте, как HelpAround повышает удержание пользователей приложения с помощью Braze.