Fax conforme HIPAA

Une solution de fax en ligne sécurisée et conforme à la loi HIPAA (Health Insurance Portability & Accountability Act) pour les soins de santé

Nous comprenons les sensibilités et le sérieux associés au maintien de la confidentialité et de la sécurité des données de santé des patients. C’est pourquoi nous avons examiné les détails de toutes les spécifications de sauvegarde administratives, physiques et techniques avec une grande précision, en atteignant toutes les exigences HIPAA afin de protéger les données de nos clients, les informations de santé protégées (PHI) et informations de santé protégées électroniques (ePHI).
C’est pourquoi les prestataires de soins, les compagnies d’assurance et autres entités font confiance à FAX.PLUS pour transmettre leurs documents les plus sensibles.

FAX.PLUS est conforme à la loi HIPAA, à condition que l’utilisateur ait activé les contrôles de sécurité avancés et conclu un accord d’associé commercial (BAA) avec nous. Des contrôles de sécurité avancés sont disponibles avec le forfait Entreprise .

La déclaration de conformité HIPAA de FAX.PLUS est destinée à informer nos clients qui sont des « entités couvertes » en vertu de la loi HIPAA que nous sommes conscients de leurs exigences HIPAA et que nous ferons notre part pour garantir que les données de leurs patients restent confidentielles. Cette déclaration n’est pas destinée à remplacer un accord d’associé commercial.

Nous avons mis en place des politiques et des procédures pour garantir la confidentialité des données de nos clients. Celles-ci incluent (sans s’y limiter) les éléments suivants :

Contrôle d’Accès

La solution de fax en ligne FAX.PLUS comprend une identification unique de l’utilisateur, des privilèges d’administrateur pour accorder et supprimer l’accès au compte, un cryptage de nouvelle génération (AES 256 bits) et d’autres protocoles pour limiter l’accès au personnel autorisé de votre organisation uniquement. Les documents entrants peuvent être envoyés uniquement à l’adresse e-mail du destinataire prévu, ce qui limite l’exposition et les risques de divulgation associés à l’envoi de fax vers un télécopieur physique.

Cryptage des Données et Sécurité de la Transmission

HIPAA exige qu’une attention particulière soit portée aux données en mouvement et au repos. Tous les fichiers de fax au repos sont cryptés à l’aide de la norme de cryptage avancée (AES) 256 bits. Pour protéger les données en transit entre les applications FAX.PLUS (actuellement mobiles, API ou Web) et nos serveurs, nous utilisons Secure Sockets Layer (SSL)/Transport Layer Security (TLS) pour le transfert de données, créant un tunnel sécurisé protégé par 128- Cryptage AES (Advanced Encryption Standard) bit ou supérieur.

Contrôle d’Audit

FAX.PLUS utilise plusieurs niveaux de contrôle d’audit — de l’archivage sécurisé et automatique de tous les fax envoyés ou reçus via FAX.PLUS pour la durée de vie du compte de votre organisation, aux mécanismes logiciels et procéduraux qui enregistrent et examinent l’activité dans les systèmes d’information qui contiennent ou utilisent ePHI.

Authentification des Utilisateurs

Les utilisateurs peuvent accéder au service FAX.PLUS par courrier électronique ou en ligne uniquement avec une combinaison valide de nom d’utilisateur et de mot de passe qui sont cryptés SSL. Un cookie d’ID de session crypté est utilisé pour identifier de manière unique chaque utilisateur. Une fois connecté à nos serveurs, toutes les communications seront cryptées à tout moment.

Option de Non-Stockage

Les utilisateurs ont la possibilité de ne pas enregistrer leurs données de fax sur nos serveurs. Une fois activé, l’utilisateur reçoit des fax par e-mail et rien n’est stocké sur nos serveurs. Il en va de même pour les fax envoyés, dans lesquels nous supprimons les données du fax dès que la transmission est terminée.

Élimination Conforme des Données

A la fin du contrat d’une Entité Couverte avec FAX.PLUS, celle-ci peut demander la suppression de ses données des Serveurs FAX.PLUS. Aucun rapport imprimé ou copie papier n’est jamais conservé dans notre établissement. Si des rapports sont imprimés pour soutenir davantage l’entité couverte, ils sont détruits immédiatement à la fin de la tâche qui a nécessité la sortie de papier.

Centres de Données Hautement Sécurisés

Nos centres de données sont situés dans des emplacements conformes aux normes de sécurité les plus restrictives (ISO 27001) et ils font partie de la Cloud Security Alliance (CSA). Ils se conforment également au niveau 1 de l’OCF, après avoir complété leur matrice de contrôle du cloud qui correspond aux cadres sélectionnés suivants: COBIT, HIPAA / HITECH Act, ISO/IEC 27001-2005, NISTSP800-53, FedRAMP, PCI DSSv2.0, BITS Shared Évaluations, GAPP.

Sécurité des Informations

Nous évaluons constamment les risques et améliorons la sécurité, la confidentialité, l’intégrité et la disponibilité de nos systèmes. Nous examinons et mettons régulièrement à jour les politiques de sécurité, fournissons à nos employés une formation en matière de sécurité, effectuons des tests de sécurité des applications et des réseaux (y compris des tests de pénétration), effectuons des évaluations des risques et surveillons la conformité aux politiques de sécurité.

Autres règles de confidentialité et de sécurité:

  • Cryptage AES 256 bits sur les fax stockés
  • Certificat SSL COMODO (SSL/TSL crée un tunnel sécurisé protégé par un cryptage 128 bits ou supérieur Advanced Encryption Standard (AES)).
  • Sauvegardes de données stockées dans des centres de données sécurisés et de classe mondiale.
  • Authentification du propriétaire du compte
  • Accès extérieur restreint à tous les serveurs et postes de production
  • Système sophistiqué de surveillance et d’escalade
  • Sauvegardes de données automatisées
  • Vérification antivirus automatisée
  • Signaler toute non-conformité dont nous avons connaissance
  • Avis de violation de données
  • L’accès aux systèmes de production est limité par des paires de clés SSH uniques, et les politiques et procédures de sécurité nécessitent la protection des clés SSH. Un système interne gère le processus d’échange sécurisé des clés publiques et les clés privées sont stockées en toute sécurité.
  • Tous les employés effectuent des vérifications approfondies de leurs antécédents et sont tenus de signer un accord de confidentialité dans le cadre de leur contrat de travail
  • Tous les employés reçoivent une formation sur nos politiques et procédures conformément aux mandats HIPAA.
  • Nommé un responsable de la sécurité HIPAA qui crée, maintient et forme concernant nos politiques et procédures HIPAA.

Contrat d’associé commercial (BAA)

Nous signons un accord d’associé commercial (BAA) avec les utilisateurs de notre plan d’entreprise.