• 主页
  • 文章
  • 营销学
  • HIPAA 差异:Braze 如何在保护受保护的健康信息的同时支持深思熟虑的参与

HIPAA 差异:Braze 如何在保护受保护的健康信息的同时支持深思熟虑的参与

已发表: 2020-02-21

今天的消费者需要相关的品牌体验。 为了建立牢固的关系,品牌需要确保他们以每个客户作为个体的方式进行沟通——无论该品牌是零售商还是医疗保健领域,这都是事实。 但有一个问题:虽然数据是这些个性化体验的重要组成部分,但对于消费者和监管机构来说,它也是一个非常敏感的主题。 今天,作为营销人员,您无法避免对数据的需求,但您也不能掉以轻心,或者无法保护和保护委托给您的品牌的信息。

当涉及到与健康相关的数据时,所有这些都尤其正确。 随着健康和健身品牌提供的数字服务不断扩大,寻找利用和保护敏感健康相关数据的方法的需求变得越来越明显。 虽然通过品牌体验快速提供价值和便利的能力可以切实改善人们的生活——尤其是在一个以等待时间长而闻名的空间——但保护那些不妥协地告知这些体验的数据是很重要的。

为了使与健康相关的品牌成为可能,Braze 优先考虑实现和维护我们平台的 HIPAA 合规性。 让我们来看看为什么这很重要,我们是如何做到的,以及这对营销人员意味着什么。

什么是 HIPAA?

美国政府于 1996 年通过了《健康保险流通与责任法案》(HIPAA) 来实施规则,以确保能够以数字方式访问客户健康信息的组织保护这些高度机密的信息。 此数据称为受保护的健康信息 (PHI),包括传统医疗数据,例如健康记录和测试结果,以及与某人的健康记录相关的个人识别数据点,例如患者姓名、帐号、图像、人口统计信息等。

HIPAA 仅适用于“涵盖实体”,其中包括:

  • 健康保险公司(HMO、公司健康计划、医疗保险、医疗补助)
  • 医疗保健提供者(医生、诊所、专家、药房)
  • 健康数据公司

然而,这些组织并非在真空中运作。 如果有必要执行与医疗保健相关的需求或活动,HIPAA 允许涵盖实体向其他组织(称为“业务伙伴”)披露 PHI。 但是,这些业务伙伴必须确保他们正在保护有问题的 PHI,仅将其用于共享它以支持的目的以及其他要求,以便符合 HIPAA。

HIPAA 合规性是什么样的?

一般来说,所有发送受数字保护的健康信息的品牌都必须制定并遵循某些物理、网络和流程安全措施,以满足 HIPAA 合规性。 此外,为了使公司符合 HIPAA,其子处理者(可能代表涵盖实体处理 PHI 的任何第三方)通常也需要符合 HIPAA。 这意味着子处理者必须遵守严格的要求,包括但不限于以下内容:

  • 签署商业伙伴协议 (BAA),声明他们遵守 HIPAA 要求的安全和隐私规则
  • 进行风险分析
  • 审计和跟踪处理 PHI 的硬件和软件的活动
  • 实施数据备份计划
  • 安装物理保护措施以保护电子信息系统
  • 实施政策和程序以确保合规

成为 HIPAA 合规并不容易,而且不是一次性的交易。 它需要持续的支持、维护和关注,尤其是随着法律的不断更新。

HIPAA 合规性和钎焊

今天,数据隐私和安全对于品牌和消费者来说都是不可或缺的。 为确保 Braze 客户(及其客户)能够以安全、可靠的方式处理 PHI 以支持有意义的相关体验,我们已将 HIPAA 合规性以及一般数据隐私和安全性作为我们公司和产品的主要优先事项.

在 Braze,我们为符合 HIPAA 所做的工作构成了我们当前数据安全方法的基础。

“我们进行的第一个大型正式风险分析是针对 HIPAA,”Braze 联合创始人兼首席技术官 Jon Hyman 指出。 “我们聘请了一位研究 HIPAA 的律师,我们与他合作以确保我们按照要求做事……[并且] 确实建立了风险分析,其中我们有潜在威胁和漏洞的风险登记册,我们拥有的控制地点、问题的可能性、潜在影响、补救措施以及我们的事件响应团队将如何解决问题。”

Braze 还完成了重要的基础设施相关工作。 首先,我们为与 PHI 合作的品牌创建了一个单独的、专注于 HIPAA 的 Braze 平台集群。 使用 Braze HIPAA 集群,“您登录到不同的 URL,如果您不在非 HIPAA 环境中,您的 SDK 会访问完全不同的 URL 和不同的服务器集,”Hyman 说。 “你的数据库是独立的。 一切都是完全独立的。 它有不同的防火墙规则。 它有自己的虚拟网络。 它与 Braze 中的其他环境完全分开,从隔离的角度来看这很好。”

Braze 以符合 HIPAA 标准而自豪,但我们并没有就此止步。 我们继续迭代这些措施,超出法律要求。 例如,我们添加了额外的双因素授权保护措施、仪表板和我们的 API 的 IP 白名单、密码过期策略和密码复杂性规则。

HIPAA 合规意味着所有 Braze 客户的严格信息安全

但是,虽然 HIPAA 合规性是 Braze 的一项重大任务,但它最终为之后的一切铺平了道路——事实上,在 2018 年,我们还成功完成了 SOC 2 Type 2 审核和 ISO 27001 认证,然后完成了第二次审核和认证在过去的一年里。

由美国注册会计师协会 (AICPA) 监督的 SOC 2 标准规定了特定公司安全控制的合规性要求。 这次审计确保 Braze 已经制定了严格的信息安全政策和程序。 此外,我们的 ISO 27001 认证确认 Braze 已对安全风险进行了全面评估,并拥有符合国际标准化组织 (ISO) 全球信息安全管理标准的信息安全管理系统 (ISMS)。

“HIPAA 要求 Braze 为使用 PHI 的品牌运营的方式是我们现在全面运营的方式,”Hyman 解释道。 “例如,HIPAA 中的管理保障要求我们进行风险分析,而我们也这样做了。 但这也是 ISO 27001 的要求,您必须确保您的信息安全管理系统符合高标准。 一切都由此而来; 确保我们有适当的控制、有效的流程来终止对离职员工的访问,以及全面处理敏感数据的流程。”

下一步

数据隐私和安全问题——现在比以往任何时候都重要。 借助致力于 HIPAA 合规性的平台,健康和健身品牌可以为客户提供令人难忘的相关体验,同时仍然尊重他们的隐私。

要了解符合 HIPAA 的个性化沟通策略如何增加您的品牌价值,请查看 HelpAround 如何通过 Braze 提高应用用户保留率。