En Slack estamos comprometidos con garantizar la seguridad de los datos que compartes.
Slack cumple con muchos estándares ampliamente reconocidos y ofrece herramientas para ayudar a los clientes a cumplir sus requisitos de cumplimiento normativo. Las empresas que se rigen por la ley HIPAA (Ley de Portabilidad y Responsabilidad de Seguros Médicos de 1996), como los proveedores de planes de salud, los proveedores de asistencia sanitaria, las compañías de seguros médicos, los proveedores de beneficios de salud y las diversas empresas que les prestan servicios pueden configurar Enterprise Grid de Slack para que admita la colaboración conforme a la ley HIPAA. Cuando Slack ayuda a estos clientes a realizar actividades o funciones relacionadas con la atención de la salud, Slack se considera un proveedor de servicios o un proveedor con la clasificación de socio comercial (BA, por sus siglas en inglés) de acuerdo con la ley HIPAA.
Organizaciones de asistencia sanitaria que usan Slack y cumplen con los requisitos de HIPAA
Ventajas
Compartir información sanitaria protegida de forma segura
La solución de Slack para organizaciones grandes, complejas, se llama Enterprise Grid. Incluye todas las funciones de seguridad y gobernanza de una solución pensada para grandes empresas, pero con un diseño intuitivo, similar al del software diseñado para consumidores, por lo que su nivel de adopción es alto.
Cuando se configura y se usa de acuerdo con los requisitos específicos de Slack para entidades cubiertas por la ley HIPAA, los equipos que colaboran en Enterprise Grid pueden compartir información de salud protegida (PHI) en los mensajes directos, de grupo, de canales y en las cargas de archivos.
Control del uso de Slack en tu empresa
La supervisión de cumplimiento no tiene una solución universal. Enterprise Grid de Slack proporciona distintas API que admiten la supervisión del acceso, la actividad y los datos en los espacios de trabajo de los clientes. Esto garantiza que cada empresa pueda implementar las herramientas y los procesos adecuados para ellas. Puedes usar las Discovery API de Slack y configurar un proveedor externo de prevención de pérdida de datos (DLP) para aplicar restricciones de mensajes y archivos, y exportar el contenido de estos para fines de cumplimiento con HIPAA.
Slack se asocia con muchos de los proveedores líderes que posiblemente ya estén presentes en tu empresa.
Registros de auditoría
Funcionalidad habilitada por los socios:
- Descarga de registros de actividad en tus espacios de trabajo de Slack
- Captura de eventos, como descargas y cargas de archivos, y cambios de ajustes de administración
Prevención de pérdida de datos
- Basada en API, con conectores integrados para los principales socios de soluciones
- Las soluciones de DLP integradas tienen acceso completo a todo el contenido de tu organización empresarial
Funcionalidad habilitada por los socios:
- Supervisión de mensajes y archivos en canales públicos, canales privados y mensajes directos
- Puesta en cuarentena y eliminación de forma activa del contenido no admitido, prácticamente en tiempo real
Lo que debes saber sobre el uso de Slack en entornos regulados por la ley HIPAA
Plan de Slack admitido: Enterprise Grid
Requisitos: Ponte en contacto con Slack para obtener la guía Requisitos de Slack para entidades cubiertas por la ley HIPAA
Otras herramientas que necesitarás: Soluciones de prevención de pérdida de datos, inicio de sesión único y copia de seguridad o archivado
Proceso:
- Revisa y acepta implementar la guía Requisitos de Slack para entidades cubiertas por la ley HIPAA.
- Firma el acuerdo de socio comercial (BAA) de Slack.
- Proporciona a Slack una lista completa de organizaciones o espacios de trabajo con los que planeas usar información de salud protegida.
Más información sobre los requisitos de Slack para entidades cubiertas por la ley HIPAA
- La guía Requisitos de Slack para entidades cubiertas por la ley HIPAA es la única fuente completa de requisitos de implementación.
- Slack no se puede usar para comunicarse con pacientes, miembros del plan ni sus familiares o empleadores. Los pacientes, miembros del plan y sus familiares o empleadores no se pueden agregar como usuarios o invitados a los espacios de trabajo o los canales de Slack.
- Es posible que los usuarios conversen sobre información de salud protegida en el contenido de los mensajes y que suban archivos con dicha información. Sin embargo, no pueden incluirla en algunos campos específicos.
- Existen restricciones en cuanto al uso de la captura y el reenvío de correo electrónico con Slack si se transmite información de salud protegida a través de correo electrónico.
- Se necesitan controles si los canales compartidos se utilizan para la comunicación entre dos empresas o espacios de trabajo independientes.
- Los canales en los que pudiera compartirse información de salud protegida a través de mensajes o documentos deben configurarse como privados.
- Debes informar a tus usuarios cómo configurar y usar Slack conforme a la normativa. Para ello, puedes usar las distintas funcionalidades disponibles en Slack, como los términos de servicio personalizados, los bots personalizables, los canales obligatorios de toda la organización, las publicaciones fijadas con pins y las notificaciones de eliminación de información de salud protegida.
- Existen consideraciones especiales para los dispositivos, así como para la incorporación de usuarios, las visitas a pacientes en el hogar y otras situaciones.